Microsoft komt met noodpatch voor lek in IE

Opvallend is dat de patches worden verspreid vlak voor het begin van de BlackHat-conferentie, waar onder andere de veiligheid van browsers ter sprake zal komen. Microsoft zegt in de vooraankondiging dat klanten die alle eerdere beveiligingsupdates hebben geïnstalleerd beschermd zijn tegen “bekende” aanvallen. Dat zou kunnen betekenen dat Microsoft lekken wil dichten waarop het binnenkort nieuwe aanvalsvormen verwacht.

Over het bulletin voor de Visual Studio-productlijn zegt Microsoft slechts dat applicatieontwikkelaars bedacht moeten zijn op beschikbare updates “die bepaalde typen applicaties betreffen”. Het lek in Visual Studio wordt als ‘middelmatig’ gekenschetst.

Het tweede bulletin bevat veranderingen diep in de beveiliging van de browser Internet Explorer, deels om aanvalsroutes die verband houden met het Visual Studio-bulletin aan te pakken. Daarnaast omvat dit bulletin reparaties voor zwakke plekken die niet gerelateerd zijn aan Visual Studio, aldus de vooraankondiging. Mogelijk gaat het om een lek in Active X waarvoor Microsoft op 14 juli al een zogeheten 'killbit'-patch uitgaf, een stoplap die volgens sommige beveiligingsexperts de zwakke plek niet fundamenteel heeft weggenomen.

De genoemde kwetsbaarheden bevinden zich onder meer in Windows 2000, XP, Vista, Server 2003 en Server 2008. Verder zijn Internet Explorer 6, 7 en 8 in het geding. Ook Visual Studio .NET 2003, Visual Studio 2005 en 2008, en Visual C++ 2005 en 2008 zijn kwetsbaar. De bulletins worden dinsdag 28 juli om 19 uur Nederlandse tijd gepubliceerd.