In totaal verschijnen er deze Patch Tuesday zeven patches. Één daarvan is geclassificeerd als kritiek, de andere zes zijn volgens Microsoft 'belangrijk'. Het kritieke lek is een gat in de Windows Media player dat het uitvoeren van code mogelijk maakt.

Besmetting door websitebezoek

Kwaadwillenden kunnen Windows kapen via die ingebouwde mediaspeler. Door middel van een speciaal geprepareerd MIDI-bestand kan een aanvaller dezelfde gebruikersrechten krijgen als de ingelogde gebruiker. Het lek zit in alle versies van Windows.

Doordat veel browsers een plug-in voor Windows Media Player hebben, zijn drive-by aanvallen mogelijk. Een pc is dus al te kraken via dit lek als de gebruiker simpelweg een website bezoekt waar zo'n malafide MIDI-bestand is ingebed. Microsoft heeft het lek daarom geclassificeerd als kritiek.

BEAST eindelijk gestopt

De zes andere patches die zijn vrijgegeven hebben het label 'belangrijk' meegekregen van Microsoft. Daaronder zit ook een oplossing voor het encryptielek dat de naam BEAST heeft meegekregen. Dat beveiligingsgat is al in september vorig jaar geopenbaard en zit in encryptieprotocol SSL/TLS. Een aanvaller kan dit lek gebruiken om beveiligde cookies te ontcijferen.

Eind december zou Microsoft al een pleister voor BEAST (Browser Exploit Against SSL/TLS) uitbrengen, maar die werd op het laatste moment teruggetrokken. Er zou “een compatibiliteitskwestie" zijn met een softwarepakket van een derde partij. Dat betreft de zakelijke software van SAP.

Adobe pleistert ook

Tegelijk met Microsoft komt ook Adobe met patches voor zijn producten. Het bedrijf dicht gaten in de nieuwste versies van Adobe Reader en Acrobat. De vorige versie 9 van die software op Windows kreeg al eerder patches, maar nu komen die ook uit voor versie 10 van die beide programma's. Gebruikers van Mac OS X en oudere Windows-versies stonden tot nog toe in de kou, maar ook zij kunnen zich nu beschermen.