image

Microsoft patcht 23 lekken in Windows en IE

woensdag 14 augustus 2013, 09:39 door Redactie, 2 reacties

Tijdens de patchdinsdag van augustus heeft Microsoft acht beveiligingsupdates uitgebracht die in totaal 23 lekken in Windows, Internet Explorer en Exchange dichten. De meeste kwetsbaarheden bevinden zich in Internet Explorer. Microsoft Security Bulletin MS13-059 verhelpt 11 ernstige lekken die direct aan Microsoft waren gemeld. Het bezoeken van een kwaadaardige of gehackte website met een kwetsbare IE-versie is voldoende om een aanvaller willekeurige code op het systeem te laten uitvoeren.

Ook vier lekken in de Windowskernel, waarvan er een al bekend was voordat de update van Microsoft uitkwam, behoren tot het verleden. Via deze kwetsbaarheden was het voor een aanvaller mogelijk zijn rechten op het systeem te verhogen.

Exchange

In het geval van de update voor Exchange betreft het drie lekken die allemaal al openbaar waren en een aanvaller ook toegang tot het systeem geven. Hiervoor zou een gebruiker een speciaal geprepareerd bestand via de Outlook Web App (OWA) moeten bekijken. De overige problemen bevinden zich in de Windows NAT Driver en ICMPv6, waardoor een Denial of Service mogelijk was.

Als laatste is ook een kwetsbaarheid in Active Directory Federation Services (AD FS) verholpen. Hierdoor was het mogelijk voor een aanvaller om informatie over een service account dat de AD FS gebruikte te achterhalen om vervolgens van buiten het bedrijfsnetwerk proberen in te loggen.

De updates zijn via Windows Update of de Automatische Updatefunctie te downloaden.

Reacties (2)
14-08-2013, 10:21 door Anoniem
"Als laatste is ook een kwetsbaarheid in Active Directory Federation Services (AD FS) verholpen. Hierdoor was het mogelijk voor een aanvaller om informatie over een service account dat de AD FS gebruikte te achterhalen om vervolgens van buiten het bedrijfsnetwerk proberen in te loggen."

Helaas incorrect. Met deze kwetsbaarheid is het mogelijk om de accountgegevens van de service account te achterhalen, en vervolgens indien er een password policy aanwezig is via incorrecte logons het account te locken; wat tot een DoS leidt. Uiteraard als je als wachtwoord '123' gebruikt kan het inloggen; maar in eerste instantie gaat het om het locken en dus onbeschikbaar maken van dat account; en services die dat account gebruiken.

Maar alsnog ellende; dus snel patchen maar.


MegaN00B
14-08-2013, 12:13 door Spiff has left the building
Opvallend dat Microsoft gisteren op patch-dinsdag niet in samenwerking met Adobe een update voor de in Windows 8 IE10 geïntegreerde Adobe Flash Player heeft uitgebracht, zoals eerder alle voorgaande patch-dinsdagen sinds general availability van Windows 8.
En ook voor Adobe Flash Player voor andere browsers dan IE10 onder Windows 8 heeft Adobe geen updates uitgebracht.
Viel er niets te patchen aan Flash Player?
Ik kan me dat werkelijk nauwelijks voorstellen, dus ik vind het nogal merkwaardig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.