Het zeer ernstige beveiligingslek in de Windows-kernel dat Microsoft dinsdag patchte, is niet alleen een probleem voor gebruikers van Internet Explorer, hackers kunnen systemen ook via Office bestanden overnemen. MS09-065 verhelpt een lek in het font parsing subsysteem van de win32.sys driver. Door een kwaadaardig font op een website te verstoppen kan een aanvaller de systemen van ongepatchte bezoekers overnemen, waarbij alleen het bezoeken van de website voldoende is.

Dit is niet de enige aanvalsvector, waarschuwt Brian Cavenah van het Microsoft Security Response Center. Een aanvaller zou de kwaadaardige fonts ook in een Office document kunnen verstoppen en dat bijvoorbeeld per e-mail naar een slachtoffer sturen. Daarbij zijn PowerPoint en Word documenten de meest voor de hand liggende aanvalsvectoren. Als laatste mogelijkheid beschrijft Cavenah een lokale aanvalsvector waarbij een gebruiker zijn of haar rechten kan verhogen. In dit geval zouden de kwaadaardige fonts door een geauthenticeerde gebruiker in een multi-user omgeving worden geladen.

Systeembeheerders doen er verstandig aan om de update zo snel als mogelijk uit te rollen als ze dat nog niet gedaan hebben. Een proof-of-concept exploit is al aan de hackertool Metasploit toegevoegd, maar die laat kwetsbare Windows 2000, XP en Server 2003 systemen alleen crashen. Een werkende exploit is volgens experts slechts een kwestie van dagen. Voor systeembeheerders die niet kunnen updaten, is het mogelijk om het laden en parsen van fonts in Internet Explorer uit te schakelen.