Microsoft patcht 4 zero day-lekken in Windows en IE
Microsoft heeft tijdens de patchdinsdag van oktober vier zero day-lekken gepatcht die actief werden gebruikt om computers aan te vallen terwijl er nog geen update beschikbaar was. In totaal verschenen er 8 Security Bulletins die 24 lekken verhelpen. De meeste lekken, 15 in totaal, werden in IE gepatcht.
De eerste zero day die Microsoft verhielp betreft een kwetsbaarheid waardoor een aanvaller uit de sandbox van Internet Explorer kon ontsnappen. Dit is nog niet voldoende om de computer over te nemen of willekeurige code uit te voeren en moet dan ook met een ander lek worden gecombineerd, zo stelt Microsoft. Via verschillende andere IE-lekken was het wel mogelijk om willekeurige code uit te voeren, maar deze kwetsbaarheden zouden niet actief worden aangevallen. Security Bulletin MS14-056 verhelpt alle 15 IE-lekken.
Windows
Twee andere zero day-lekken die Microsoft patchte bevinden zich in Windows. De eerste zero day wordt gebruikt voor het verhogen van de rechten van de aanvaller, terwijl de tweede het uitvoeren van willekeurige code op de computer mogelijk maakt. Om de aanval uit te voeren moet een aanvaller het slachtoffer een kwaadaardig document laten openen of een gehackte of kwaadaardige website laten bezoeken die embedded TrueType fonts bevatten. De twee lekken worden verholpen via Security Bulletin MS14-058.
De vierde en laatste zero day betreft het lek waar vanochtend al voor werd gewaarschuwd. Deze kwetsbaarheid is aanwezig in de Windows OLE-technologie. Via PowerPoint 2007-bestanden werd het lek ook gebruikt voor het aanvallen van de Oekraïense overheid en een Amerikaanse denktank. In het geval de aanval succesvol is kan een aanvaller willekeurige code met de rechten van de ingelogde gebruiker uitvoeren. Aangezien het succes van de aanval de nodige interactie van een gebruiker vereist heeft Microsoft de ernst van dit lek als "Belangrijk" beoordeeld. MS14-060 lost dit lek op.
Het volledige overzicht van alle beveiligingsupdates is op deze pagina te vinden. Op Technet.com bespreekt Microsoft de risicobeoordeling van elke update. De updates zelf zijn via Windows Update te downloaden en zullen op de meeste Windowscomputers automatisch worden geïnstalleerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.