Microsoft pakt aanstaande dinsdag het aloude lek (CVE-2013-3660) in de Windows-kerneldriver Win32k.sys aan. De 0-day, die in mei van dit jaar is geopenbaard door de bekende security-expert Tavis Ormandy, schuilt in code van voor Windows NT uit 1993 en is dus meer dan twintig jaar oud.

Dat betekent dat alle Windows-versies, inclusief de laatste Windows 8-varianten inclusief de servervarianten NT, 2000, 2003 en 2008, kwetsbaar zijn voor exploits van het lek.

Exploit laat code uitvoeren op Windows

Langs de kwetsbaarheid zijn Windows-computer te crashen en is het mogelijk om eigen code uit te voeren op een Windows-systeem. In zijn technische uitleg van de ontdekte bug hekelde Ormandy, die zelf werkzaam is voor Google, de kwaliteitscontrole van Microsoft voor diens softwarecode. Ook was de beveiligingsonderzoeker verbolgen over de “vijandige manier” waarop Microsofts security-onderzoeker hem zouden hebben behandeld.

Ormandy besloot daarom het gat publiekelijk te maken. Een werkende exploit vond hij echter pas later met enige hulp van een hacker. De impact wordt beperkt doordat het gaat om een lokale exploit. Een kwaadwillende moet dus al zijn binnengedrongen op de computer om deze aanvalscode los te kunnen laten.

Nog meer kritieke patches

Naast het monumentale gat worden meer kwetsbaarheden meegenomen op Patch Tuesday. Kritieke lekken in Internet Explorer (versie 6 tot en met 10), Silverlight, .NET Framework, Lync, Windows Server (2008 als 2012) en de grafische Windows-api GDI+ worden gedicht. Microsofts definitie van kritiek houdt overigens in dat een lek zonder tussenkomst van de gebruiker misbruikt kan worden. Windows-gebruikers kunnen de patches dinsdag downloaden met behulp van Windows Update of automatisch updaten.