Microsoft pakt 20 jaar oude Windows-kwetsbaarheid aan
Microsoft pakt aanstaande dinsdag in zijn maandelijkse patchronde een kwetsbaarheid aan die maar liefst 20 jaar in de Windows-kernal aanwezig is geweest. De kwetsbaarheid zou sinds Windows NT uit 1993 in de code zitten. Ook een aantal andere kwetsbaarheden in onder andere Internet Explorer, Silverlight en .NET Framework worden aangepakt.
De kwetsbaarheid is in mei ontdekt door de beveiligingsexpert Tavis Ormandy. De kwetsbaarheid biedt de mogelijkheid eigen code uit te voeren op een Windows-machine en het systeem te laten crashen. De kwetsbaarheid is in alle Windows-varianten aanwezig die sinds Windows NT zijn uitgekomen. Ook Windows 8 is dus kwetsbaar.
Vijandige behandeling
Ormandy meldde de kwetsbaarheid bij Microsoft, maar stelt op een vijandige manier door Microsoft's security-expert te zijn behandeld. Ormandy besloot hierop de kwetsbaarheid te publiceren en Microsoft via deze weg tot actie te dwingen. Samen met een hacker wist de beveiligingsexpert een werkende exploit te vinden. Deze exploit kan echter alleen worden uitgevoerd als een hacker een Windows-systeem al is binnengedrongen, waardoor het risico beperkt is.
Microsoft heeft nu dus een fix ontwikkeld voor de kwetsbaarheid en verhelpt deze aanstaande dinsdag met een patch. Het bedrijf verhelpt daarnaast ook een aantal andere kwetsbaarheden. Het gaat om beveiligingslekken in Internet Explorer 6 t/m 10, .NET Framework, Silverlight, Windows Server 2008 en 2012, Lync en de API GDI+. In alle gevallen gaat het om kwetsbaarheden die zonder tussenkomst van het slachtoffer kunnen worden misbruikt.