Microsofts aankomende patchronde is een nieuw record. Aanstaande Patch Tuesday worden 49 Fouten in IE, Office, Sharepoint en Windows hersteld.
Microsoft heeft een recordaantal van zestien beveiligingsupdates aangekondigd voor aanstaande dinsdag. De updates dichten in totaal maar liefst 49 beveiligingsgaten in diverse producten, uiteenlopend van desktoppplicaties tot serversoftware.
4 kritiek en 10 belangrijk
Op Microsofts viertrapsschaal voor de ernst van patches (variërend van kritiek tot laag), zijn vier van de zestien updates gelabeld als ‘critical’. Tien van de updates hebben het ‘important’-label ontvangen en de overige twee ‘moderate’.
In de waarschuwing vooraf, de Security Bulletin Advance Notification, geeft Microsoft aan dat misbruik van lekken al mogelijk is. Dit geldt voor de gaten die 10 van de 16 updates dichten. Daarbij kunnen aanvallers kwaadaardige code uitvoeren op een kwetsbare pc om die dan over te nemen of er informatie vanaf te stelen.
Het bedrijf labelt de gevaarlijkste bugs (waarbij op afstand code kan worden uitgevoerd) meestal ‘important’, in plaats van ‘critical’. Die mildere labeling is van toepassing als de kwetsbare componenten niet standaard ingeschakeld zijn, of als maatregelen zoals ASLR en DEP het daadwerkelijke misbruik van zo'n lek kunnen voorkomen.
Meerdere records verbroken
De komende Patch Tuesday is een record op vele fronten. De zestien updates zijn er twee meer dan het vorige record van augustus 2010. Verder stond het vorige record van aantal individuele gaten op 34, wat ruim wordt verbroken met de 49 stuks nu.
Twaalf van de zestien updates zijn bedoeld voor Windows, zowel de server- als de desktopvarianten. Negen daarvan zijn ook bedoeld voor desktopbesturingssysteem Windows 7. Twee updates zijn voor de Office-programma’s Word en Excel. Dan is er nog een update voor Sharepoint, gerelateerd aan Office Web Apps. Tenslotte is er een patch voor Internet Explorer (alle huidige versies: 6, 7 en 8). Onbekend is of de IE-update ook voor de bèta van IE 9 bedoeld is.
DLL-lek
Ook onbekend is of deze updates iets doen tegen het probleem van DLL load hijacking. Verschillende softwarefabrikanten hebben hun producten al geüpdate tegen deze aanvalsmogelijkheid, maar Microsoft weigert commentaar te geven op de vraag of zijn applicaties ook kwetsbaar zijn.
Beveiligingsonderzoekers hebben echter al aangegeven dat dit wel het geval is. Microsoft-producten als IE, Word, Powerpoint en een aantal minder bekende programma’s hebben patches nodig, stellen deze experts.
Microsoft maakt de updates aanstaande dinsdag 12 oktober om 7 uur ’s avonds Nederlandse tijd beschikbaar.