Dringende patch voor IE7 en Exchange Server
Microsoft heeft dinsdag vier bulletins verdeeld. Het updatepakket zet minstens acht beveiligingsproblemen voor Windows-gebruikers recht. Naast kritieke gaten in Internet Explorer 7 gaat het om twee kritieke lekken in Microsoft Exchange Server, een zwakke plek in Microsoft SQL Server, en drie lekken met het stempel "belangrijk" in Microsoft Office Visio.
De kwetsbaarheden in Internet Explorer 7 zijn kritiek voor Windows XP en Vista. Consistente exploitcode kan volgens de softwaremaker "gemakkelijk worden vervaardigd". Gebruikers kunnen dus maar beter snel patchen, want de lekken kunnen worden misbruikt voor aanvallen met drive-by-downloads. De update is als "moderate" (middelmatig) aangemerkt voor IE7 op Windows Server 2003 en 2008.
Exchange Server
De kritieke gaten in Exchange 2000 Server, Exchange Server 2003 en Exchange Server 2007 zetten de deur open voor uitvoering van code op afstand. De aanvaller stuurt daarvoor een speciaal vervaardigd TNEF-bericht naar een Microsoft Exchange Server. Bij succes kan hij de complete controle over het systeem overnemen. Ook bestaat er een risico op een DoS-aanval, waarbij een crimineel gebruikmaakt van MAPI-commando’s.
Microsoft verwacht dat er "inconsistente exploitcode" voor dit specifieke bulletin gepubliceerd zal worden. Maar Andrew Storms, directeur beveiligingsoperaties bij Ncircle, noemt het een zeer ernstig probleem.
"Deze kwetsbaarheid betekent dat iedere cybercrimineel die een goed in elkaar gezette e-mailbijlage naar een onderneming stuurt, complete controle kan krijgen over de server, en daarmee een van de sleutels tot het koninkrijk in handen heeft", meent hij. "Allerlei strikt vertrouwelijke informatie passeert dagelijks een Exchange-server. Een goudmijn voor iedere cybercrimineel die daar controle over krijgt."
