Microsoft heeft tijdens de patchcyclus van september updates voor 81 kwetsbaarheden in Internet Explorer, Edge, Windows, Office, Skype for Business, .NET Framework en Exchange Server uitgebracht. Het gaat onder andere om een zeroday-lek in .NET die de afgelopen periode actief werd aangevallen en de BlueBorne-kwetsbaarheid in de Bluetooth-implementatie van Windows.
Via 39 van de kwetsbaarheden had een aanvaller op afstand willekeurige code op het systeem kunnen uitvoeren. 27 hiervan zijn er door Microsoft als "ernstig" bestempeld. Het gaat om kwetsbaarheden in IE, Edge, Microsoft PDF, Scripting Engine, Windows DHCP Server, Windows GDI+ en Win32k Graphics. Daarnaast zijn er drie lekken gepatcht die al voor het verschijnen van de update bekend waren, maar volgens Microsoft niet zijn aangevallen. Er is dan ook geen sprake van zeroday-lekken.
Het gaat om een kwetsbaarheid waardoor de Device Guard beveiligingsmaatregel is te omzeilen, een beveiligingslek in de Broadcom-chipset van de HoloLens waardoor een aanvaller via een speciaal wifi-pakket het apparaat kan overnemen en een kwetsbaarheid in Microsoft Edge waardoor een beveiligingsmaatregel van de browser omzeild kan worden. Op de meeste systemen zullen de updates automatisch worden geïnstalleerd. Op systemen waar het automatisch installeren van updates niet staat ingeschakeld adviseert Microsoft dit alsnog in te schakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.