Adobe en Microsoft hebben tijdens de patchdinsdag van november bij elkaar 51 beveiligingslekken gepatcht. In het geval van Microsoft ging het om 14 updates die in totaal 33 kwetsbaarheden verhielpen, waarvan twee zero day-lekken die actief werden aangevallen voordat er een update beschikbaar was.

Het gaat om Security Bulletin MS14-064 en MS14-078. In het geval van MS14-064 betreft het een lek in Microsoft Windows Object Linking and Embedding (OLE) dat via kwaadaardige PowerPoint-bestanden werd gebruikt om Windowscomputers met malware te infecteren. MS14-078 verhelpt een lek in de "Microsoft Input Method Editor (IME) (Japanese)". Via de kwetsbaarheid kon een aanvaller uit de sandbox van andere geïnstalleerde programma's breken. Volgens Microsoft zou er één gerichte aanval zijn waargenomen waarbij dit lek werd gebruikt om de sandbox van Adobe Reader te omzeilen.

De meeste lekken die Microsoft gisteren patchte bevinden zich in Internet Explorer. Er werden in totaal 17 IE-lekken gepatcht. Verder zijn er kritieke kwetsbaarheden in Microsoft Secure Channel (Schannel) en XML Core Services gepatcht waardoor een aanvaller willekeurige code op de computer kon uitvoeren. Ook drie lekken in Microsoft Office 2007 die een aanvaller dit lieten doen zijn opgelost.

De impact van de overige kwetsbaarheden, die zich in Windows Audio Service, .NET Framework, SharePoint Foundation, Remote Desktop Protocol, Internet Information Services (IIS), Active Directory Federation Services en Kernel Mode Driver bevonden, zijn minder ernstig. In deze gevallen kon een aanvaller zijn rechten op de computer verhogen, informatie achterhalen, een Denial of Service veroorzaken of een beveiligingsmaatregel omzeilen.

Twee beveiligingsupdates die voor gisterenavond stonden gepland, MS14-068 en MS14-075, heeft Microsoft voor onbekende redenen niet uitgebracht. Wanneer deze updates nu verschijnen is nog onbekend. De wel beschikbare updates zijn te downloaden via Windows Update en zullen bij de meeste gebruikers automatisch worden geïnstalleerd.

Adobe

Naast Microsoft kwam Adobe met een grote update voor Flash Player die 18 lekken verhelpt. In 15 van de kwetsbaarheden kon een aanvaller willekeurige code op de computer uitvoeren zodra er met een kwetsbare Flash Player een gehackte of kwaadaardige website werd bezocht. De overige drie lekken maakten het mogelijk voor een aanvaller om zijn rechten op het systeem te verhogen of sessietokens te stelen. Gebruikers krijgen het advies om naar Flash Player 15.0.0.223 te upgraden.

In het geval van Internet Explorer 10 en 11 op Windows 8 en 8.1, alsmede Google Chrome op alle platformen, zal de ingebedde Flash Player in deze browsers automatisch worden geüpdatet. Flash Player zelf beschikt over een automatische update. Gebruikers krijgen echter het advies om ervoor te zorgen dat de update binnen 72 uur geïnstalleerd is. Dit vanwege de kans op misbruik van de kwetsbaarheden. Via deze website van Adobe kan worden gecontroleerd welke versie er op het systeem staat.