Op de zwartste patchdinsdag tot nu toe, hebben Microsoft en Oracle samen 159 beveiligingslekken in veel gebruikte software gepatcht. Microsoft verhelpt in totaal 49 kwetsbaarheden via 16 patches. Onder de gedichte gaten bevindt zich ook één van de twee resterende 'Stuxnet-lekken', waardoor aanvallers hun rechten op besmette machines kunnen verhogen. Het andere 'elevate privilege' zero-day lek wordt via een toekomstig Security Bulletin gepatcht.
In tegenstelling tot de vorige record patchdinsdag, toen Microsoft zelf aangaf dat het een recordaantal Security Bulletins uitbracht, wordt er nu niet over het aantal patches gesproken. "Deze release toont onze toewijding om voorspelbare, kwalitatieve updates te bieden als onderdeel van de service die onze klanten krijgen als ze Microsoft producten kopen", zegt Carlene Chmaj, Security Response Senior Communications Manager.
Critical
Chmaj merkt op dat van de 49 lekken er slechts zes een 'critical' beoordeling hebben. Daarnaast verhelpen drie van de zestien patches 34 van de lekken. Naast updates voor Windows en Office, zijn er ook patches voor andere Microsoft producten, zoals SharePoint en de Microsoft Foundation Class (MFC) Library. De vier belangrijkste updates deze maand zijn MS10-071, MS10-075, MS10-076 en MS10-077.
MS10-071 betreft een cumulatieve update voor zeven ernstige lekken in Internet Explorer. IE9 bètaversie 1 is niet kwetsbaar. MS10-075 is voor een ernstig lek in de Microsoft Windows Media Player Network Sharing Service, die alleen Vista en Windows 7 aanwezig is. MS10-076 is weer een patch voor de Embedded OpenType Font Engine (EOT). Problemen met EOT speelden de softwaregigant al vaker parten en was ook het eerste probleem dat Microsoft in het nieuwe decennium moest oplossen. De laatste update die systeembeheerders meteen moeten installeren is MS10-077 voor een ernstig lek in .NET Framework 4.0.
Een ander interessant probleem is de 'disk clustering' kwetsbaarheid. Het probleem speelt alleen bij Windows Server 2008 R2 waar Failover Clustering is ingeschakeld, iets wat standaard niet het geval is. Het lek zorgt ervoor dat iedereen toegang tot de administratieve shares op nieuwe, gedeelde cluster disks kan krijgen.
Oracle
Ook Oracle laat systeembeheerders vandaag of morgen flink zweten, want het patcht in de Oracle database producten en Oracle Open Office Suite 81 lekken. Daarnaast worden er nog 29 lekken in Java SE en Java for Business verholpen, waardoor het totaal voor deze uitzonderlijke patchdinsdag op 159 komt.
Deze posting is gelocked. Reageren is niet meer mogelijk.