Microsoft patcht Office en Windows, behalve XP
Microsoft heeft dinsdag acht patches vrijgegeven om in totaal veertien kwetsbaarheden aan te pakken in Windows, Office en Sharepoint Server. Drie van de zwakke plekken werden daadwerkelijk misbruikt.
Dit is de eerste Patch Tuesday sinds Microsoft gestopt is met de ondersteuning voor Windows XP en Office 2003. Vorige week kwam de softwaregigant nog met een update voor alle Windowsversies, inclusief XP, maar deze keer zet het bedrijf het nieuwe beleid wel door. Dit ondanks dat een van de updates een kritieke fout verhelpt die waarschijnlijk ook van toepassing is op Windows XP.
[related_article id=”161452″]
Eind van de lijn
Minder bekend is dat Microsoft Office 2003 sinds april ook geen ondersteuning meer ontvangt. Er zijn twee nieuwe updates voor het Office-pakket, maar niet voor de 2003-versie. Terwijl het erop lijkt dat minimaal een van de niet kritieke updates van toepassing zou zijn.
Nog minder bekend is het beëindigen van de support van Microsoft Sharepoint Portal Server 2003. Drie kritieke kwetsbaarheden in de Sharepoint Server-versies van 2007, 2010 en 2013, Office Web Apps, Sharepoint Designer en Sharepoint Server 2013 Client Components SDK zijn dinsdag aangepakt, maar niet in het product uit 2003.
Acht patches
Drie van onderstaande kwetsbaarheden worden al misbruikt. Een vierde is al publiekelijk bekendgemaakt. De ergste, MS14-029, heeft zo goed als zeker invloed op Windows XP en wordt misbruikt, maar XP-gebruikers ontvangen geen update.
- MS14-029: Beveiligingsupdate voor Internet Explorer (2962482) – Dit is de meeste kritieke update. Alle ondersteunde versies van Internet Explorer op alle ondersteunde versies van Windows (hier hoort XP dus niet langer bij) zijn kwetsbaar voor twee zwakke plekken in het geheugen. Dit kan leiden tot het op afstand uitvoeren van code. Microsoft zegt op de hoogte te zijn van een beperkt aantal aanvallen die proberen een van deze zwakke plekken te misbruiken.
- MS14-022 – Alle ondersteunde versies van Sharepoint Server, waaronder 2007, 2010 en 2013, net als Office Web Apps, Sharepoint Designer en Sharepoint Server 2013 Client Components SDK zijn kwetsbaar voor de mogelijkheid om op afstand code uit te voeren. Cross-site scripting (XSS) zorgt voor een tweede zwakke plek, maar alleen in Sharepoint Server 2013, Office Web Apps, en Sharepoint Server 2013 Client Components SDK. Een laatste kwetsbaarheid voor het op afstand uitvoeren van code heeft alleen betrekking op Office Web Apps 2010. Microsoft stelt dat het onwaarschijnlijk is dat deze laatste zwakke plek uitgebuit gaat worden. Het is onbekend of een of meerdere van deze kwetsbaarheden ook invloed heeft op Sharepoint 2003.
- MS14-024: Zwakke plek in Microsoft Common Control staat Security Feature Bypass toe (2961033) – Een zwakke plek in de MSCOMCTL common controls library kan een kwaadaardige website in staat stellen om ASLR (Address Space Layout Randomization) over te slaan. Microsoft beweert op de hoogte te zijn van een beperkt aantal aanvallen die proberen deze kwetsbaarheid te misbruiken. Deze library komt met alle versies van Microsoft Office, maar de 2003-versie wordt niet genoemd voor de update.
- MS14-023: Kwetsbaarheden in Microsoft Office staat op afstand uitvoeren van code toe (2961037) – De testtools in Microsoft Office 2007 en 2010 en in sommige edities van 2013, waaronder de RT-versies, zijn kwetsbaar voor een bug in de manier waarop Office Chinese grammatica checkt, specifiek op de manier hoe het programma een bepaalde DLL laadt. Door een kwaadaardige DLL met dezelfde naam in een bepaalde map op het netwerk te plaatsen, kan een hacker gebruikers zover krijgen om een bepaalde code te laden. Een tweede zwakke plek heeft alleen invloed op bepaalde versies van Office 2013. Het stelt de beheerder van een kwaadaardige website in staat om toegangstokens te verkrijgen van Office. Microsoft stelt dat het onwaarschijnlijk is dat deze laatste zwakke plek uitgebuit gaat worden.
- MS14-025: Zwakke plek in voorkeuren Group Policy staat mogelijk het verhogen van privileges toe (2962486) – Deze kwetsbaarheid bestaat wanneer je via de Active Directory wachtwoorden verspreidt die zijn aangemaakt bij de voorkeuren van de Group Policy. Een geverifieerde hacker die hier succesvol misbruik van maakt kan wachtwoorden ontcijferen en deze gebruiken om bepaalde privileges te verhogen op het domein. Volgens Microsoft was deze kwetsbaarheid al publiekelijk bekendgemaakt.
- MS14-026: Zwakke plek in .NET Framework staat mogelijk het verhogen van privileges toe (2958732) – Bijna elke versie van Windows is kwetsbaar voor het verhogen van de privileges door hackers vanwege de manier waarop het .NET Framework omgaat met checks van TypeFilterLevel voor bepaalde objecten.
- MS14-027: Alle versies van Windows zijn kwetsbaar voor het verhogen van privileges wanneer de Windows Shell niet op de juiste manier omgaat met bestandsassociaties. Een succesvolle hacker kan dan code uitvoeren in de Localsystem-contect. Microsoft zegt op de hoogte te zijn van een beperkt aantal aanvallen die proberen deze zwakke plek te misbruiken.
- MS14-028: Zwakke plek in Windows Shell Handler staat mogelijk het verhogen van privileges toe (2962488) – Serverversies van Windows zijn kwetsbaar voor twee denial-of-service-kwetsbaarheden op de manier waarom Windows omgaat met iSCSI-pakketten. Maar volgens Microsoft is de kans klein dat een van beide zwakke plekken misbruikt gaat worden.