Patch Tuesday bevat deze maand 8 kritieke updates en 8 belangrijke. De patch die de hoogste prioriteit krijgt is waarschijnlijk MS16-051. Dit gaat om twee zeroday-gaten, CVE-2016-0189 en CVE-2016-0187, in de JavaScript en VBscript-engines. Via de kwetsbaarheid kunnen aanvallers een bufferoverloop misbruiken om eigen code uit te voeren.

In het wild misbruikt

Deze geheugenaanval wordt in het wild uitgevoerd via browser Internet Explorer (versie 9 t/m 11), meldt beveiligingsbedrijf Symantec. Ook MS16-053 draait om dit probleem met de JScript-engine en is van toepassing op IE 7 en ouder.

Verder is kritieke patch MS16-052 een cumulatieve update voor Windows 10-browser Edge met onder meer een gat waarmee aanvallers dezelfde rechten als de ingelogde gebruiker kunnen krijgen - wat voor de meeste organisaties niet tot al te veel problemen zou moeten leiden. Dat geldt ook voor update nummer 54, die van toepassing is op Office.

Overige kritieke patches

Nummer 55 krijgt ook het etiket kritiek, maar is niet zo ernstig als het eerstgenoemde lek en dat gaat om een kwetsbaarheid voor Graphic Device Interfaces, de software tussen de graphics-hardware en Windows. De fout zit 'm volgens Microsoft in de manier waarop het grafische subsysteem geheugenobjecten aanspreekt. De serie bugs in deze update is niet te misbruiken via drive-by's.

MS16-056 gaat om een kwetsbaarheid in Windows Journal. Soortgelijke gaten in het verleden worden snel opgepikt door aanvallers en verwerkt in penetratietools, maar vooral consumentensystemen worden bedreigd door exploits die hiervoor worden geschreven. MS16-057 is een kwetsbaarheid in de user interface, Windows Shell, waardoor een aanvaller extern code kan uitvoeren.

Adobe Flash

MS16-064 ten slotte, is een beveiliginsgupdate voor een serie kwetsbaarheden in Adobe Flash. Adobe brengt tegelijkertijd ook een aantal patches uit voor zerodays in de software en deze Windows-update moet exploitatie binnen het OS voorkomen. Maar je kunt natuurlijk ook gewoon Flash verwijderen.