Tijdens de patchcyclus van november heeft Microsoft bij elkaar negentien lekken in Windows, Internet Explorer en Office gepatcht, waardoor een aanvaller in het ergste geval het onderliggende systeem kon overnemen. In totaal verschenen er acht beveiligingsupdates, waarvan er drie als kritiek zijn bestempeld.
De eerste kritieke beveiligingsupdate is MS13-088, die in totaal 10 beveiligingslekken in Internet Explorer verhelpt. Het bezoeken van een gehackte of kwaadaardige website met een kwetsbare IE-versie was voldoende voor een aanvaller om bijvoorbeeld malware op een computer te installeren. Eén van de gepatchte lekken was door twee verschillende onderzoekers ontdekt.
De tweede update die zo snel als mogelijk moet worden geïnstalleerd is MS13-089. Het gaat om een kwetsbaarheid in de Windows Graphics Device Interface (GDI). Het openen van een speciaal geprepareerd Windows Write-bestand (.WRI) in WordPad zou een aanvaller dezelfde rechten als de ingelogde gebruiker geven.
MS13-090 maakt het trio van kritieke updates compleet. Deze update is voor het zero-day-lek dat dit weekend werd onthuld en actief door aanvallers wordt gebruikt. Het blijkt om een kwetsbaarheid in een oud ActiveX-onderdeel van Internet Explorer te gaan. De nu uitgebrachte update verhelpt dit met een zogeheten "ActiveX Kill Bit", die het onderdeel in kwestie uitschakelt. Microsoft verwacht dat aanvallers dit lek de komende tijd zullen blijven misbruiken.
De overige vijf beveiligingsupdates zijn als "Belangrijk" bestempeld en verhelpen kwetsbaarheden in Microsoft Office en Windows. De updates zijn te downloaden via Windows Update of de Automatische Update-functie.
Deze posting is gelocked. Reageren is niet meer mogelijk.