Microsoft heeft op dinsdag zijn maandelijkse bundel security-updates beschikbaar gemaakt. Daarmee verhelpt het bedrijf 49 kwetsbaarheden, verspreid over negen producten. In tegenstelling tot de afgelopen vier maanden, zit er deze keer geen lek bij dat actief wordt misbruikt.
Concreet gaat het om bugs in Windows, Internet Explorer, Microsoft Edge, ChakraCore, het .NET-framework, ASP.NET, Visual Studio, Exchange Server en Office (inclusief Web Apps). Hoewel momenteel geen enkele kwetsbaarheid in het wild moet misbruik, is patchen de boodschap om ook in de toekomst zeker beschermd te zijn.
Een totaal van 17 bugs zijn zogenaamde remote code execution (RCE)-kwetsbaarheden. Dat soort lekken biedt een aanvaller een rechtstreekse lijn om eigen code in de kwetsbare software te injecteren, zonder dat hij eerst voet aan de grond hoeft te krijgen op een systeem.
Kritiek
Zeven RCE-kwetsbaarheden worden als ‘kritiek’ bestempeld. Drie daarvan zitten in ChakraCore, dat de basis vormt van de Chakra Javascript-engine in Microsofts Edge-browser. Eén bug treft Edge rechtstreeks, twee andere situeren zich in Hyper-V voor servervirtualisatie. Het laatste kritieke lek zit in de Windows DHCP-client, die standaard actief is op alle Windows-systemen.
Verder worden veertig kwetsbaarheden als ‘belangrijk gemarkeerd en krijgen twee bugs het label ‘matig’ opgeplakt. Het Zero Day Initiative heeft een tabel gemaakt van alle kwetsbaarheden die in deze updateronde werden gepatcht, gefilterd op ernstgraad. Microsoft zelf biedt via zijn Security Update Guide een gedetailleerd overzicht.
Gerelateerd: Windows 10 B-, C- of D-update: wat is het verschil?