Een patch die Microsoft volgende week uitbrengt tijdens Patch Tuesday dicht wederom een Oracle-lek in Exchange. Ook een kritiek probleem in Internet Explorer wordt tijdens de patchronde verholpen. Sommige beveiligingsexperts waarschuwen dat bedrijven prioriteit moeten geven aan de Exchange-patch, meldt Webwerelds Amerikaanse zustersite Computerworld.com.

Problemen met Oracle-middleware

Oracle dichtte vorige maand met een monsterpatch van 89 fixes ook een kwetsbaarheid in Oracle Outside In. Microsoft Exchange maakt van deze middelware gebruik om bijlagen te kunnen voorvertonen en te bewerken zonder dat deze eerst lokaal moeten worden opgeslagen. Microsoft fixt nu het Oracle-gat in Exchange. Dat is niet voor het eerst.

Er worden regelmatig gaten in Outside In ontdekt, waarna diverse producten die van de middleware gebruikmaken moeten patchen. Gaten in de software treffen in de regel onder meer producten van Cisco, HP, IBM, McAfee, Novell en Microsoft. Vorig jaar waarschuwde Microsoft ook al twee keer voor een gat in Exchange die waren veroorzaakt door een lek in Oracle’s software. En in februari werd ook een Oracle-gat aangepakt.

Web Ready uitschakelen

Vooral bedrijven die nog met Exchange 2007 werken lopen risico door de aanhoudende Outside In-problematiek. Het benutten van de kwetsbaarheden is volgens overheidsorgaan US-CERT lastiger in Exchange 2010 en 2013. Alternatief kan WebReady worden uitgeschakeld – de feature waarmee documenten via Outside In worden aangesproken.

Sowieso moet de WebReady-feature niet worden gebruikt in Windows Server 2003 of eerder, waarschuwt US-CERT. Alle versies van Exchange WebReady moeten namelijk draaien op een platform dat ASLR ondersteunt, dus Windows 2008 of later.

Kritieke Exchange-patch

De monsterpatch die Oracle vorige maand uitgaf, kwam net ná Microsofts Patch Tuesday. Het daardoor ontstane Exchange-probleem, die wel Microsofts hoogste score ‘kritiek’ meekrijgt, wordt binnen het reguliere patchschema aangepakt. De nieuwste patchronde vindt plaats op dinsdag 13 augustus en de updates moeten rond 19.00 uur Nederlandse tijd beschikbaar zijn.