Niet alleen de Windows-maker zelf slaat alarm. Ook beveiligingsbedrijf Symantec acht het gevaar groot. Er is al proof-of-concept code van malware die dit lek in Windows misbruikt. De kwetsbare Windows-versies zijn 2000, XP, Vista, Server 2003 en Server 2008. De nieuwere versies Server 2008 R2 en 7 zijn veilig voor dit gat in de kern van het besturingssysteem.

Eigenlijk 3 gaten

Microsoft heeft afgelopen nacht met zijn maandelijkse patchronde vijftien kwetsbaarheden met patches gedicht, verdeeld over zes updates. De kwetsbaarheid die absolute voorrang geniet is volgens Redmond een gapend gat in de Windows-kernel, die is ontwaard in alle nog ondersteunde versies van het besturingssysteem met uitzondering van Windows 7 en Windows Server 2008 R2. Technisch gesproken gaat het om drie kwetsbaarheden, die met evenzoveel patches worden verholpen.

De drie kwetsbaarheden maken het voor aanvallers mogelijk om via een zogeheten Embedded OpenType (EOT) font, gehost op een website, willekeurige code te draaien op pc's van slachtoffers die de website bezoeken. De aanvaller hoeft een gebruiker van Internet Explorer slechts naar een website te loodsen, waarna de computer vatbaar is voor het draaien van willekeurige code.

EOT-fonts kunnen ook in Powerpoint-presentaties en Worddocumenten worden verwerkt,. De aanval kan dus ook omslachtiger worden uitgevoerd door een beoogd slachtoffer een geprepareerd document in dat bestandsformaat te laten openen.

Windows 7 net op tijd

Het is nog niet duidelijk hoe en wanneer de kwetsbaarheid is ontdekt. Experts wijzen er tegenover Computerworld op dat het waarschijnlijk naar boven is gekomen toen de code van Windows 7 zich in een afrondende fase bevond. Andrew Storms, vaste commentator bij de Amerikaanse IDG-publicatie en onderzoeker bij nCircle, denkt dat de Release Candidate van Windows 7 hetzelfde lek vertoont. De verwachting is dat de komende tijd exploits 'in the wild' zullen verschijnen die dit lek trachten uit te buiten.

Ondergesneeuwd

De rest van de nu onthulde lekken dreigt een beetje ondergesneeuwd te raken, maar ook daar zitten nog juweeltjes tussen. Zo zit er nog een ernstig lek in de License Logging Server van het verouderde maar nog steeds ondersteunde Windows 2000.

Een derde kritieke update geldt voor Vista en Server 2008. De Web Services on Devices Application Programming Interface (WSDAPI) in die beide versies heeft een gat, dat misbruikt kan worden middels een speciaal geprepareerd netwerkpacket. Dat werkt alleen als de aanval vanaf het lokale subnet komt.

Patch Tuesday bracht deze maand verder nog drie updates die als 'important' zijn aangeduid. Deze verhelpen kwetsbaarheden in Active Directory en Office.