De kritische gaten stellen aanvallers in staat de controle over een computer over te nemen zonder medeweten van de eigenaar. De gaten kunnen bijvoorbeeld misbruikt worden door slachtoffers naar een speciale website te lokken of door ze te verleiden om bijvoorbeeld een geïnfecteerd Word document te openen.

Microsoft bundelt zijn beveiligingsmeldingen per applicatie of component in zogenaamde bulletins. Eén zo'n bulletin dekt een of meerdere gaten. Deze maand publiceerde de softwaregigant 11 bulletins.

Vooral de de problemen in Internet Explorer (IE) baren experts zorgen omdat zowel IE 6 als 7 op de gevarenlijst staan. "In het verleden waren er problemen met de scripting engines van Internet Explorer" , licht expert Don Leatham van Lumension Security toe. "Het gaat nu om html rendering engine."

Belangrijke patches

Voor Office publiceerde Microsoft de kritieke bulletins MS08-008, 009, 012 en 013. "Mijn moeder zou ik adviseren om 010 als eerste te installeren."

"Bedrijven kunnen beter beginnen met 005 en 006", adviseert Eric Schultze, technologiebaas van Shavlik Technologies. Hij waarschuwt ook voor MS08-005 and MS08-006, hoewel die van Microsoft het stempel 'belangrijk' meekregen. De een maakt webservers kwestbaar voor hackersaanvallen, terwijl zij zich met de ander extra privileges kunnen toeëigenen.

"Met de 005 en 006 combinatie kan ik een website aanvallen en administrator worden. Beide lekken worden 'belangrijk' genoemd , maar ik zou ze zeker in de categorie 'kritisch' plaatsen", zegt Schulze.

Code Red

"Met 006 gaan we terug naar de dagen dat Code Red bestond - toen het mogelijk was code uit te voeren op de webserver. Dat houdt in dat ik een TFTP (Trivial File Transfer Protocol) kan uitvoeren en dat ik een TFTP terug kan leiden naar mijn eigen pc om hackersoftware te uploaden", weidt Schulze uit. "Dat kan uitlopen op het in handen krijgen van de C prompt van een webserver. Ook kan ik shell toegang krijgen met gebruikerprivileges. Dat lijkt me kritiek genoeg. Ik kan een port redirector installeren op het systeem zodat ik andere systemen in de DMZ kan aanvallen en de port redirector kan gebruiken om firewalls en filters te omzeilen."

De doodssteek komt volgens Schultze met patch 005. De combinatie met deze patch zorgt ervoor dat een gebruiker van een webserver een administrator kan worden. "Ik heb je dus net gehackt met 006 en nu kan ik nog meer scripts gaan runnen om admin te worden."

Nog een patch

De vorige keer dat Microsoft zoveel kritieke patches uitbracht was afgelopen mei. De overige vijf patches van deze maand zijn 'belangrijk' en hebben betrekking op de Active Directory, de Windows TCP/IP stack, Internet Information Server en Office. Vorige week maakte Microsoft bekend twaalf patches uit te brengen waarvan er zeven kritiek zouden zijn. De softwaregigant werkt dus nog steeds aan een patch. Volgens Schulze gaat het om een Jscript/VBscript probleem.