11 februari 2015 11:18

Microsoft laat groot lek ongemoeid in patchronde

Microsofts Patch Tuesday komt met drie kritische updates, maar laat ook enkele grote bugs ongemoeid.

In de Patch Tuesday van deze maand zitten negen updates, drie daarvan kregen van Microsoft het predicaat “kritiek” mee omdat ze het mogelijk maken om op afstand code uit te voeren op een onbeschermd systeem.

MS15-009: een veiligheidsupdate voor Internet Explorer die een publiekelijk gekende kwetsbaarheid repareert en liefst veertig die door Microsoft niet aan de grote klok werden gehangen. Er is echter nog geen oplossing voor de recente XSS-kwetsbaarheid (cross-site-scripting) waarmee hackers de gegevens van websitebezoekers kunnen stelen.
MS15-010: Deze update repareert zes kwetsbaarheden, waaronder een die al publiek was gemaakt, in Windows 7 en 8 en in Windows Server 2008 R2 en latere versies. De fouten zitten op kernel-niveau in Windows in het component dat TrueType-lettertypes beheert.
MS15-011: Deze update beschermt apparaten die ingelogd zijn op een Windows-domein en behelst alle versies van Windows. De kwetsbaarheid kan ingezet worden door een gebruiker zo ver te krijgen dat hij op een onbetrouwbaar netwerk inlogt, zoals een wifi-hotspot.

Deze laatste fout werd al meer dan een jaar geleden ontdekt, maar de omstandigheden waarin ze voorkomt zijn zeldzaam. Microsoft moest voor deze oplossing zware inspanningen doen en kon ook niet alle systemen aanpakken. Wie nog Windows Server 2003 draait, zal de bugfix niet krijgen, omdat het OS dan zo stevig moet verhaspeld worden, dat sommige applicaties er misschien niet meer compatibel mee zijn.

[related_article id=”161452″]

De verlengde ondersteuning van Windows Server 2003 eindigt op 14 juli van dit jaar. Voor IT-managers die het nog steeds gebruiken, is het dus misschien tijd om stilaan naar iets nieuws uit te kijken.

Er is daarnaast ook nog een nieuwe veiligheidsupdate voor Flash Player in Internet Explorer 10 en 11, de derde al in twee weken tijd.

De volgende vijf updates kregen het label “Belangrijk” mee van Microsoft. Twee gaan over Microsoft Office.

MS15-012 repareert een fout die kan getriggerd worden door een speciaal geprepareerd Office-document.
MS15-013 is een oplossing voor een “security feature bypass” in Office 2007 en later. Deze was al publiek gekend.
MS15-014 blokkeert een zogenaamde man-in-the-middle-aanval die probeert om de Group Policy-instellingen terug naar de standaardwaarden te verzetten (standaardwaarden die meestal minder veilig zijn).
MS15-015 voorkomt een aanval waarmee geauthentiseerde gebruikers beheerdersrechten kunnen krijgen in een besmet systeem.
MS15-016 biedt dan weer een oplossing voor een kwetsbaarheid die uitgebuit kon worden met een speciaal geprepareerd TIFF-beeldbestand.

Beheerders van servers zullen zeer geïnteresseerd zijn in MS15-017. Die patch is belangrijk voor Microsoft System Center 2012 R2 Virtual Machine Manager Update Rollup 4. Ze heeft belangrijke implicaties voor sites die VMM gebruiken om verschillende virtuele servers te beheren.

Het grote pakket updates wordt nog aangevuld met een heruitgebracht Security Bulletin, MS14-083, voor Excel. Ook Security Advisory 3009008, uitgebracht in oktober, werd herzien. Deze documenteert een probleem met de SSL 3.0-standaard. De update van deze maand voorkomt dat Internet Explorer 11 terugvalt op SSL 3.0 bij zogenaamde Protected Mode-sites. SSL 3.0 wordt in de standaardconfiguratie van Internet Explorer 11 (en op Microsofts online diensten) uitgeschakeld vanaf april.

Verder was er nog een optionele update die Microsoft uitbracht voor Visual Studio 2010 en die meteen weer werd ingetrokken omdat hij op bepaalde systemen niet correct installeerde en blokeerde.