Tijdens de patchdinsdag van juli heeft Microsoft zes updates uitgebracht die in totaal 29 lekken verhelpen, waarvan 24 in Internet Explorer en 5 in Windows. Van de 24 gepatchte lekken in IE waren er 23 direct aan Microsoft gemeld en één al publiek bekend.

Via de kwetsbaarheden in IE kan een aanvaller in het ergste geval de computer volledig overnemen als een kwetsbare IE-gebruiker een kwaadaardige of gehackte website bezoekt. Het lek in IE dat publiek bekend was betrof een probleem waardoor een beveiligingsmaatregel bij het gebruik van EV SSL-certificaten omzeild kon worden.

Ook via een lek in Windows zou een aanvaller willekeurige code kunnen uitvoeren. In dit geval moet het slachtoffer een kwaadaardig .JNT-bestand openen of met IE naar een WebDAV-share gaan waar de aanvaller een kwaadaardig .JNT-bestand heeft staan dat automatisch wordt geladen.

Drie andere lekken in Windows maakten het mogelijk voor een aanvaller om zijn rechten op de computer te verhogen. De zesde en laatste update betreft een lek in de Service Bus voor Windows Server waardoor een aanvaller een Denial of Service kan veroorzaken.

Niet interessant

Voor de gepatchte lekken in Internet Explorer en Windows verwacht Microsoft dat aanvallers binnen 30 dagen exploitcode zullen ontwikkelen die van de kwetsbaarheden misbruik maken. In het geval van de kwetsbaarheid in de Service Bus voor Windows Server verwacht de softwaregigant helemaal geen exploits, omdat het lek "niet interessant" voor aanvallers zou zijn. De updates zijn via Windows Update en de Automatische Updatefunctie te downloaden.