Het zeer ernstige zero-day lek in Windows XP en Server 2003 dat een Google-onderzoeker op 9 juni openbaarde, is gisteren tijdens de patchdinsdag van juli verholpen. In totaal publiceerde Microsoft vier Security Bulletins voor vijf beveiligingslekken. De belangrijkste update is echter voor het Help en Support Center-lek in Windows XP, dat aanvallers op dit moment actief misbruiken voor het infecteren van Windows systemen.
Volgens onderzoeker Tavis Ormandy waarschuwde hij Microsoft op 5 juni over het lek, maar zou de softwaregigant het probleem niet binnen zestig dagen willen verhelpen, waarop hij tot full-disclosure overging. Microsoft laat voor het eerst weten dat dit helemaal niet het geval was. Woordvoerder Jerry Bryant laat weten dat Ormandy op 7 juni werd verteld dat Microsoft het probleem nog onderzocht en er niet voor het eind van de week een patchdatum kon worden geven. "We waren verrast dat het lek op 9 juni werd geopenbaard", aldus Bryant.
Beveiligingsonderzoeker Alex Sotirov vroeg Ormandy waarom hij niet de e-mailwisseling met Microsoft publiceert, maar dat wil de Google-werknemer niet doen. "Ik heb liever dat het verdwijnt dan het vuur op te stoken."
Windows 7
Naast het zero-day lek in Windows XP is er ook een zero-day kwetsbaarheid in Aero-interface van Windows 7 gepatcht. Het lek zou in theorie een aanvaller willekeurige code kunnen laten uitvoeren, maar wegens geheugenbeveiliging is dat volgens Microsoft onwaarschijnlijk.
Verder zijn er twee kwetsbaarheden in Office Access ActiveX Controls gepatcht en behoort ook een lek in Microsoft Outlook 2002, 2003 en 2007 tot het verleden. Aanvallers zouden kwetsbare systemen kunnen overnemen als gebruikers een speciaal geprepareerde bijlage zouden openen. Updaten kan via Windows Update en de Automatische Update functie.
Deze posting is gelocked. Reageren is niet meer mogelijk.