Eén van de kwetsbaarheden die Microsoft aanstaande dinsdag 10 september zal patchen bevindt zich in de previewfunctie van Microsoft Outlook, in het Nederlands bekend als voorbeeldweergave. Door alleen een e-mail te previewen, zonder die expliciet te openen, kan een aanvaller de computer overnemen.
Dat stelt Wolfgang Kandek van beveiligingsbedrijf Qualys. Het probleem bevindt zich in Outlook in Office 2007 en 2010. Deze update moet dan ook een hoge prioriteit binnen bedrijven krijgen, merkt Kandek op. In het verleden wisten virussen zich via de voorbeeldweergave te verspreiden, wat mogelijk was omdat actieve content door Outlook werd toegestaan.
Dat is inmiddels door Microsoft aangepast. Via een exploit zou het echter wel mogelijk zijn om het lek dat Microsoft dinsdag patcht te misbruiken. De softwaregigant heeft het Security Bulletin voor Outlook als kritiek bestempeld. Deze rating wordt alleen aan kwetsbaarheden gegeven waar er nauwelijks enige interactie van de gebruiker is vereist om het lek te misbruiken, waardoor de voorbeeldweergave zeer waarschijnlijk het probleem is, aldus Kandek.
"De Outlook-update is bijna net zo belangrijk als die voor Internet Explorer, omdat na de browser je e-mailclient net zo populair en belangrijk is", voegt Andrew Storms van CloudPassage toe. Dit geldt met name voor zakelijke gebruikers.
Naast de update voor IE6 t/m IE10 verschijnt er ook een kritieke Windows-update voor alleen Windows XP. Volgens Storms probeert Microsoft nog zoveel mogelijk zaken die op de plank liggen te patchen voordat de ondersteuning van het besturingssysteem op 8 april 2014 stopt.
Tommy Chin van CORE Security stelt dat het kritieke Security Bulletin voor SharePoint de meeste aandacht verdient. "De data op een server is meestal meer waard dan de data op een werkstation en het is vrij eenvoudig om SharePoint servers via Google te vinden", zo laat hij tegenover IDG weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.