Laatste Patch Tuesday 2009 dicht IE8-gaten

Een van de patches die Microsoft heeft uitgebracht (MS09-072) dicht maar liefst vijf verschillende lekken in IE6, 7 en 8. Voor deze lekken zijn de afgelopen weken een aantal exploits verschenen. Hoewel die niet altijd even betrouwbaar blijken, noemt Microsoft deze patch wel kritiek. Dat betekent dat de softwaregigant het waarschijnlijk acht dat aanvallen wel degelijk succesvol zijn uit te voeren.

Nieuwe fouten

Het grote nieuws is volgens experts dat er drie lekken zitten in IE8, en vooral dat twee patches alleen voor IE8 zijn gemaakt. Dat betekent dat de fouten in de waarschijnlijk nieuwe code van die flink herziene browserversie zitten. Bijvoorbeeld in de code waarmee Microsoft IE8 heeft aangepast om te voldoen aan internetstandaarden. Deze lekken in nieuwe code roepen de vraag op of de Security Development Lifecycle van Microsoft wel optimaal werkt.

De andere kritieke patch is voor Microsoft Office Project. MS09-074 dicht een lek dat kan worden misbruikt door gebruikers een kwaadaardig Project-bestand te laten openen. Het is alleen kritiek voor Project 2000 Service Release 1. Voor de nieuwere versies Project 2002 SP1 en 2003 SP3 is de patch slechts 'belangrijk'. Gebruikers van Project 2007 kunnen deze patch negeren.

Gat in authenticatie

Weer een andere patch is voor Windows-servers die toegang op afstand bieden die zijn beveiligd door PEAP in combinatie met MS-CHAP v2 authenticatie. Deze patch (MS09-071) is matig tot belangrijk voor Windows 2000, XP, Server 2003, Vista en Server 2008. Deze patch is kritiek voor Windows Server 2008 SP2 voor 64-bit systemen.

Van webserver tot Wordpad

De overige patches dichten een denial-of service kwetsbaarheid in Windows 2000, XP en Server 2003 (MS09-069), een fout in http requests aan een webserver met Windows Server 2003 of 2008 (MS09-70). De laatste patch (MS09-73) rekent af met een bug in WordPad en Office Text Converters die ook kan worden uitgebuit door gebruikers een kwaadaardig document te laten openen.

Bron: Techworld.nl.