Tijdens een zeer rustige patchdinsdag heeft Microsoft twee updates uitgebracht, die lekken in Outlook Express, Windows Mail, Windows Live Mail en Visual Basic for Applications verhelpen. In beide gevallen zou een aanvaller kwetsbare systemen via de lekken kunnen overnemen. In het geval van de Windows e-mailclients moet een aanvaller daarvoor de POP3 of IMAP verbinding van een gebruiker onderscheppen en manipuleren. Dit zou bijvoorbeeld bij een publiek WiFi-netwerk kunnen gebeuren. Wie SSL gebruikt loopt echter geen risico. Dat geldt ook voor Windows 7, omdat daar Windows Live Mail niet standaard geïnstalleerd is.
In het tweede scenario laat de aanvaller het slachtoffer met een kwaadaardige POP3 of IMAP mailserver verbinding maken. "Deze aanvalsvector is veel onwaarschijnlijker", zegt Kevin Brown van het Microsoft Security Response Center. Vanwege de grote hoeveelheid vereiste social engineering is de kans op een onsuccesvolle aanval behoorlijk.
Visual Basic
De tweede beveiligingsupdate van deze maand, MS10-031, is voor een lek in Microsoft Visual Basic for Applications (VBA), dat in Office XP, Office 2003 en Office 2007 aanwezig is. Ook applicaties van derden die VBA gebruiken lopen risico. Het probleem wordt veroorzaakt door de manier waarop Visual Basic applicaties naar ActiveX controls zoeken. Een host applicatie zou VBA een speciaal bestand kunnen laten openen, waardoor een aanvaller willekeurige code kan uitvoeren.
Toch is het vooral een theoretisch lek en verwacht Microsoft geen exploitcode in de komende dertig dagen. Beide verholpen beveiligingslekken werden deze maand door externe onderzoekers gemeld.
Als laatste worden wederom gebruikers van Windows 2000 en XP met Service Pack 2 gewaarschuwd, dat de ondersteuning van beide besturingssystemen op 13 juli eindigt.
Deze posting is gelocked. Reageren is niet meer mogelijk.