Microsoft heeft tijdens een nieuwe editie van patch tuesday meer dan 60 lekken in zijn producten gedicht. Daaronder is een bug in Outlook die de inhoud van mails kon prijsgeven en een lek in de Windows-dns-client die het uitvoeren van code mogelijk maakte.
De Outlook 2016-bug, met kenmerk CVE-2017-11776, is beschreven in een bericht van het Oostenrijkse beveiligingsbedrijf Sec Consult. Onderzoekers van het bedrijf schrijven dat de bug ervoor zorgt dat een e-mail die met S/MIME is versleuteld, zowel in versleutelde als in onversleutelde vorm werd verstuurd. Daardoor kan een aanvaller die de mail onderschept, de inhoud ervan waarnemen. Het probleem zou zich in ieder geval gedurende de afgelopen zes maanden hebben voorgedaan bij e-mails die werden verstuurd met plain text formatting. Standaard is dat html. Bij gebruik van Exchange gebeurt dat alleen tot de eerste hop, bij smtp blijft de e-mail gedurende het volledige traject onversleuteld, aldus het bedrijf.
Beveiligingsbedrijf Bishop Fox heeft een analyse gepubliceerd van het lek in dnsapi.dll met kenmerk CVE-2017-11779. Het lek is te misbruiken doordat een aanvaller in bijvoorbeeld een man-in-the-middle positie een kwaadaardig dns-antwoord verstuurt naar een client. Op die manier kan hij op afstand willekeurige code uitvoeren binnen de applicatie die dns gebruikt, bijvoorbeeld de browser. Het lek is aanwezig in Windows 8 en 10 en versies tussen Windows Server 2012 en 2016.
Een derde lek dat Microsoft heeft gedicht, bekend als CVE-2017-11826, betreft een zeroday in Office die volgens het Redmondse bedrijf actief wordt gebruikt door aanvallers. Doordat een aanvaller gebruikmaakt van een speciaal bestand kan hij op afstand code uitvoeren op het systeem van een slachtoffer, bijvoorbeeld door het te versturen via e-mail. Het lek heeft te maken met de manier waarop Office omgaat met geheugenobjecten, aldus Microsoft. Het lek is onder meer aanwezig in Word 2016 en oudere versies. Het Chinese beveiligingsbedrijf Qihoo 360 publiceerde eind september een analyse van het lek.