Microsoft dicht actief aangevallen lek in IE en Edge

[Captain Kirk]

Tijdens de patchronde van september heeft Microsoft bijna 50 beveiligingslekken in Internet Explorer, Edge, Windows, Silverlight, Office en Exchange verholpen waardoor een aanvaller in het ergste geval kwetsbare systemen volledig kon overnemen. Interactie van gebruikers was hierbij nauwelijks vereist.

In totaal verschenen er 13 updates waarvan er 6 als ernstig zijn aangemerkt. De overige 7 patches zijn met de beoordeling "belangrijk" lager ingeschaald. Twee van de kwetsbaarheden zijn zogeheten "zero days", beveiligingslekken die al voor het verschijnen van de beveiligingsupdate bekend waren of werden aangevallen. Een beveiligingslek in zowel Internet Explorer als Microsoft Edge werd actief aangevallen en liet aanvallers informatie uit de browser stelen. Om wat voor gegevens het precies gaat laat Microsoft niet weten.

Daarnaast was er een andere kwetsbaarheid in Windows waardoor een aanvaller ook informatie kon achterhalen. Dit beveiligingslek was al voor het verschijnen van de update openbaar gemaakt, maar is volgens Microsoft niet aangevallen. De meeste kwetsbaarheden werden deze maand in Microsoft Office gedicht, het ging in totaal om 13 kwetsbaarheden. Edge en Internet Explorer volgende met respectievelijk 12 en 10 beveiligingslekken, hoewel beide browsers verschillende kwetsbaarheden gemeen hebben.

Verder is er ook een rechtenlek in Windows verholpen waardoor een aanvaller met fysieke toegang tot een computer via het vergrendelscherm zijn rechten kon verhogen. Om dit beveiligingslek te misbruiken moest een aanvaller de computer met een kwaadaardige wifi-hotspot laten verbinden of een mobiele breedband-adapter aansluiten. Vervolgens was het mogelijk om code op de vergrendelde computer uit te voeren. De beveiligingsupdates zullen op de meeste computers automatisch worden geïnstalleerd.

 

 

bron: security.nl