Microsoft patcht vooral lekken in browser

Een van de bulletins betreft een kwetsbaarhed in de JScript Scripting Engine van Windows. Als een aanvaller iemand zo ver krijgt een speciaal samengesteld bestand te openen of een website te bezoeken en daar een misvormd script activeren, kan hij de macht over de pc overnemen en naar believen programma’s uitvoeren (‘remote execution’). Het gevaar is het grootst als het slachtoffer als beheerder is ingelogd.

Twee IE-gerelateerde lekken zitten in de manier waarop Windows omgaat met mediabestanden van het type WMA, WMV of MP3. Ook hier volstaat het bezoeken van een site die onderdak biedt aan speciale, misvormde versies van dergelijke bestanden om besmet te raken.

Nog een lek dat kan worden uitgebuit door gebruikers naar een website te lokken, zit in de DHTML Editing Component, een zogeheten ActiveX-control. Ook hier kan louter het bekijken van een webpagina de aanvaller alle vrijheid geven op de doel-pc.

Een vierde update moet in één klap afrekenen met drie kwetsbaarheden in de TCP/IP-stack van Windows. Ze kunnen leiden tot ‘remote execution’ als een aanvaller speciale TCP/IP-pakketjes naar een computer met een ‘listening service’ stuurt. Een firewall kan in dit geval enige bescherming bieden tegen aanvallen van buitenaf.

Tot slot heeft Microsoft een update uitgegeven om een lek in de Wireless LAN Autoconfig Service te dichten. Alleen pc's en servers met een actieve draadloze module lopen hier een risico.

Opvallend is dat Microsoft nog geen patch beschikbaar heeft voor een lek in Internet Information Services (IIS) dat vorige week aan het licht kwam. Microsoft zegt dat het pas met een update komt als “een voldoende kwaliteitsniveau voor brede verspreiding” is bereikt. Dat zal naar verwachting deze maand niet meer lukken.

Een samenvatting van de dinsdag uitgegeven updates is te vinden op de website van Microsoft Technet.