Microsoft zal dinsdag 10 juni zeven beveiligingsupdates uitbrengen die lekken in Windows, Word, Office, Lync, Live Meeting 2007 Console en Internet Explorer verhelpen, waaronder een lek in IE8 dat al 8 maanden geleden aan Microsoft werd gemeld. Van de zeven updates zijn er twee als kritiek beoordeeld.
Het gaat hierbij om updates voor kritieke lekken in Windows, IE, Lync en Office, waardoor een aanvaller willekeurige code op de computer kan uitvoeren zonder dat hiervoor veel interactie van de gebruiker is vereist. Het gaat dan bijvoorbeeld om alleen het bezoeken van een kwaadaardige of gehackte website. Het lek in IE8 valt hieronder. Deze kwetsbaarheid werd vorig jaar door een Belgische beveiligingsonderzoeker ontdekt en via het Zero Day Iniative van beveiligingsbedrijf TippingPoint aan Microsoft gerapporteerd.
TippingPoint hanteert een deadline van zes maanden waarin bedrijven de tijd krijgen om het gerapporteerde probleem te verhelpen. Aangezien Microsoft nog altijd geen update had uitgebracht besloot het beveiligingsbedrijf in mei enkele details te openbaren. Via het lek is het mogelijk om kwetsbare computers in het ergste geval volledig over te nemen. Volgens Dustin Child van Microsoft zijn er nog geen aanvallen op internet waargenomen die van het lek gebruik maken.
Microsoft patchte vorig jaar gemiddeld 3,16 lekken per patch, wat zou inhouden dat er aanstaande dinsdag in totaal 22 kwetsbaarheden worden verholpen. De updates zijn vanaf 19:00 uur via Windows Update verkrijgbaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.