In de lading patches die Microsoft deze maand uitbrengt, zit ook een aparte fix voor IPv6. Dat netwerkprotocol blijkt in de implementatie op Windows een probleem te hebben waardoor malafide pakketjes een computer kunnen lamleggen. De eigenlijke kwetsbaarheid zit in ICMPv6, wat het IP-foutmeldingsprotocol ICMP is voor IPv6.

Ping-aanval uit de jaren negentig

Door speciaal aangemaakte ICMP-pakketten af te vuren op een computer kan een aanvaller dat doelwit platleggen. Het getroffen Windows-systeem moet herstart worden om weer normaal te functioneren. De kwestie lijkt sterk op de oude en beruchte Ping of Death, meldt de Britse technieuwssite The Register.

Die vergelijking wordt getrokken door CTO Wolfgang Kandek van cloudsecuritybedrijf Qualis. Hij blogt dat deze kwetsbaarheid duidelijk maakt hoe weinig "we weten over de stabiliteit van IPv6". Hij adviseert om dat nieuwere internetprotocol, met veel meer adresruimte dan het huidige IPv4, uit te schakelen voor werkstations "als je netwerk niet is ontworpen voor gebruik van IPv6".

Windows XP en 2003 zijn veilig

Microsoft geeft de fix voor deze IPv6-kwetsbaarheid de waardering 'belangrijk' mee. De update geldt voor alle ondersteunde uitvoeringen van Windows: van clientvariant Vista, 7, 8 en RT tot servervarianten 2008, 2008 R2 en 2012. Windows XP en Server 2003 zijn niet kwetsbaar, meldt Microsoft in het beveiligingsbulletin. Gebruikers en beheerders die automatische updates aan hebben staan, krijgen deze IPv6-patch vanzelf aangeboden en geïnstalleerd.

De fix corrigeert de manier waarop de TCP/IP-stack in Windows geheugen toewijst terwijl het ICMPv6-pakketten verwerkt. Goed gebruik van firewalls kan de impact van aanvallen op deze kwetsbaarheid verminderen, merkt Microsoft nog op. Dat gaat dan wel om aanvallen die van buiten het bedrijfsnetwerk komen. Er zijn geen workarounds om het gat af te dekken. Dit probleem is direct en stilletjes bij Microsoft gemeld door beveiligingsonderzoeker Basil Gabriel van securityleverancier Symantec.