Microsoft patcht lek in EOT-fonts

Voor alle andere versies van Windows, van Windows XP tot Windows 7 en Windows Server 2008 R2, is het veiligheidsrisico ‘laag’. Ook deze versies bevatten de kwetsbare code, maar ze maken er geen gebruik van op een manier die de zwakke plek toegankelijk maakt. Uitbuiting van het lek door kwaadwillenden is bij deze Windows-versies dan ook ‘onwaarschijnlijk’. Dat blijkt uit het dinsdag gepubliceerde Security Bulletin voor de maand januari.

De patch die sinds gisteren kan worden gedownload rekent af met een kwetsbaarheid in de manier waarop Windows Embedded Open Type (EOT) lettertypen decomprimeert. In het ergste geval kan misbruik van dit lek leiden tot de uitvoering van programmacode op afstand. Dat wil zeggen dat een kwaadwillende de complete controle over een pc kan overnemen en naar believen programma’s kan installeren en gegevens kan wijzigen of wissen.

Misbruik is mogelijk indien de gebruiker informatie bekijkt die in een speciaal misvormd EOT-font is vormgegeven binnen applicaties die dergelijke lettertypen kunnen genereren. Internet Explorer, Word en PowerPoint zijn zulke toepassingsprogramma’s.

In november kwam ook al een veiligheidsrisico met EOT-fonts naar voren. Microsoft gaf toen een patch uit vanwege een ‘bug’ in de manier waarop de Windows-kernel EOT-fonts interpreteert.

Het komt zelden voor dat Microsoft in zijn maandelijkse patchronde zo weinig beveiligingslekken aanpakt. Het vorige laagterecord dateert van januari 2009.