Laatste patches voor Windows XP en Office 2003
Microsoft heeft dinsdag 8 april vier beveiligingsupdates vrijgegeven voor Windows en Office. Dit zijn de laatste publiekelijk beschikbare patches voor Windows XP en Office 2003.
In totaal zijn elf zwakke plekken aangepakt door deze updates, waarvan zeven in Windows XP en vier in Office 2003.
[related_article id=”161452″]
Los daarvan komt Microsoft met oplossingen voor Internet Explorer 10 en 11 om kwetsbaarheden te verhelpen in de ingebouwde Flash Player in de Metro-versie van de browser.
Kwetsbaarheden
Onder de kwetsbaarheden bevindt zich een kritieke fout in de manier waarop alle versies van Microsoft Word omgaan met RTF-bestanden. Volgens de softwaregigant zijn er beperkte en gerichte aanvallen opgemerkt die deze zwakke plek misbruiken.
Specifieke updates:
- MS14-017: Kwetsbaarheden in Microsoft Word en Office Web Apps kunnen het op afstand uitvoeren van code toestaan (2949660) – Drie zwakke plekken in Microsoft Word en Wordgerelateerde Office-producten zoals Office Web Apps. Een hiervan is het eerder genoemde RTF-gebrek, de enige kritieke fout van de drie. Dit is van toepassing op alle versies van de producten. De andere twee zwakke plekken zijn veel beperkter: eentje heeft invloed op de File Format Conversion Utility in Word 2007 en 2010. De andere is een overloop in Word 2003.
- MS14-018: Cumulatieve beveiligingsupdate voor Internet Explorer (2950467) – Deze update verhelpt zes zwakke plekken in Internet Explorer. Het gaat om alle versies van de browser op alle platformen, behalve IE 10. IE 10 noch IE 11 wordt geraakt door vijf van de zes kwetsbaarheden. Het gaat bij alle versies om minimaal één kritieke fout.
- MS14-019: Kwetsbaarheid in Windows File Handling Component kan het op afstand uitvoeren van code toestaan (2922229) – Dit is geen kritieke fout. Het gaat om de manier hoe er met bestanden wordt omgegaan in alle versies van Windows. Een aanvaller kan gebruikers voor de gek houden om zonder waarschuwing een .bat- of .cmd-bestand uit te voeren vanaf een onbetrouwbare locatie. Deze zwakke plek was in een eerder stadium al bekendgemaakt.
- MS14-020: Kwetsbaarheid in Microsoft Publisher kan het op afstand uitvoeren van code toestaan (2950145) – Publisher 2003 en 2007 zijn kwetsbaar bij een aanval op afstand na het openen van een speciaal ontworpen bestand.
Microsoft is van mening dat de zwakke plekken in tien van de elf gevallen interessant genoeg zijn om te misbruiken. Alleen voor de Office File Converter verwachten ze dat dit onwaarschijnlijk is.
Microsoft heeft dinsdag 8 april vier beveiligingsupdates vrijgegeven voor Windows en Office. Dit zijn de laatste publiekelijk beschikbare patches voor Windows XP en Office 2003.
In totaal zijn elf zwakke plekken aangepakt door deze updates, waarvan zeven in Windows XP en vier in Office 2003.
[related_article id=”161452″]
Los daarvan komt Microsoft met oplossingen voor Internet Explorer 10 en 11 om kwetsbaarheden te verhelpen in de ingebouwde Flash Player in de Metro-versie van de browser.
Kwetsbaarheden
Onder de kwetsbaarheden bevindt zich een kritieke fout in de manier waarop alle versies van Microsoft Word omgaan met RTF-bestanden. Volgens de softwaregigant zijn er beperkte en gerichte aanvallen opgemerkt die deze zwakke plek misbruiken.
Specifieke updates:
- MS14-017: Kwetsbaarheden in Microsoft Word en Office Web Apps kunnen het op afstand uitvoeren van code toestaan (2949660) – Drie zwakke plekken in Microsoft Word en Wordgerelateerde Office-producten zoals Office Web Apps. Een hiervan is het eerder genoemde RTF-gebrek, de enige kritieke fout van de drie. Dit is van toepassing op alle versies van de producten. De andere twee zwakke plekken zijn veel beperkter: eentje heeft invloed op de File Format Conversion Utility in Word 2007 en 2010. De andere is een overloop in Word 2003.
- MS14-018: Cumulatieve beveiligingsupdate voor Internet Explorer (2950467) – Deze update verhelpt zes zwakke plekken in Internet Explorer. Het gaat om alle versies van de browser op alle platformen, behalve IE 10. IE 10 noch IE 11 wordt geraakt door vijf van de zes kwetsbaarheden. Het gaat bij alle versies om minimaal één kritieke fout.
- MS14-019: Kwetsbaarheid in Windows File Handling Component kan het op afstand uitvoeren van code toestaan (2922229) – Dit is geen kritieke fout. Het gaat om de manier hoe er met bestanden wordt omgegaan in alle versies van Windows. Een aanvaller kan gebruikers voor de gek houden om zonder waarschuwing een .bat- of .cmd-bestand uit te voeren vanaf een onbetrouwbare locatie. Deze zwakke plek was in een eerder stadium al bekendgemaakt.
- MS14-020: Kwetsbaarheid in Microsoft Publisher kan het op afstand uitvoeren van code toestaan (2950145) – Publisher 2003 en 2007 zijn kwetsbaar bij een aanval op afstand na het openen van een speciaal ontworpen bestand.
Microsoft is van mening dat de zwakke plekken in tien van de elf gevallen interessant genoeg zijn om te misbruiken. Alleen voor de Office File Converter verwachten ze dat dit onwaarschijnlijk is.