Tijdens de patchdinsdag van oktober heeft Microsoft zestig kwetsbaarheden in Windows, Office en andere software verholpen. Geen van de beveiligingslekken is volgens de softwaregigant voor het uitkomen van de updates aangevallen. Negen van de kwetsbaarheden zijn als ernstig bestempeld.

Via dergelijke lekken kan een aanvaller volledige controle over een systeem krijgen met nauwelijks enige interactie van de gebruiker. Het gaat dan bijvoorbeeld om kwetsbaarheden in Edge en Internet Explorer die alleen al bij het bezoeken van een kwaadaardige of gecompromitteerde website kunnen worden misbruikt. Ook via een kwetsbaarheid in Remote Desktop Services (RDP) had een aanvaller systemen kunnen overnemen. In dit geval had een gebruiker verbinding met een kwaadaardige server moeten maken, bijvoorbeeld via social engineering of een man-in-the-middle-aanval, aldus Cisco.

Cortana

Een "security feature bypass" voor Windows 10 Mobile maakt het mogelijk om via spraakassistent Cortana toegang tot bestanden op een vergrendelde telefoon te krijgen. In dit geval heeft een aanvaller wel fysieke toegang tot het toestel nodig. Microsoft heeft geen beveiligingsupdate voor het probleem uitgebracht, maar adviseert gebruikers van Windows 10 Mobile om Cortana op het lockscreen uit te schakelen, zo meldt het Zero Day Initiative.

Naast Windows en Microsoft Office zijn er ook kwetsbaarheden in Internet Explorer, Edge, ChakraCore, Microsoft Office Services en Web Apps, SQL Server Management Studio, Microsoft Dynamics 365 en Windows Update Assistant verholpen. De updates zullen op de meeste systemen automatisch worden geïnstalleerd.

Afsluitend waarschuwt Microsoft gebruikers van Windows 7 en Windows Server 2008 R2 dat beide platformen vanaf 14 januari 2020 geen beveiligingsupdates meer zullen ontvangen. Gebruikers van deze platformen wordt aangeraden naar een nieuwere Windowsversie te upgraden.