Microsoft zal aanstaande dinsdag zestien patches voor 34 beveiligingslekken in Windows, Internet Explorer, Office en verschillende andere programma's uitbrengen. Negen van de patches verhelpen ernstige kwetsbaarheden waardoor aanvallers het onderliggende systeem kunnen overnemen. Ook via een ander lek is dit mogelijk, maar volgens Microsoft lastiger om te doen, waardoor het als "Belangrijk" wordt omschreven. De overige zes patches zijn ook voor belangrijke lekken, waardoor een aanvaller een denial of service kan uitvoeren of informatie kan stelen.

De lekken bevinden zich in alle Windows-versies, Microsoft Office, Internet Explorer, .NET Framework, SQL Server, Visual Studio, Silverlight en de Forefront Threat Management Gateway (voorheen bekend als ISA).

Cookiedief
Eén van de problemen die Microsoft dinsdag verhelpt, is een tijdens Hack in the Box Amsterdam aangekondigd zero day-lek in Internet Explorer. Via deze aanval, genaamd "cookiejacking", kan een aanvaller cookies van gebruikers stelen en vervolgens als de gebruiker inloggen. De patch voor IE verhelpt één van de bekende aanvalsvectoren voor de cookie-map.

"Gegeven de aanwezigheid van andere soorten social engineering methoden die criminelen gebruiken, die tot veel meer dan alleen cookies toegang geven, denken we dat dit probleem een klein risico voor klanten is", zegt Angela Gunn van Microsoft's Trustworthy Computing. De softwaregigant heeft de aanvalstechniek nog niet in het wild ontdekt.

Eerder liet Microsoft al weten dat de IE 'porno-knop' bescherming tegen cookiedieven biedt. De updates zijn dinsdagavond beschikbaar en via Windows en de Windows Update website te downloaden.