Microsoft brengt komende dinsdag tijdens Patch Tuesday patches uit voor drie lekken in Windows. De softwaregigant negeert daarmee vier lekken die al een tijd bekend zijn en bovendien worden uitgebuit.
Komende dinsdag is het weer tijd voor de maandelijkse patchronde van Microsoft. Het softwarebedrijf brengt deze maand twee patches uit voor drie lekken in Windows. Eén van die lekken zit alleen in Windows Vista, de andere twee gelden voor alles versies. Microsoft negeert tijdens deze patchronde vier lekken die al langer bekend zijn en bovendien worden misbruikt.
CSS-lek en kwaadaardige afbeeldingen
Het softwarebedrijf brengt deze maand geen patch uit voor een CSS-lek in Internet Explorer dat begin vorige maand al bekend was bij Microsoft. Het bedrijf kwam zelf twee weken later met een bevestiging van het lek waarmee hackers via een kwaadaardig opmaakbestand malware op een computer kunnen plaatsen.
Ook een recenter lek waarmee het mogelijk is om malware via besmette afbeeldingen op een computer te plaatsen wordt niet gedicht. Microsoft heeft dat gat pas deze week bevestigd, maar er werd op een hackersconferentie in Zuid-Korea medio december al uitgebreid over gesproken. Het lek was dus waarschijnlijk al wel langer bekend in Redmond.
Mogelijke tussentijdse oplossing
Een tweede CSS-gat in Internet Explorer, dat aan het licht kwam met behulp van de fuzzing tool van Google-onderzoeker Michael Zalewski wordt ook niet gedicht. Dat probleem veroorzaakte nog enige opschudding omdat Zalewski de bug openbaar maakte terwijl Microsoft er nog geen goede patch voor had. Microsoft heeft wel gezegd dat voor dit probleem mogelijk tussentijds een oplossing komt.
Dan is er nog een probleem met de ActiveX-module van WMI Administrative Tools in Internet Explorer. Hackers kunnen systemen met die software overnemen door een zero-day gat in die software. Deze software is echter geen standaard onderdeel van Windows.
Van buitenaf code uitvoeren
De gaten die wel gedicht worden zijn twee bugs waarmee kwaadwillenden van buitenaf code op Windows computers kunnen uitvoeren. De eerste bug is alleen aanwezig in Windows Vista en wordt door Microsoft aangemerkt als 'belangrijk'. De tweede werkt in alle versies van Windows en is daarom 'kritiek'.
Bron: Webwereld.nl