Tijdens de patchdinsdag van april heeft Microsoft vijf zero day-lekken in de software gedicht, waarvan twee in Windows die de afgelopen periode actief werden aangevallen voordat de beveiligingsupdate beschikbaar was. In totaal verschenen er gisteren 12 beveiligingsupdates voor 30 kwetsbaarheden in Internet Explorer, Microsoft Edge, het .NET Framework, Windows, Skype for Business en Microsoft Lync.

In IE, het .NET Framework en Windows 10 werden 3 kwetsbaarheden verholpen die al voor het verschijnen van de update openbaar bekend waren gemaakt. Het gaat in dit geval om zogeheten 'zero days'. De beveiligingslekken zijn voor zover bekend niet aangevallen. Dat geldt niet voor twee zero day-kwetsbaarheden in alle ondersteunde versies van Windows. Die waren niet voor het verschijnen van de beveiligingsupdate openbaar bekend, maar zijn wel gebruikt bij aanvallen, aldus Microsoft.

Het gaat om twee kwetsbaarheden in de Windows kernel-mode driver waardoor een aanvaller die al toegang tot een computer heeft zijn rechten kan verhogen en zo volledige controle over het systeem kan krijgen. De kwetsbaarheden waren door het Russische anti-virusbedrijf Kaspersky Lab en het Amerikaanse beveiligingsbedrijf FireEye aan Microsoft gerapporteerd.

Van de 12 beveiligingsupdates zijn er 5 als ernstig aangemerkt, wat inhoudt dat ze kwetsbaarheden verhelpen waardoor een aanvaller op afstand code op het systeem kan uitvoeren. Via de overige updates kan een aanvaller een denial of service veroorzaken, beveiligingsmaatregelen omzeilen en zijn rechten op het systeem verhogen. De updates worden op de meeste computers automatisch via Windows Update geïnstalleerd.