Drie van deze updates hebben het etiket kritiek opgeplakt gekregen, de zwaarste classificatie voor updates bij Microsoft. Een van de bugfixes dicht een bug in Microsofts Jet Database Engine die al sinds 1995 bestaat. De andere patches zijn gericht op lekken in het tekstverwerkingsprogramma van Microsoft en programma's voor desktop publishing, meldt Computerworld.

Groot alarm

De patch voor de Jet Database Engine vormt de afsluiting van een opmerkelijke hoofdstuk binnen Microsoft. Zeven weken geleden sloeg het bedrijf groot alarm omdat het gevaarlijke kwetsbaarheden had ontdekt in de Jet Database Engine, een onderdeel van Windows dat programma's als Microsoft Access en Visual Basic toegang tot gegevens verschaft. Het bedrijf bevestigde op 22 maart geruchten rond een aantal incidenten waarbij Worddocumenten waren gebruikt om de Jet Database bug te exploiteren.

Al twee jaar bekend

Enkele dagen later gaf het beveiligingsteam van Microsoft echter toe dat het al meer dan twee jaar op de hoogte was van de bug, maar deze niet had verholpen. Microsoft dacht namelijk dat het alle voor de hand liggende aanvalspaden al had geblokkeerd.

In een bericht op de Microsoft Security Response Center (MSRC) blog, liet Mike Reavey, operations manager van het beveiligingsteam, weten dat Microsoft overwoog om de versie van Jet in Windows 2000, XP en Server 2003 XP1 te vervangen, om de problemen te verhelpen.

Vista niet kwetsbaar

De Jet Database Engine van Windows Vista, Windows Server 2003 SP2 en Windows XP SP3 is niet kwetsbaar voor een aanval en hoeft dan ook niet te worden vervangen. Volgens Andrew Storms, director of security operations bij beveiligingsbedrijf nCircle verhelpt Microsoft niet alleen de bugs binnen de Jet Database Engine, maar worden ook mogelijke aanvallen binnen Word platgelegd geblokkeerd: "Ik heb een sterk voorgevoel dat ze beide problemen aanpakken, wat ook precies is wat ze nu moeten doen om dit probleem voorgoed te verhelpen."

Denial-of-service patch

De enige patch die het etiket 'belangrijk' heeft gekregen in plaats van 'kritiek' is een update die zich richt op de anti-malware producten. De patch zal een denial-of-service-probleem verhelpen binnen Antigen, Forefront Security, Windows Live OneCare en Windows Defender.

Volgens Storms betreft het hier echter geen grote bug: "Omdat het gaat om denial-of-service, draait het waarschijnlijk om een bug waarbij bijvoorbeeld een speciaal geschreven Zipfile ervoor kan zorgen dat de scan-engine blijft hangen. Het is waarschijnlijk niet iets heftigs. Het zou een ander verhaal zijn als Microsoft zou zeggen dat de kwetsbaarheid ervoor kan zorgen dat de beveiligingssoftware crasht. Als dat het geval was, zouden hacker daarvan gebruik kunnen maken om een systeem te infecteren".

Lichte patchmaand

Het ziet er dan ook naar uit dat deze Patch Tuesday minder heftig zal zijn dan die van vorige maand. Als Microsoft deze updates volgens plan zal uitbrengen, heeft de firma in de eerste vijf maanden 29 updates hebben uitgebracht, precies hetzelfde aantal als vorig jaar.