Aankomende Patch Tuesday brengt Microsoft 12 patches uit waarmeer het in totaal 22 beveiligingsgaten dicht. Die kwetsbaarheden zitten in webbrowser Internet Explorer (versies 6 tot en met 8), besturingssysteem Windows (versies XP tot en met 7, en Server 2003 tot en met 2008 R2), diagramprogramma Visio, en webserver IIS (versies 7.0 en 7.5).

Alle Windows-versies

Onder de te dichten gaten zijn er drie waar al exploitcode voor rondwaart. Kwaadwillenden kunnen daarmee misbruik maken van de lekken in de Microsoft-software. Één daarvan zit in Windows' verkleinde weergave (thumbnails) van plaatjes, één in alle versies van IE, en één in IIS die daardoor kwetsbaar is voor een DDoS-aanval (distributed denial of service).

Microsoft meldt het belang van de in aantocht zijnde patches alvast in een vooraankondiging. Het te dichten IE-lek, te misbruiken via een functie voor CSS-bestanden, is eind vorig jaar ontdekt door Vupen. Dat France securitybedrijf Vupen heeft al meerdere openstaande IE-gaten bij Microsoft gemeld.

IE-lekken

Aanvankelijk zijn details over dat gat nog stil gehouden. Vupen antwoordde aan Webwereld wel dat het ging om geheugencorruptie door aangepaste html-code. Toen exploitcode voor dit lek eenmaal opdook, zijn daarmee ook de details naar buiten gekomen. Vervolgens is Microsoft nog met een workaround gekomen om het gat af te dekken. Echt dichten van het lek gebeurt met de IE-patch van aanstaande dinsdag.

Het nieuwste lek in Microsofts browser wordt niet in de patchronde van februari gedicht. Dat is de net ontdekte fout in de afhandeling van het MHTML-protocol en geldt voor alle IE-versies op alle Windows-versies. Microsoft adviseert gebruikers en beheerders om MHTML uit te schakelen en biedt daarvoor ook een Fix-it tool. Daarmee worden echter ook ActiveX en Active Scripting uitgeschakeld.

Bron: Webwereld.nl