Een nieuw beveiligingslek in Windows XP dat aanvallers in combinatie met een ouder lek in Adobe Reader gebruiken om computers over te nemen wordt pas volgend jaar gepatcht. Dat laat Microsoft in de aankondiging voor de laatste patchdinsdag van 2013 weten.
Microsoft waarschuwde eind november voor het zero-day-lek in Windows XP, dat bij gerichte aanvallen is ingezet. De kwetsbaarheid zou al een maand zijn misbruikt voordat het werd ontdekt. Het probleem speelt voor zover bekend alleen bij organisaties die een verouderde, kwetsbare versie van Adobe Reader gebruiken. De aanvallers gebruiken een lek in Adobe Reader in combinatie met het lek in XP om volledige controle over de computer te krijgen. XP-gebruikers die de meest recente versie van Adobe Reader gebruiken lopen geen risico.
Aanstaande dinsdag zal Microsoft wel een ander zero-day-lek in Windows dichten. Het gaat om een kwetsbaarheid in Windows Vista, Windows Server 2008, Office 2003 tot en met 2010 en Microsoft Lync, dat ook bij gerichte aanvallen is ingezet. Het probleem ontstaat bij het verwerken van TIFF-afbeeldingen.
Daardoor kan een aanvaller willekeurige code op de computer uitvoeren. Microsoft waarschuwde begin november voor dit lek. De kwetsbaarheid zou sinds juli van dit jaar tegen gebruikers van kwetsbare Office-versies zijn ingezet.
In totaal verschijnen er dinsdag 11 beveiligingsupdates, waarvan er 5 als kritiek en 6 als belangrijk zijn bestempeld. Gemiddeld patcht Microsoft met één beveiligingsupdate zo'n drie beveiligingslekken. Dit keer worden er kwetsbaarheden in Internet Explorer, Windows, Microsoft Exchange en GDI+ verholpen. De updates zijn dinsdagavond 10 december vanaf 19:00 uur te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.