Nieuwe updates Microsoft laten lek in Word ongemoeid

De softwarefabrikant heeft deze maand in totaal vier beveiligingsupdates uitgegeven, waarvan drie kritiek. Bij een kritiek lek kan een aanvaller het lek misbruiken om bijvoorbeeld malware te installeren zonder dat hiervoor een actie van de gebruiker nodig is.

De drie kritieke updates zijn bedoeld voor negen lekken in Office, Outlook en Windows. De vierde update dicht een lek in de Portugese spellingscontrole van de Braziliaanse Office-versie.

Opvallend genoeg heeft Microsoft tegen de verwachting in geen update vrijgegeven om een kritiek lek in Word te dichten dat al sinds begin december actief wordt misbruikt.

Het nog niet gedichte lek in Word is volgens beveiligingsexperts gevaarlijk omdat het eenvoudig te misbruiken is.

Het enige dat een aanvaller hoeft te doen is een speciale reeks karakters in een Word-bestand te plaatsen en deze door een potentieel slachtoffer te laten openen.

Niet alleen Word was overigens doelwit van aanvallen. Ook lekken in andere Office-applicaties werden misbruikt, waaronder Excel. De Office-update dicht wel vijf lekken Excel.

Het meest kritieke lek dat is gedicht, is het zogenoemde vml-lek (vector markup language) in Windows. Volgens het SANS Institute is er een 'acute dreiging' dat dit lek door aanvallers zal worden misbruikt.

In september vorig jaar zag Microsoft zich genoodzaakt een tussentijdse patch uit te geven voor een soortgelijk vml-lek. De nieuwe vml-update vervangt de eerder gepubliceerde fix, aldus Microsoft.

Aanvankelijk had Microsoft acht beveiligingsupdates op stapel staan voor januari. Om onbekende redenen besloot de fabrikant eind vorige week om er vier te schrappen.

Bron: Techworld