Microsoft hanteert al geruime tijd een voorspelbaar schema wat betreft grote en kleine updaterondes. Deze maand is het weer een kleine met maar twee patches, nadat er in april een monster-update uitkwam voor Microsoft-software.

Patch 1: Windows

De komende Patch Tuesday brengt voor Windows één patch. Die is bestempeld als ‘kritiek’ voor Windows 2000, XP, Vista, Server 2003 en Server 2008. Voor de nieuwste versies Windows 7 en Windows Server 2008 R2 is de patch als ‘belangrijk’ aangeduid. De laatste twee besturingssystemen zijn namelijk niet kwetsbaar in hun standaardconfiguraties, aldus Microsoft. Toch worden 7 en 2008 R2 meegenomen, voor de zekerheid.

Volgens security-onderzoeker Andrew Storms van nCircle Security is de kwetsbare code wel aanwezig in Windows 7 en Server 2008 R2, maar dat Microsoft op dit moment met behoorlijke zekerheid kan zeggen dat er geen manier is om er misbruik van te maken. Microsoft weet echter niet wat hackers in de toekomst misschien uitvinden om alsnog misbruik te maken van de bug, legt Storms uit.

Pwn2Own

Hij waarschuwt dat het een ander verhaal wordt wanneer kwaadwillenden bijvoorbeeld te weten komen hoe ze beveiligingsmaatregelen van Windows, zoals DEP (Data Execution Prevention) en ASLR (Address Space Layout Randomization), kunnen omzeilen. Die twee technologieën werden bij de introductie ervan gezien als een grote stap voorwaarts op het gebied van verdediging. De Nederlandse hacker Peter Vreugdenhil heeft op de Pwn2Own echter al laten zien dat die beveilingsbuffers wel degelijk te omzeilen zijn.

Patch 2: Office

Patch nummer twee is voor zowel Office XP, Office 2003 en Office 2007 als voor de tools Visual Basic for Applications (ook de software developers kit). Storms denkt dat de kwetsbaarheid in de Office 2007-conversietool zit. Daarmee kunnen documenten in de nieuwere Office 2007-bestandsformaten worden geopend in oudere versies van het Office.

Er komt nu géén update voor Sharepoint. Daar zijn de teams van Microsoft nog mee bezig, meldt security program manager Jerry Bryant. Het lek is vorige week pas ontdekt.

Ook de Internet Explorer bug van begin februari wordt niet gerepareerd. Volgens Storms is dit een kwetsbaarheid met een lage risicofactor. Tenminste, dat is de verklaring die hij weer van Microsoft heeft gekregen.

Bron: Techworld.nl.