Nog nooit eerder in de geschiedenis heeft Microsoft zoveel beveiligingslekken in de eigen software in één keer verholpen. Gisterenavond dichtte de softwaregigant een recordaantal van 34 lekken, waarmee het vorige record van juni gebroken werd. Toen werden er 31 kwetsbaarheden gepatcht. De belangrijkste updates zijn voor twee zero-day lekken, de SMBv2 kwetsbaarheid in Windows Vista en Server 2008 en het IIS-lek dat sinds september al actief door hackers wordt misbruikt. In totaal bleken er 3 aparte lekken in het SMBv2 protocol te zitten.

Daarnaast behoren ook vier drive-by download-lekken in Internet Explorer tot het verleden en is er een lek ActiveX control gepatcht dat aanvallers ook actief misbruikten. Het probleem hing samen met de eerder verholpen problemen in de Microsoft Active Template Library (ATL). De overige updates zijn voor Office, Silverlight, de zakelijke anti-virus software Forefront, Developer Tools en SQL Server. Een ander lek dat onlangs in het nieuws kwam is dankzij Security Bulletin MS09-056 opgelost. Het ging om kwetsbaarheden in de CryptoAPI library waardoor SSL certificaten met een NULL karakter werden geaccepteerd. Hierdoor lukte het een onderzoeker om een vals PayPal certificaat te maken, zonder dat Internet Explorer hierover alarm sloeg.

Nederlands Forensisch Instituut
Verder zijn de eerste zes Security Bulletins voor Windows 7 verschenen, waarmee het besturingssysteem zijn vuurdoop beleefde. Veel van de kwetsbaarheden zijn door externe onderzoekers gemeld. In totaal bedankt de softwaregigant 25 onderzoekers, waaronder Matthieu Suiche van het Nederlands Forensisch Instituut en Jeroen Frijters van Sumatra. Opmerkelijk is ook het bedankje aan Kingcope, de onderzoeker publiceerde op "onverantwoorde" wijze één van de IIS-lekken, maar wordt toch bedankt.

Van de 13 bulletins verwacht de softwaregigant dat er 7 misbruikt zullen worden, of dat dit al het geval is. Het volledige overzicht is op deze pagina te bekijken, updaten kan via Windows Update en de Automatische Update functie.