Microsoft heeft eindelijk een update uitgebracht voor een zeer ernstig beveiligingslek in Internet Explorer dat door een Nederlandse hacker werd ontdekt. Beveiligingsonderzoeker Peter Vreugdenhil verdiende tijdens de Pwn2Own hackerwedstrijd met zijn exploit voor IE8 vijfduizend dollar. Ook Firefox en Safari sneuvelden tijdens het evenement, dat eind maart plaatsvond. Mozilla had het lek binnen een week gepatcht, terwijl Apple op vijftien april een update klaar had staan. De kwetsbaarheid was op verantwoorde wijze gemeld, toch had Microsoft twee maanden nodig voor een oplossing.
Tijdens één van de drukste patchdinsdagen in de geschiedenis, verhielp de softwaregigant in totaal 34 beveiligingslekken, waarvan er zes in Internet Explorer zaten. Security Bulletin MS10-035 krijgt dan ook de hoogste prioriteit van Microsoft, wat betekent dat zowel gebruikers als systeembeheerders de patch zo snel als mogelijk moeten uitrollen. De softwaregigant verwacht dat er binnen een maand exploitcode voor de kwetsbaarheden beschikbaar is.
DirectShowEen ander Security Bulletin dat alle aandacht verdient is MS10-033. Deze patch verhelpt twee lekken in DirectShow en Windows Media Format Runtime, waardoor een aanvaller kwetsbare systemen kan overnemen. Net zoals met de IE-lekken zijn alle Windows versies kwetsbaar. Lekken in DirectShow zijn al meerdere keren door aanvallers gebruikt en ook nu verwacht Microsoft binnen een maand exploitcode.
De derde en laatste belangrijke update is MS10-034, die een bijgewerkt lijst met ActiveX Kill Bits bevat. Het gaat om twee kwetsbare Microsoft Active X controls en vier controls van derden die nu door IE worden geblokkeerd. Verder is er ook een ernstig Office-lek gepatcht, maar aangezien dit interactie van de gebruiker vereist, kreeg dit lek geen 'critical' rating. Updaten kan via Windows Update en de Automatische Update functie.
Bron
