Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Microsoft dicht drie 0-day lekken

Door: Jasper Bakker | 04 februari 2011 17:11

None
Apps & Software

Microsoft dicht in de aankomende patchronde drie 0-day lekken in onder meer IE. Kwaadwillenden misbruiken die gaten al.

Aankomende Patch Tuesday brengt Microsoft 12 patches uit waarmeer het in totaal 22 beveiligingsgaten dicht. Die kwetsbaarheden zitten in webbrowser Internet Explorer (versies 6 tot en met 8), besturingssysteem Windows (versies XP tot en met 7, en Server 2003 tot en met 2008 R2), diagramprogramma Visio, en webserver IIS (versies 7.0 en 7.5).

Alle Windows-versies

Onder de te dichten gaten zijn er drie waar al exploitcode voor rondwaart. Kwaadwillenden kunnen daarmee misbruik maken van de lekken in de Microsoft-software. Één daarvan zit in Windows' verkleinde weergave (thumbnails) van plaatjes, één in alle versies van IE, en één in IIS die daardoor kwetsbaar is voor een DDoS-aanval (distributed denial of service).

Microsoft meldt het belang van de in aantocht zijnde patches alvast in een vooraankondiging. Het te dichten IE-lek, te misbruiken via een functie voor CSS-bestanden, is eind vorig jaar ontdekt door Vupen. Dat France securitybedrijf Vupen heeft al meerdere openstaande IE-gaten bij Microsoft gemeld.

IE-lekken

Aanvankelijk zijn details over dat gat nog stil gehouden. Vupen antwoordde aan Webwereld wel dat het ging om geheugencorruptie door aangepaste html-code. Toen exploitcode voor dit lek eenmaal opdook, zijn daarmee ook de details naar buiten gekomen. Vervolgens is Microsoft nog met een workaround gekomen om het gat af te dekken. Echt dichten van het lek gebeurt met de IE-patch van aanstaande dinsdag.

Het nieuwste lek in Microsofts browser wordt niet in de patchronde van februari gedicht. Dat is de net ontdekte fout in de afhandeling van het MHTML-protocol en geldt voor alle IE-versies op alle Windows-versies. Microsoft adviseert gebruikers en beheerders om MHTML uit te schakelen en biedt daarvoor ook een Fix-it tool. Daarmee worden echter ook ActiveX en Active Scripting uitgeschakeld.

Bron: Webwereld.nl

0 Reacties op: Microsoft dicht drie 0-day lekken

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.