Patch Tuesday biedt geen plug voor Excel-lek
Gepubliceerd: Vrijdag 6 maart 2009
Auteur: Michiel van Blommestein
Aanstaande dinsdag komen er drie Windowspatches, waarvan eentje kritiek. Maar een patch voor een reeds uitgebuit lek in Excel ontbreekt.
Volgens de vooraankondiging gaan we drie reparaties zien voor Windows, eentje die de mogelijkheid tot uitvoer van code van buiten moet beknotten, en twee die misbruik door spoofing tegengaan. Voor beheerders is het van belang te weten dat iedere patch een systeemherstart vereist. De kritieke update ('Windows 1') en een van de twee anti-spoofing-updates (Windows 2) gelden voor alle nog ondersteunde versies van Windows, XP en Vista, en serveruitgaves 2000, WS 2003 en WS 2008. 'Windows 3' geldt alleen voor de drie server-edities, en niet voor de desktop.
Opvallend is dat een recent ontdekt en actief uitgebuit lek met de komende updatestroom niet aangepakt wordt. Aanvallers kunnen door een fout in Excel willekeurige code op een machine draaien, mits ze de gebruiker zo ver krijgen om op een speciaal geprepareerd .xls-bestand te klikken. In ieder geval wordt deze methode gebruikt om Trojan.Mdropper.AC te verspreiden, zo meldde Symantec eind vorige maand.
Microsoft heeft tegenover zustersite Techworld nog niet gereageerd op de vraag waarom, maar vaste analist Andrew Storms zegt tegenover Computerworld dat hij niet verrast is dat Microsoft nog niet met een patch komt. Zelf had Redmond al aangegeven te vinden dat de schaal wel meevalt, en ook twee vorig jaar ontdekte lekken zijn ook nog steeds niet gepatched.
Bron: Techworld.nl
