Microsoft heeft tijdens de patchdinsdag van februari 12 patches uitgegeven, voor ernstige beveiligingslekken in Windows en Internet Explorer. In totaal gaat het om 22 lekken die de twaalf updates verhelpen. Voor acht van de twaalf patches verwacht Microsoft dat aanvallers binnen een maand exploitcode klaar hebben staan. Voor drie lekken is dit al het geval, aangezien die al enige tijd bekend zijn. Het gaat om zero-day lekken in Internet Explorer, Graphics Rendering Engine en de FTP-service van Microsoft IIS.

Een ander belangrijk gepatcht lek bevindt zich in de OpenType Font driver. Op Vista, Server 2008 en Windows 7 zou een aanvaller via een speciaal gemaakt OpenType font kwetsbare systemen kunnen overnemen als slachtoffer via de Windows Verkenner het bestand bekijken. Deze aanvalsvector werkt niet op Windows XP en Server 2003. Daar moet een aanvaller eerst op het systeem inloggen, om vervolgens een applicatie uit te voeren dat het lek misbruikt.

Via de overige gepatchte kwetsbaarheden kan een aanvaller voornamelijk zijn rechten verhogen. Op deze pagina staat een overzicht van alle kwetsbaarheden en hoe aanvallers die kunne misbruiken. Updaten kan via de Automatische Update functie en Windows Update.

Noodpatch
De kwetsbaarheid in Internet Explorer was al sinds begin december bekend. "Deze advisory en de zero-day onthulling die hier aan vooraf ging, zorgde voor discussie in de beveiligingsgemeenschap, en sommigen dachten dat we gedwongen waren een noodpatch uit te brengen om klanten te beschermen", zegt Angela Gunn van Trustworthy Computing.

Gunn merkt op dat noodpatches voor klanten vervelend zijn en Microsoft waar mogelijk ze probeert te vermijden. "Gebaseerd op onze mogelijkheden om het dreigingslandschap te monitoren, konden we zien dat de pogingen om dit lek aan te vallen zeer klein waren." Daardoor kon de softwaregigant de update uitgebreid testen en tijdens de reguliere patchdinsdag uitbrengen.

Daarbij bracht Microsoft het aantal aanvallen op het IE-lek (CVE-2010-3971) ten opzichte van aanvallen op het Stuxnet Windows LNK-lek (CVE-2010-2568) in kaart. Daaruit blijkt inderdaad dat misbruik van het IE-lek zeer beperkt was.