Microsoft houdt aantal patches beperkt

Bulletin MS11-053 heet niet voor niets kritiek. Het betreft een lek in de Bluetooth-code van Windows 7 en Windows Vista dat kwaadwillenden op afstand kunnen uitbuiten om heimelijk toegang te krijgen tot een pc. Opmerkelijk genoeg zijn gebruikers van Windows XP, dat Bluetooth ook ondersteunt, gevrijwaard van dit probleem. De Bluetooth-code in Vista en Windows 7 is anders dan die in XP.

Bluetooth gebruiken in het openbaar af te raden
Mogelijke slachtoffers zijn bijvoorbeeld mensen die op een openbare locatie duidelijk zichtbaar het internet op gaan en daarbij een Bluetooth-muis of webcam gebruiken, zodat mag worden aangenomen dat ze Bluetooth op hun laptop hebben ingeschakeld. Wie dan tegen een aanval beschermd wil zijn, doet er goed aan de nieuwe patch meteen te installeren of Bluetooth zolang uit te schakelen.

Microsoft ziet geen groot risico
Microsoft zelf meent overigens dat het risico van het Bluetooth-lek beperkt is, omdat aanvallers veel moeite moeten doen om het 48-bits Bluetooth-adres van een slachtoffer te achterhalen. Dat kan uren kosten en zoveel tijd heeft een aanvaller vaak niet. Er bestaat wel gevaar voor zeer gerichte aanvallen, waarbij een bepaald persoon langere tijd wordt gevolgd.

Daar staat tegenover dat veel pc-gebruikers regelmatig Bluetooth gebruiken of continu aan hebben staan zonder het te beseffen. Dat maakt een aanval toch niet zo vergezocht als Microsoft het nu doet voorkomen.

Visio 2003 kwetsbaar voor DLL-kaping
Een van de andere updates van deze maand (MS11-055) rekent af met een tekortkoming in het tekenprogramma Visio 2003, een onderdeel van Microsoft Office. het probleem maakt de gebruiker kwetsbaar voor ‘DLL load hijacking’. Daarbij wordt een applicatie of het besturingssysteem getrakteerd op een kwaadaardig bestand dat dezelfde naam draagt als een legitieme Dynamic Link Library (DLL).

De malware kan bijvoorbeeld in de vorm van een gemanipuleerd Visio-document via e-mail aan het doelwit worden verstuurd. Ook dit lek zou misbruikt kunnen worden voor zeer gerichte aanvallen, omdat gebruikers van Visio vaak toegang hebben tot hoogwaardige informatie.

Noorse expert meldde 14 lekken
Een derde update, MS11-055, bevat patches voor 15 kwetsbare onderdelen van de Windows-kernelmode-drivers waarvan er 14 zijn gemeld door een Noorse beveiligingsexpert van de antivirusleverancier Norman. De lekken maakten het aanvallers mogelijk om de gebruikersrechten naar een hoger niveau te tillen. De aanvaller moet wel in de gelegenheid zijn lokaal in te loggen en een speciaal gemanipuleerd bestand uit te voeren.

MS11-056 tot slot betreft vijf door individuele personen gemelde zwakke plekken in het client/server runtime-subsysteem (CSRSS) van Windows. Ook hier is misbruik slechts mogelijk door lokaal op de pc in te loggen en malware uit te voeren.

Op de patches voor Visio na vereisen alle updates na het installeren een herstart van het systeem. Een samenvatting van de vier security bulletins voor de maand juli staat op de Technet-site van Microsoft.

In een blog van het Microsoft Security Response Center bespreekt medewerkster Angela Gunn de patches van deze maand. In een bijbehorende video gaat Jerry Bryant in op een aantal details.