Tijdens de patchdinsdag van september heeft Microsoft 42 lekken in Windows, Internet Explorer, het .NET Framework en Lync Server verholpen, waaronder één kwetsbaarheid die actief werd gebruikt om IE-gebruikers aan te vallen voordat er een update van Microsoft beschikbaar was.

In totaal publiceerde Microsoft vier Security Bulletins. Het belangrijkste bulletin is MS14-052. Deze update verhelpt namelijk 37 lekken in Internet Explorer, waaronder een lek dat op beperkte schaal werd ingezet bij aanvallen tegen IE-gebruikers. Via deze kwetsbaarheid kon een aanvaller informatie over gebruikte beveiligingssoftware op de computer achterhalen, zoals geïnstalleerde virusscanners of de aanwezigheid van Microsoft EMET, en die vervolgens gebruiken om detectie te voorkomen.

Via het grootste deel van de overige gepatchte kwetsbaarheden kon een aanvaller in het ergste geval de computer volledig overnemen als een IE-gebruiker alleen maar een gehackte of kwaadaardige website bezocht. Verdere interactie zou in dit geval niet vereist zijn. Deze lekken werden echter direct aan Microsoft gerapporteerd en er zijn geen aanwijzingen dat er ook misbruik van is gemaakt. Een groot deel van de gevonden IE-lekken kwam op naam van Bo Qu van Palo Alto Networks. De onderzoeker ontdekte 15 kwetsbaarheden in Microsofts browser.

Updates

De overige drie updates zijn voor Windows, het .NET Framework en Lync Server. Deze lekken werden direct aan Microsoft gemeld en zijn minder ernstig dan de lekken in IE. In het geval van Lync Server en het .NET Framework ging het om kwetsbaarheden waardoor een aanvaller een Denial of Service kon veroorzaken.

Het resterende Windows-lek betreft een kwetsbaarheid in de Windows Taakplanner. Via dit lek kon een aanvaller die op een computer kon inloggen zijn rechten op het systeem via een speciaal programma verhogen. Microsoft merkt op dat de kwetsbaarheid alleen lokaal en niet op afstand is te misbruiken. Alle updates zijn via Windows Update te downloaden.