De updates patchen gaten in Windows, Microsoft Office en SharePoint, Internet Explorer, IIS en het .NET framework. Een van de patches dicht het lek dat Peter Vreugdenhil heeft gebruikt op Pwn2Own om Windows 7 met Internet Explorer te hacken.

Omdat Vreugdenhil na de wedstrijd de bug niet openbaar heeft gemaakt, blijkt nu pas waarmee hij de veiligheidsmaatregelen van Microsoft kon omzeilen. Het gaat om een memory corruption lek, waarbij IE het verkeerde geheugen aanspreekt dat door de aanvaller vervuild kan worden. Vervolgens kan hij de computer overnemen. Op Windows moet hij daarvoor nog wel DEP en ASLR omzeilen, wat Vreugdenhil ook heeft gedaan.

Microsoft is de laatste die zijn Pwn2Own-lek repareert. Mozilla en Apple hebben dat al in april gedaan.

De update voor IE dicht nog vijf lekken. Een daarvan was al openbaar gemaakt, en Microsoft had er in een security advisory voor gewaarschuwd. Updat MS10-035 is een van de drie updates die door Microsoft als kritiek worden aangemerkt.

MS10-033, een update van twee dll's, is ook kritiek. Deze update is voor alle versies van Windows, inclusief Windows 7. De kwetsbaarheden die deze update repareert kunnen worden uitgebuit als gebruikers een kwaadaardige website bezoeken en daar een speciaal mediafile openen.

De laatste kritieke update, MS1-034 zet een aantal Kill Bits voor Active X. De grootste update is MS10-038, die 14 lekken dicht in Microsoft Office, inclusief Office voor Mac.

Voor een aantal updates heeft Microsoft uitgebreid beschreven wat de impact en het risico is van de verschillende lekken en updates. Bron: Techworld