Microsoft heeft negen beveiligingsbulletins gepubliceerd voor de eerste patchdag in januari 2016, blijkbaar zouden dat er oorspronkelijk tien zijn. Achter zes vermeldingen in de update-database staan kritieke updates, bijvoorbeeld voor de eigen browsers en Microsoft Office.
Zoals gebruikelijk wijdt Microsoft een apart beveiligingsbulletin aan Internet Explorer (IE) en de met Windows 10 geïntroduceerde Edge-browser. Beide internetviewers kunnen door een aanvaller op afstand worden misbruikt om code uit te voeren op kwetsbare systemen (remote code execution, RCE). Hiervoor moet het slachtoffer een gemanipuleerde of aangepaste website bezoeken, bijvoorbeeld door op een via e-mail of chat verzonden link te klikken.
Microsoft Edge heeft een algemeen probleem met het verwerken van objecten in het geheugen, de update MS16-002 biedt een oplossing. Internet Explorer daarentegen heeft alleen problemen met geheugenobjecten die op VBScript zijn gebaseerd. Beveiligingsbulletin MS16-001 verhelpt deze bug en werkt ook voor cross-domain policies.
Het updatepakket wordt geleverd voor alle browserversies, die dan de ondersteuning voor sommige IE-varianten beëindigt. In de toekomst zullen gebruikers alleen updates ontvangen voor de nieuwste browsers, afhankelijk van het besturingssysteem dat ze gebruiken: gebruikers van Windows Vista moeten updaten naar IE 9, onder Windows 7 en 8.1 is een update naar IE 11 nodig.
Verder zijn er RCE-kwetsbaarheden gevonden in de scripting engine voor VBScript en JScript. Alleen versies 5.7 en 5.8 onder Windows Vista, Windows Server 2008 en server core installaties van Windows Server 2008 R2 zijn getroffen. In dit geval worden ook objecten in het geheugen onjuist verwerkt; de MS16-003-patch moet dit verhelpen.
Windows- en Mac-versies van Office bedreigd
Office-gebruikers kunnen ook het slachtoffer worden van een inbreuk op het geheugen, waarbij in het ergste geval opnieuw op afstand code kan worden uitgevoerd. Naast Office 2007, 2010, 2013 en 2016 lopen ook de 2011 en 2016 Office-componenten voor Mac-computers risico’s door de kritieke kwetsbaarheid. Naast de algemene Office-suites kampt met name Excel met ernstige geheugenproblemen.
De MS16-004-update is echter niet alleen bedoeld om deze RCE-kwetsbaarheden te verhelpen, maar ook om de ASLR-beveiligingsfunctie (Address Space Layout Randomisation) te omzeilen. Een overeenkomstige beveiligingsomleiding zou van invloed zijn op alle genoemde Office-componenten, alsmede Sharepoint Server en Foundation 2013 en de VisualBasic 6.0 runtime.
Het beveiligingsbulletin MS16-005 wordt uitgerold voor alle client- en serverbesturingssystemen die nog door Microsoft worden ondersteund. Het verhelpt geheugenlekken in de kernel mode driver die kunnen worden misbruikt bij het bezoeken van gecompromitteerde internet sites. De update wordt alleen als kritiek beschouwd in het geval van Windows Vista, Windows Server 2008, Windows 7 en Windows Server 2008 R2.
De nieuwste patch, die een ernstige RCE-gateway in januari 2016 sluit, gaat schuil achter de identifier MS16-006. In dit geval worden de multimedia plug-in Silverlight 5 en de bijbehorende runtime-omgeving bijgewerkt. Zonder de update levert de browserplug-in onjuiste resultaten op bij het valideren van decoderresultaten.
Drie andere updates hebben van Microsoft alleen de beoordeling “Belangrijk” gekregen. De eerste is patch MS16-007, die minder ernstige RCE-kwetsbaarheden in Windows en DirectShow aanpakt. De update MS16-008 voorkomt dat een gebruiker zijn rechten kan verhogen met een aangepaste toepassing (Privilege Escalation). Microsoft beveiligingsbulletin MS16-010 wordt verstrekt voor Microsoft Exchange Server. Foutieve verzoeken in de context van OWA-sessies kunnen namelijk injectie- en spoofing-aanvallen bevorderen.