<img src="http://upload.userbase.be/upload/060517_XML_kl.jpg" align="left" width="120" height="100">In totaal worden zes lekken aangepakt. Komende dinsdag, de tweede van de maand, verschijnt er zoals gebruikelijk bij Microsoft een veiligheidsbulletin met patches. Uitzonderlijk is dat MS vooraf aangeeft voor welk lek er een antwoord wordt geboden. Een van de zes aangeboden patches zal een veiligheidslek in de XML Core Services verhelpen, dat deze week ontdekt werd. Het probleem met de XML Core Services is terug te voeren naar een fout in de XMLHTTP 4.0 ActiveX-control.
Het onderdeel is te vinden in Windows 2000, Windows XP SP2 en Windows Server 2003, en dient voor het verwerken van XML-data via de browser. Veiligheidsfabrikanten zijn unaniem van mening dat het probleem ernstig is. Secunia beschouwt het lek als "extreem kritiek", een mening die gedeeld wordt door X-Force van Internet Security Systeem, eigendom van IBM. Wat de zaak erger maakt, is dat er op het internet al zogenoemde zero-day exploits rondzweven. Met andere woorden: het lek wordt al actief misbruikt door malafide hackers.
Naast een patch voor XMLHTTP zal het bulletin van 14 november vijf andere Windows-patches bevatten. Over deze lekken geeft Microsoft pas dinsdag informatie vrij. Wel is bekend dat het om minstens één lek gaat dat door Microsoft zelf als ernstig wordt omschreven.
Bron: ZDNet.be van 10 november 2006
