De update MS10-001 van Microsoft dicht een gat in de embedded Open Type font engine. De update wordt als kritiek aangemerkt, maar dat geldt alleen voor Windows 2000. Voor alle andere systemen is de prioriteit laag. Door experts wordt de patch dan ook afgedaan als triviaal. Volgens hoofd beveiliging van nCircle Andrew Storms kun je de tijd die je overhoudt mooi gebruiken om achterstallig onderhoud in te halen en alsnog de updates uit 2009 te installeren op machines waar je nog niet aan toe bent gekomen.

Storms merkt ook op dat de SMB denial of service kwetsbaarheid, die al sinds november open staat, niet is gepatcht. “Doordat Microsoft de bug zo lang open laat is het nu wel duidelijk dat de dreiging niet zo groot is als veel mensen dachten”, zei hij daarover.

Overigens is januari wel vaker een makkelijke maand. Vorig jaar bracht Microsoft ook maar een update uit, de twee jaar daarvoor twee. Dat wordt dan vaak wel in februari goed gemaakt. Vorig jaar bracht Microsoft in die maand vier updates uit, in de twee jaar daarvoor elf.

Adobe en Oracle

Ook Adobe en Oracle hebben kritieke updates uitgebracht. Deze bedrijven brengen elk kwartaal hun patches uit, niet maandelijks zoals Microsoft. Adobe komt deze maand eindelijk een patch voor het zero-day lek in Adobe Reader, dat al weken wordt misbruikt door aanvallers. Oracle heeft 24 updates uitgebracht, die hun weerslag hebben op zeven verschillende producten van Oracle. De meeste van die lekken zijn van een afstand uit te buiten zonder authenticatie, waardoor ze kritiek zijn. Bron: Techworld