2min

Microsoft heeft gisteren tijdens patch tuesday een tiental beveiligingsupdates uitgebracht die onder andere twee kritieke lekken dichten in alle Windows-versies. Afhankelijk van de Windows-versie worden er minimaal twee kritieke lekken gedicht en er wordt dan ook aangeraden de updates zo snel mogelijk te installeren.

De eerste beveiligingsupdate, MS15-112, lost problemen op met geheugen corruptie in Internet Explorer. Als een kwaadwillenden hiervan misbruik maken zou het systeem kunnen worden overgenomen en zouden kwaadwillenden over dezelfde rechten beschikken als de ingelogde gebruiker. Daarmee zou dus nog additionele software geïnstalleerd kunnen worden of data kunnen worden verwijderd.

Om misbruik te maken van dit lek moet de gebruiker een website openen die voorzien is van malafide code. Dit kan bijvoorbeeld worden gestimuleerd door links te verspreiden via e-mails en social media. De Edge-browser van Microsoft die alleen op Windows 10 beschikbaar is, is geheel toevallig ook gevoelig voor dit lek. Microsoft heeft dus wel degelijk delen van Internet Explorer hergebruikt. Dat lek wordt gedicht met een eigen beveiligingsupdate, MS15-113.

Ook Windows Server-besturingssystemen zijn gevoelig voor dit lek omdat ook zij gebruik maken van Internet Explorer.

De andere beveiligingsupdate, MS15-115, lost een probleem op in de manier hoe Windows om gaat met fonts (lettertypes). Ook dit lek is in alle Windows-versies aanwezig. Ook dit lek zou misbruikt kunnen worden via een malafide webpagina.

Tot slot is er nog een beveiligingsupdate die alleen effect heeft op Windows Vista en Windows 7, maar wel een kritieke lek dicht. Dit lek kan alleen misbruikt worden als de gebruiker een programma opstart met malafide code. Microsoft stelt dat er nog geen aanwijzingen zijn dat de kritieke lekken al worden misbruikt.

De overige acht patches die Microsoft heeft verspreid zijn belangrijk maar niet kritiek. Daarmee worden onder andere problemen opgelost in MIcrosoft Office, .NET Framework en Skype.