Microsoft dicht twee kritieke lekken
Gepubliceerd: Woensdag 12 mei 2010
Auteur: Sander van der Meijs
Microsoft heeft twee kritieke updates uitgebracht die evenzoveel lekken dichten in mailclients en Visual Basics for Applications.
De eerste update patcht een lek in Outlook Express, Windows Mail en Windows Live Mail. Gebruikers zijn kwetsbaar voor een man-in-the-middle aanval als ze POP3 of IMAP gebruiken, en dan vooral als ze hun mail binnenhalen via een openbaar wifi-netwerk. Daar zou een aanvaller mails kunnen opvangen en aanpassen.
Het gebruik van SSL verkleint dat risico weer drastisch, stelt Microsoft in een uitgebreide uitleg. Wie zijn e-mail met andere protocollen binnenhaalt, zoals Exchange, is ook niet kwetsbaar. Jerry Bryant zegt in zijn commentaar verder dat Microsoft niet verwacht dat dit lek de komende maand uitgebuit zal worden.
De tweede update, MS10-31, is voor Visual Basic for Applications. Via dit lek kan een aanvaller van een afstand code uitvoeren op een machine, en dus volledige controle krijgen, als hij een gebruiker weet over te halen om een speciaal geprepareerde file te openen. Het wordt als kritiek aangemerkt voor applicaties van derden die met VBA zijn gemaakt. Daarom wordt verwacht dat binnenkort updates zullen verschijnen voor meer software. Voor verschillende versies van Office is deze update niet kritiek, maar belangrijk, omdat er gebruikersinteractie nodig is om het lek uit te buiten, zo stelt Jerry Bryant. Ook van dit lek zal volgens Microsoft niet snel gebruik gemaakt worden door aanvallers.
Het cross site scripting lek in SharePoint Server wordt in deze updateronde niet meegenomen. Jerry Bryant laat weten dat Microsoft tot op heden nog geen aanvallen heeft gezien die dat lek uitbuiten.
Niet alleen Microsoft heeft updates uitgebracht. Ook Adobe heeft problemen opgelost in Cold Fusion en Shockwave Player.
Bron: Techworld
