Het nieuwe jaar is voor Microsoft begonnen met vier updates voor zes lekken in Windows, Office en Dynamics AX, zo blijkt uit het overzicht van de patchdinsdag van januari. De belangrijkste update is MS14-002, voor een lek in Windows XP en Server 2003 dat al sinds eind november wordt misbruikt.

Dit lek werd bij aanvallen tegen onder andere ambassades in het Midden-Oosten gebruikt. Slachtoffers kregen een PDF-bestand toegestuurd dat van een bekend lek in Adobe Reader gebruik maakte. Via het Windowslek konden aanvallers vervolgens hun rechten op de computer verhogen. De aanval was alleen succesvol als gebruikers oude en onveilige versies van Adobe Reader gebruikten. Wie de meest recente versie van Adobe Reader gebruikte liep geen risico bij het openen van de kwaadaardige PDF-bestanden.

Overige updates

De overige drie beveiligingsupdates zijn voor kwetsbaarheden die direct aan Microsoft werden gerapporteerd. MS14-001 verhelpt drie kwetsbaarheden in Microsoft Office 2003, 2007, 2010, 2013 en SharePoint Server 2010, 2013 en Office Web Apps 2010 en 2013. Het openen van een kwaadaardig bestand zorgt ervoor dat een aanvaller willekeurige code op de computer kan uitvoeren. De drie kwetsbaarheden zijn niet aanwezig in Office voor Mac 2011.

MS14-003 is alleen bedoeld voor gebruikers van Windows 7 en Server 2008. Een aanvaller kon via het lek dat de update verhelpt zijn rechten op het systeem verhogen. Als laatste resteert MS14-004 voor een kwetsbaarheid in Microsoft Dynmics AX waardoor een aanvaller een Denial of Service kan veroorzaken. De updates zijn te downloaden via Windows Update of de Automatische Updatefunctie.