Microsoft stuurt patch uit voor lek in Internet Explorer en Exchange

© iStockphoto/PVL
Pieterjan Van Leemputten

Microsoft pakt in zijn update voor Patch Tuesday maar liefst zeventig kwetsbaarheden aan. Voor twee daarvan, in Internet Explorer en Exchange, circuleerde al een methode om het te misbruiken.

Patch Tuesday is de maandelijkse updatebundel waar Microsoft bugs en securityproblemen oplost voor zijn producten. Opmerkelijk is dat er deze maand twee extra gevoelige items bij zijn. Meestal blijven lekken publiek geheim tot ze worden opgelost, in dit geval circuleerde er al een proof-of-concept en code om de kwetsbaarheid te misbruiken.

Het gaat onder meer om een fout in Internet Explorer 10 en 11 op alle versies van Windows. Die kreeg de code CVE-2019-0676 mee. Door een malafide site te bezoeken, kan een hacker testen of één of meerdere specifieke bestanden op de schijf van een aangevallen pc werden bewaard. De kwetsbaarheid werd ontdekt en gemeld door GOogle’s Project Zero onderzoeksteam, maar er circuleerde al een actieve exploit (code om het probleem te misbruiken) op internet.

In een tweede geval gaat het over een probleem in maildienst Exchange die naam PrivExchange en code CVE-2019-0686 meekrijgt. Hier kan een hacker die toegang krijgt tot een gewone mailbox administratorrechten krijgen over de server waar die mailbox zit. Microsoft zegt dat het zelf geen misbruik van het probleem heeft gezien, maar dat het wel waarschijnlijk is dat er incidenten zijn.

In totaal pakt Patch Tuesday zeventig lekken aan, waarvan er twintig kritiek zijn. Het gaat naast Internet Explorer en Exchange onder meer om Edge, Windows, Office en .NET Framework, Visual Studio, Azure Iot SDK, MS Dynamics, Team Foundation Server en Visual Studio Code.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content