Drie lekken in Windows gedicht
Microsoft komt vandaag met twee beveiligingsupdates die drie lekken in Windows moeten dichten. Een van de updates heeft het label ‘kritiek’ meegekregen en is van toepassing op Windows XP, Vista en Windows 7.
“We hebben geen weet van code of actieve aanvallen die de kwetsbaarheden die we deze maand aanpakken uitbuiten”, schrijft Microsoft. Het kritieke lek wordt behandeld in Bulletin MS11-002. Hiermee worden twee problemen opgelost die te maken hebben met Microsoft Data Access Components. Ze zetten de deur open voor overname van je computer als je alleen al een besmette webpagina bezoekt.
De tweede update, MS11-001, pakt een kwetsbaarheid aan die toelaat dat er van op afstand code kan worden uitgevoerd als een gebruiker een bestand van Windows Backup Manager opent dat zich in dezelfde netwerkmap bevindt als een kwaadaardig bestand.
Bug in de browser
Met deze twee bulletins zijn nog lang niet alle problemen opgelost waar Microsoft weet van heeft. Veiligheidsexperts zijn niet onder de indruk van deze Patch Tuesday. Ze zijn meer geïnteresseerd in wanneer Microsoft bestaande zero-day-lekken aanpakt.
“In plaats van te praten over het aantal lekken die vandaag worden gedicht met deze bulletins, zou men beter iets doen aan de vijf kwetsbaarheiden die níet worden gepatcht”, vertelt Andrew Storms, beveiligingstopman bij het Amerikaanse nCircle, aan onze collega’s van CNet.
Microsoft heeft een lijst van problemen die nog moeten worden aangepakt. Op die lijst staat onder meer ook een bug in Internet Explorer die Google-onderzoeker Michal Zalewski heeft gevonden en waarvan hij beweert dat er een uitbuiting voor te vinden is op het web. Microsoft onderzoekt de bevindingen van Zalewski. Mogelijk worden die in een volgende patchronde of in een kleinere tussentijdse update aangepakt.
