Deze Patch Tuesday heeft Microsoft 13 patches voor ons klaargestoomd, waarvan 6 kritiek. Twee daarvan zijn voor de browsers: één voor Internet Explorer en één voor Edge. Verder wordt een Office-gat gerepareerd, eentje in Adobe Flash en een XML-gat.

Geheugenobjecten gemanipuleerd

Misschien wel de belangrijkste kritieke patch is van toepassing voor een hele reeks (Microsoft-)applicaties. Dit wordt veroorzaakt door een geheugenkwetsbaarheid in het Microsoft Graphics Component, wat onder meer wordt aangesproken via .NET, Office, Skype, Lync en meer Windows-componenten.

Via de fout worden geheugenobjecten onveilig aangesproken door de Windows kernel-driver en krijgt een aanvaller vergaande controle over het doelsysteem. Aanvallers kunnen deze aanval gebruiken in combinatie met een methode om binnen te komen, bijvoorbeeld via de hierboven besproken MS16-042 of MS16-050.

Belangrijk, maar niet kritiek

Microsoft geeft ook een patch uit voor de vorige maand aangekondigde serververknetterende Badlock-bug. Zoals het een goede kwetsbaarheid betaamt kreeg het een naam, website en logo, maar uiteindelijk blijkt de impact van het lek in verbindingsprotocollen van Windows en Linux reuze mee te vallen.

Daarmee is niet gezegd dat je niet moet patchen om snoodaards uit de AD te houden, maar het heeft niet de allerhoogste prioriteit a la Heartbleed destijds. Via de Badlock-bug kunnen aanvallers authenticatieprotocollen Security Account Manager (SAM) en Local Security Authority (LSAD) misbruiken om ongeautoriseerde verbinding te maken. Microsoft geeft de patch ervoor de status 'belangrijk' mee in plaats van kritiek