Een van de patches die Microsoft heeft uitgebracht (MS09-072) dicht maar liefst vijf verschillende lekken in IE6, 7 en 8. Voor deze lekken zijn de afgelopen weken een aantal exploits verschenen. Hoewel die niet altijd even betrouwbaar bleken, noemt Microsoft deze patch wel kritiek, wat betekent dat de softwaregigant het waarschijnlijk acht dat aanvallen goed kunnen worden uitgevoerd.

Het grote nieuws is volgens experts overigens dat er drie lekken zitten in IE8, en vooral dat twee patches alleen voor IE8 zijn gemaakt. Dat maakt het waarschijnlijk dat de fouten in de nieuwe code zitten, bijvoorbeeld in de code waarmee Microsoft IE8 geschikt heeft gemaakt voor internetstandaarden. De lekken roepen de vraag op of de Security Development Lifecycle van Microsoft wel optimaal werkt.

De andere kritieke patch is voor Microsoft Office Project. MS09-074 dicht een lek dat kan worden misbruikt door gebruikers een kwaadaardig Projectbestand te laten openen. Het is alleen kritiek voor Project 2000 Service Release 1. Belangrijk is het voor Project 2002 SP1 en 2003 SP3. Wie Project 2007 draait kan deze patch negeren.

Weer een andere patch is voor Windows Servers die PEAP met MS-CHAP v2 authenticatie gebruiken. MS09-071 is matig tot belangrijk voor Windows 2000, XP, Server 2003, Vista en Server 2008. Hij is kritiek voor Windows Server 2008 SP2 voor 64-bit systemen.

De overige patches dichten een denial-of service kwetsbaarheid in Windows 2000, XP en Server 2003 (MS09-069), een fout in http requests aan een Server 2003 of 2008 webserver (MS09-70). De laatste patch (MS09-73) rekent af met een bug in WordPad en Office Text Converters die ook kan worden uitgebuit door gebruikers een kwaadaardig document te laten openen.

Bron: Techworld