Patch Tuesday: Eén kritieke fix, maar niet voor Excel
Gepubliceerd: Vrijdag 6 maart 2009
Auteur: Michiel van Blommestein
Systeembeheerders kunnen vanaf komende dinsdag drie Windowspatches tegemoet zien, waarvan eentje kritiek is. Een patch voor een reeds uitgebuit lek in Excel hoeven we helaas niet te verwachten.
Volgens de vooraankondiging gaan we drie reparaties zien voor Windows, eentje die de mogelijkheid tot uitvoer van code van buiten moet beknotten, en twee die misbruik door spoofing tegengaan. Voor beheerders is het van belang te weten dat iedere patch een systeemherstart vereist. De kritieke update ('Windows 1') en een van de twee anti-spoofing-updates (Windows 2) gelden voor alle nog ondersteunde versies van Windows, XP en Vista, en serveruitgaves 2000, WS 2003 en WS 2008. 'Windows 3' geldt alleen voor de drie server-edities, en niet voor de desktop.
Opvallend is dat een recent ontdekt en actief uitgebuit lek met de komende updatestroom niet aangepakt wordt. Aanvallers kunnen door een fout in Excel willekeurige code op een machine draaien, mits ze de gebruiker zo ver krijgen om op een speciaal geprepareerd .xls-bestand te klikken. In ieder geval wordt deze methode gebruikt om Trojan.Mdropper.AC te verspreiden, zo meldde Symantec eind vorige maand.
Microsoft heeft tegenover Techworld. nog niet gereageerd op de vraag waarom, maar vaste Computerworld-analist Andrew Storms zegt tegenover die site dat hij niet verrast is dat Microsoft nog niet met een patch komt. Zelf had Redmond al aangegeven te vinden dat de schaal wel meevalt, en ook twee vorig jaar ontdekte lekken zijn ook nog steeds niet gepatched.
Bron: Techworld
