Stortvloed aan patches van Microsoft

Het enorme aantal steekt schril af tegen de patchronde van mei, toen Microsoft in één update afrekende met 14 veiligheidsmanco’s in PowerPoint.

Van de 10 gisteren uitgegeven security bulletins hebben er 6 betrekking op de kernel en andere componenten van het besturingssysteem Windows, 3 op onderdelen van de kantoorsuite Office en 1 op de browser Internet Explorer. Microsoft karakteriseert 18 van de 31 kwetsbaarheden als ‘kritiek’. De overige zijn ‘belangrijk’(11) of ‘gematigd’ (2).

Het op de kernel van Windows gerichte bulletin pakt vier lekken tegelijk aan. Een aanvaller die een van deze lekken met succes benut, kan de pc volledig naar zijn hand zetten. Omdat zo’n aanval niet van buitenaf maar alleen lokaal kan worden opgezet, krijgt deze update slechts het etiket ‘belangrijk’ opgeplakt.Met een enkele update pakt Microsoft 8 verschillende beveiligingslekken in Internet Explorer aan. Daarvan was er één al sinds maart bekend. Een onderzoeker won toen 5000 dollar in een wedstrijd waarin hij het bestaan van de zwakke plek met succes aantoonde. Misbruik van dit lek kan in het ergste geval leiden tot uitvoering van willekeurige programmacode als de pc-gebruiker alleen maar een speciaal vormgegeven webpagina bekijkt. Overigens is dit de enige zwakke plek die nu in Internet Explorer 8 is gedicht; de overige zitten in de oudere versie IE7.

Een andere kritieke update heeft betrekking op twee lekken in Active Directory, onder meer in combinatie met Windows 2000 Server en Windows Server 2003. Bij misbruik kan een aanvaller in het ergste geval van buitenaf de controle over een systeem overnemen.

Ook diverse kwetsbaarheden in Microsoft Office maken de weg vrij om programmacode op afstand uit te voeren. Daarvoor moet de aanvaller een speciaal ontworpen Word- of Excel-bestand op het doelwit loslaten. Verder blijkt ook in de conversieprogramma’s van Microsoft Works een zwakke plek te zitten die tot ‘remote execution’ kan leiden.

De Print Spooler van Windows vertoont drie gaten, waarvan het ernstigste de weg effent voor ‘remote execution’ indien de aanvaller een speciaal ontworpen Remote Procedure Call (RPC) op de server afvuurt. Microsoft maakte in mei een beveiligingslek bekend in zijn webserver Internet Information Services (IIS). Hierdoor zouden aanvallers beperkt toegang tot bestanden kunnen krijgen via speciale HTTP-verzoeken aan websites waarvoor authenticatie nodig is. Dat probleem is nu verholpen met een 'belangrijk' genoemde patch.

Een zwakke plek in Windows Search is van ‘gematigd’ belang. Hierdoor kan informatie uitlekken als een zoekopdracht als eerste resultaat een speciaal vormgegeven bestand oplevert of als de gebruiker een preview van zo’n bestand in de zoekresultaten bekijkt. Het probleem doet zich alleen voor met Windows XP en Server 2003 en niet met Vista of Server 2008.

Alle updates in de patchronde voor de maand juni staan opgesomd in een samenvatting op de website van Microsoft.