Na aanvallen, Excel-update vanwege Microsoft

bedrijfs-IT-medewerkers beveiligingsupdates vrijgeven krijgt volgende week een dubbele klap, omdat zowel Microsoft als Oracle zijn ingesteld om op dezelfde dag kritieke beveiligingsupdates vrij te geven, inclusief een waarschijnlijke oplossing voor een Excel-bug die is gebruikt door cybercriminelen.

Deze maand, de driemaandelijkse softwarefixes van Oracle en Microsoft's maandelijkse patches vallen toevallig dezelfde dag, volgende dinsdag. Voor Windows-gebruikers zal er veel te patch zijn. Microsoft is van plan in totaal acht updates uit te geven: vijf daarvan zijn voor Windows, met één enkele update voor Internet Explorer, Excel en de ISA-server (Internet Security and Acceleration) van Microsoft.

[Meer informatie: hoe u malware van uw computer verwijdert Windows-pc]

Oracle zei donderdag dat de patches van volgende week 43 beveiligingsoplossingen zullen bevatten, waaronder 16 patches voor de belangrijkste databasesoftware van het bedrijf. Er zijn ook 12 kwetsbaarheden gepatcht in de Oracle Application Server, evenals een handvol fixes voor de E-Business Suite, PeopleSoft en JD Edwards Suite van het bedrijf en voor de BEA-applicatieserver suite.

De Excel-update is opmerkelijk omdat de spreadsheet-software van Microsoft onlangs is gebruikt in een klein aantal gerichte aanvallen. Door gebruikers te misleiden om een ​​speciaal vervaardigd Excel-bestand te openen, kunnen criminelen hun schadelijke software op de machine van een slachtoffer installeren, zei Microsoft. De softwareleverancier heeft niet zeker gezegd of het deze specifieke Excel-fout volgende week zal repareren, maar het lijkt waarschijnlijk.

Microsoft heeft ook gewaarschuwd voor een soortgelijke fout in zijn PowerPoint-software, die ook wordt gebruikt bij aanvallen, maar nee PowerPoint-updates zijn momenteel gepland.

"We hoopten een update te zien voor de afhandeling van de PowerPoint.pps omdat dit het populairste Office-probleem is, maar van wat we op dit moment kunnen zeggen, zal het probleem niet deze maand worden aangepakt, "zei beveiligingsleverancier Lumension in een verklaring.

Microsoft beoordeelt de IE- en Excel-fixes als essentieel, samen met drie van de Windows-updates, wat betekent dat een hacker misbruik zou kunnen maken van de fouten die ze aanbrengen om ongeautoriseerde software uit te voeren op een pc. De ISA-patch wordt als belangrijk beoordeeld; een aanvaller kan deze bug gebruiken om een ​​systeem te laten crashen. En de andere twee Windows-fouten kunnen worden gebruikt om privileges op te heffen om toegang te krijgen tot ongeautoriseerde bronnen op de pc, zei Microsoft.

Een van de kritieke Windows-updates is voor de DirectX-multimediasoftware, zei Microsoft. Een andere Windows-update, die belangrijk wordt geacht, is voor de Microsoft Distributed Transaction Coordinator (MSDTC), software die door programma's zoals databases wordt gebruikt om verbinding te maken met andere delen van het besturingssysteem.

De ISA-bug is ook opmerkelijk omdat het kan zijn gebruikt door aanvallers om software uit te schakelen die bedrijfsnetwerken zou moeten beschermen tegen online aanvallen.