Microsoft heeft de eerste beveiligingslekken in Windows van 2013 gedicht, maar een update voor een ernstig lek in Internet Explorer 6, 7 en 8 ontbreekt zoals verwacht. Het gaat in totaal om 7 Security Bulletins voor in totaal een dozijn kwetsbaarheden in Windows, Office, Developer Tools en Windows Server. Twee van de Security Bulletins zijn als 'critical' beoordeeld en verdienen volgens Microsoft de hoogste prioriteit.
Het gaat om MS13-002, die twee ernstige lekken in Microsoft XML Core Services verhelpt. Via deze kwetsbaarheden kan een aanvaller het onderliggende systeem volledig overnemen als het slachtoffer met Internet Explorer een kwaadaardige of gehackte website bezoekt.
Printer
Het tweede 'critical' Security Bulletin, MS13-001, betreft een kwetsbaarheid in de Windows Print Spooler service. Een aanvaller die een print job naar een gedeelde printer kan sturen, kan via dit lek andere werkstations overnemen. De beruchte Stuxnetworm gebruikte een lek in de Print Spooler om de rechten op besmette computers te verhogen.
Volgens Microsoft gaat het bij MS13-001 om een ander aanvalsscenario dan bij eerdere Print Spooler-lekken het geval was. In dit geval wordt niet de printserver zelf aangevallen, maar zijn potentiële slachtoffers andere clients die via de gedeelde printer printen of de status hiervan opvragen.
Updates
De overige updates zijn voor lekken die als 'Belangrijk' zijn bestempeld. Het gaat onder andere om MS13-006 voor een SSLv3 downgrade-lek in alle ondersteunde versies van Microsoft Windows.
Het slachtoffer surft in dit geval naar een betrouwbare website via HTTPS. Een aanvaller die een man-in-the-middle positie op het netwerk heeft, kan in bepaalde gevallen de encryptie naar een eenvoudiger te ontsleutelen protocol downgraden.
Voor zes van de zeven Security Bulletins verwacht Microsoft dat aanvallers binnen 30 dagen werkende exploitcode gereed zullen hebben. Het zevende lek betreft een denial of service. Gebruikers krijgen dan ook het advies om de updates zo snel als mogelijk te installeren. De updates zijn via Windows Update te downloaden.
Wanneer Microsoft een eind 2012 ontdekte zero-day kwetsbaarheid in Internet Explorer 6, 7 en 8 verhelpt is nog altijd onbekend. Dit lek wordt actief door aanvallers gebruikt. Wel is er inmiddels een Fix it-oplossing beschikbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.