MicroSoft
Microsoft heeft vanavond updates uitgebracht die 54 beveiligingslekken in de eigen software verhelpen, waaronder in Windows, Office, WordPad, Internet Explorer en Edge. Vier van de kwetsbaarheden waren al bekend voordat de updates van Microsoft verschenen, maar zijn volgens de softwaregigant niet aangevallen. Er is dan ook geen sprake van zogeheten zero-days.
Via deze vier beveiligingslekken (CVE-2017-8584, CVE-2017-8587, CVE-2017-8
602 en CVE-2017-8611) was het mogelijk om gebruikers van IE en Edge naar gespoofte websites te sturen, het systeem via Windows Verkenner vast te laten lopen en kon een aanvaller de Microsoft HoloLens overnemen door hier een wifi-pakketje naar toe te sturen. Verder heeft Microsoft ook een ernstige kwetsbaarheid in WordPad verholpen. Door een gebruiker een kwaadaardig bestand te laten openen had een aanvaller willekeurige code op het systeem kunnen uitvoeren. Ook is de embedded Flash Player in IE11 en Edge gepatcht. De updates zullen op de meeste systemen automatisch worden geïnstalleerd.
Adobe
Tijdens de geplande patchronde van juli heeft Adobe drie beveiligingslekken in Flash Player gedicht. Via één van de kwetsbaarheden had een aanvaller in het ergste geval systemen volledig kunnen overnemen. De overige twee beveiligingslekken lieten een aanvaller informatie achterhalen.
Details over één van deze informatielekken verschenen vorige week maandag 3 juli op internet. Adobe is echter niet bekend met exploits die misbruik van deze of andere beveiligingslekken maken. Adobe adviseert Mac- en Windows-gebruikers om binnen 72 uur naar Flash Player versie 26.0.0.137 te updaten. Dit kan via de automatische updatefunctie of Adobe.com. Linux-gebruikers kunnen de update installeren wanneer het hen uitkomt. Adobe baseert dit advies op aanvallen die in het verleden zijn voorgekomen en de kans dat kwetsbaarheden op een bepaald platform worden aangevallen.
In het geval van Google Chrome, Internet Explorer 11 op Windows 8.1 en Internet Explorer 11 en Microsoft Edge op Windows 10 zal de embedded Flash Player via de browser worden geüpdatet. Linux-gebruikers worden naar de website van Adobeverwezen. Via deze pagina van Adobe kan worden gecontroleerd welke versie op het systeem is geïnstalleerd.