De laatste Patch Tuesday van 2008 biedt patches voor acht lekken in verschillende Microsoftproducten, van Windows tot IE en Officecomponenten.Van de acht patches waar beheerders dinsdagavond mee te maken krijgen, zijn er zes aangemerkt als kritiek, de hoogste graad op de risicoschaal van Redmond: twee in Windows, eentje in Internet Explorer en Visual Studio (Visual Basic), en twee in Office (Word en Excel). De overige twee, als 'belangrijk' aangeduid, zitten in SharePoint en Windows Media Center.
Acht maanden oud lek: Patch 'Windows 1' lijkt volgens beveiliger Andrew Storms van nCircle op een fix van een probleem dat in april voor het eerst in een advisory opdook, zo laat hij weten tegenover Computerworld weten. Het lek zou het mogelijk maken om beveiligingsmaatregelen te omzeilen, waardoor iemand toegang tot het systeem zou kunnen krijden. De advisory is in oktober nog een keer geupdate met de informatie dat onderhand exploitcode is aangetroffen, en dat het lek het uitvoeren van willekeurige code van buiten mogelijk maakt. Een patch was er nog niet, wel een workaround.
De fix 'Windows 2' geldt, anders dan de andere Windowspatch, alleen voor de nieuwere versies van het besturingssysteem; Vista en Windows Server 2008. Waarschijnlijk zit de fout in een van de services die met deze OS'en hun intrede hebben gedaan.
SharePoint: Verder meldt Microsoft dat de patches voor Office ook voor de Mac-versies zijn verschenen, wat volgens Storms van nCircle kan duiden op een lek in de bestandsformaten. Een andere beveiliger, Wolfgang Kandek van Qualys, zegt in hetzelfde stuk dat het lek in SharePoint een interessante is, omdat deze aan de serverzijde zit. "Dat zien we niet vaak", is zijn opmerking.
Geen opmerkingen:
Een reactie posten