image

Microsoft waarschuwt voor Word- en IE-lekken

woensdag 12 december 2012, 10:05 door Redactie, 3 reacties

Microsoft heeft de laatste geplande beveiligingsupdates van 2012 uitgegeven, voor ernstige lekken in Windows, Internet Explorer en Word. In totaal gaat het om zeven patches voor 12 lekken. Beveiligingsupdates MS12-077 en MS12-079 krijgen van Microsoft de hoogste prioriteit. MS12-077 verhelpt drie ernstige lekken in IE waardoor aanvallers de computer kunnen overnemen. De kwetsbaarheden zijn in alle IE-versies aanwezig.

MS12-079 verhelpt een ernstig beveiligingslek in Word. Het openen van een speciaal geprepareerd Rich Text Format (RTF) bestand, of het previewen van of het openen van een speciaal geprepareerd RTF e-mailbericht in Outlook, waarbij Microsoft Word als e-mailviewer wordt gebruikt, zorgt ervoor dat een aanvaller willekeurige code met de rechten van de ingelogde gebruiker kan uitvoeren.

Updates
De overige kwetsbaarheden die Microsoft verhelpt bevinden zich in Windows en Exchange. Vijf van de zeven beveiligingsupdates beoordeelt Microsoft als 'critical' en voor deze lekken verwacht de softwaregigant dat aanvallers binnen een maand exploitcode gereed zullen hebben.

Het volledige overzicht van alle updates is op deze pagina te vinden, updaten kan via Windows Update.

Reacties (3)
12-12-2012, 10:08 door Erik van Straten
Update van root certificaten (optioneel)

Microsoft heeft op 2012-12-11 ook een optionele update voor de in Windows geïnstalleerde (en o.a. door MSIE gebruikte) root certificaten gesteld; zie https://support.microsoft.com/kb/931125. Optioneel wil zeggen dat deze update in de meeste gevallen niet automatisch wordt geïnstalleerd.

Vanaf Vista zal Windows een ontbrekend root certificaat, op het moment dat dit ontdekt wordt, automatisch proberen te downloaden en installeren, dus gebruikers daarvan hoeven niets te doen (tenzij zij soms offline zijn en zeker willen weten up-to-date te zijn met rootcertificaten, bijv. voor het checken van digitale handtekeningen onder eerder gedownloade binaries).

Windows XP en Server 2003 gebruikers zullen deze update sowieso handmatig moeten initiëren. Dat kan op 2 manieren:

(1) https://www.microsoft.com/en-us/download/details.aspx?id=35945 openen, de executable downloaden en starten;

(2) Open met Internet Explorer https://www.update.microsoft.com/, kies Aangepast (of Custom bij een Engelstalige Windows), en wacht tot het scannen van updates klaar is. Vervolgens klik je links op de optionele software. Nb. daar kun je soms ook allerlei driver-updates aantreffen, maar installeer die alleen nadat je (middels wat Googlen) hebt vastgesteld dat er geen bekende problemen mee zijn. Op mijn (Engelstalige) XP zet ik vervolgens een vinkje voor Update for Root Certificates for Windows XP [December 2012] (KB931125) en installeer deze.

Op mijn XPSP3 systeem was geen reboot nodig na installatie van deze update (en ik verwacht ook niet dat dit nodig is bij Server 2003).
12-12-2012, 12:35 door Anoniem
@Erik van Straten: Bedankt voor deze extra info
12-12-2012, 16:01 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.