Microsoft zal tijdens de laatste patchdinsdag van 2010 zeventien patches uitbrengen voor veertig beveiligingslekken in Windows, Office, Sharepoint en Exchange. Ook het laatste resterende Stuxnet-lek en een ernstige kwetsbaarheid die begin november in Internet Explorer werd geopenbaard, worden verholpen. Microsoft geeft twee van de patches een "critical" beoordeling, wat betekent dat aanvallers via de kwetsbaarheden volledige controle over ongepatchte systemen kunnen krijgen. De twee kritieke patches zijn er voor alle ondersteunde Windows versies, alleen in het geval van de tweede patch voor Windows XP en Server 2003, heeft de update een "important" beoordeling gekregen.
Niet eerder in de geschiedenis van Microsoft werden er in één jaar zoveel updates uitgegeven en beveiligingslekken gepatcht. Tijdens de patchdinsdag van juni ging het om 34 lekken, een zelfde aantal dat in augustus langskwam. Het absolute recordaantal werd in oktober gebroken, toen werden er in één keer 49 lekken gedicht. Het totaal aantal patches kwam dit jaar op 106 uit.
"Dat zijn meer bulletins dan we in voorgaande jaren hebben uitgegeven", zegt Mike Reavey, directeur van het Microsoft Security Response Center. De topman wijt dit aan het "licht toegenomen" aantal meldingen van beveiligingslekken in Microsoft producten. "Dit is niet verrassend als je denkt over levenscycli en de aard van beveiligingsonderzoek." Reavey laat verder weten dat Microsoft producten tien jaar lang ondersteunt. Aangezien beveiligingsonderzoek zich steeds ontwikkelt, krijgen oudere producten met nieuwe aanvalsmethoden te maken. Verder wordt tachtig procent van de gevonden kwetsbaarheden direct aan Microsoft gerapporteerd.
Wat betreft het laatste Stuxnet-lek dat Microsoft aanstaande dinsdag zal patchen, werd woensdag bekend dat de gevaarlijke TDL4-rootkit deze kwetsbaarheid nu al misbruikt. Volgens Reavey is er nog geen bewijs gevonden dat aanvallers dit lek misbruiken, behalve op de oorspronkelijke Stuxnet-worm na.
Voor Klanten met een SLA contract bij Mega Bite word deze update automatisch uitgerold. Wilt u ook SLA klant worden dan kunt u contact met ons opnemen.
http://www.security.nl/artikel/35425/1/Microsoft_sluit_2010_af_met_monsterpatch.html