Eerder rapporteerde Secunia al een lek in Windows 2000 en XP. Gisteren werd een lek in Windows openbaar gemaakt door een groep anonieme maar boze onderzoekers.

Het tweede lek wordt door Microsoft niet als ernstig gezien. Het eerste wordt nog onderzocht, maar kan alleen via een applicatie uitgebuit worden. De enige bekende applicatie is tot nu toe PowerZip.

Webserver-bug

Eerder had onderzoeker Soroush Dalili al informatie vrijgegeven over een kwetsbaarheid in Internet Information Services, de webserver van Microsoft. Volgens Dalili kan de authenticatie van oudere edities van IIS worden omzeild, waardoor aanvallers binnen kunen kopen. “Hoewel IIS5 erg oud is, is het niet onmogelijk om er een te vinden!”, schrijft hij.

Daarom heeft hij de techniek om de authenticatie te omzeilen toch gepubliceerd. Nieuwere versies van IIS zijn niet kwetsbaar. Jerry Bryant zei in een e-mail dat ook deze bug niet echt gevaarlijk is. “IIS is niet default geïnstalleerd en gebruikers moeten de default configuratie aanpassen om kwetsbaar te worden”, schreef hij.

IE8-bug

Verder maakte Ruben Santamarta, een onderzoekers van de Spaanse beveiliger Wintercore, aanvalscode openbaar voor een kwetsbaarheid in Internet Explorer 8 op Windows XP, Vista en Windows 7. Hij zei erbij dat de bug gebruikt kon worden om DEP en ASLR te omzeilen.

Maar ook deze bug wordt door Microsoft niet echt serieus genomen. “Het is geen makkelijke ASLR bypass”, schrijft Jerry Bryant, “omdat die alleen werkt onder bepaalde omstandigheden. Een aanvaller moet het gebruiken in combinatie met een ongepatchte kwetsbaarheid om het systeem te kunnen hacken” Bryant ging in zijn e-mail zelfs zover dat hij deze bug helemaal niet aanmerkte als een kwetsbaarheid.

Werkende exploit-code

Dan is er nog het splinternieuwe Office 2010. Vupen heeft daarin de eerste twee gaten ontdekt, een in Excel en een in Word. Ze verwachten de komende weken zelfs nog meer gaten te ontdekken. Het bedrijf heeft verder werkende exploit-code gemaakt, waarbij ook DEP wordt omzeild. Deze gaten zijn overigens niet openbaar gemaakt. Bovendien stelt Vupen dat Office 2010 ondanks de gaten veel veiliger is dan vorige Office-versies.

Tot slot is er natuurlijk nog de kwestie van het XP-gat dat Tavis Ormandy openbaar heeft gemaakt. Dat gat is in ieder geval kritiek en wordt zelfs al op grote schaal misbruikt. Op 13 juli is de eerstkomende Patch Tuesday, maar het lijkt onwaarschijnlijk dat Microsoft al deze gaten dan al heeft gedicht.

Bron: Techworld.nl