Microsoft heeft tijdens ‘Patch Tuesday’ weer een aantal lekken gedicht, waaronder een lek dat eind mei door Google-beveiligingsexpert Tavis Ormandy werd onthuld.
Tavis Ormandy was naar verluidt wel naar Microsoft gegaan maar onthulde het lek toch terwijl er nog geen patch voor was. Ormandy zou zelfs hebben gewerkt aan een exploitcode. Microsoft geeft aan dat hackers inderdaad misbruik hebben gemaakt van het lek maar laat zich er niet over uit of de onthulling van Ormandy de aanleiding was.
Ormandy-lek op Windows XP en Windows Server Het lek zorgt ervoor dat misbruik op afstand mogelijk is doordat het de mogelijkheid geeft om hogere rechten te verkrijgen op een kwetsbaar Windows-systeem. Het lek zit in Windows XP met SP3 t/m 8 en Server 2003 met SP2 t/m Server 2012.
Tavis Ormandy vs Microsoft Ormandy liet zich via zijn blog negatief uit over Microsoft. Hij stelde dat het beveiligingsteam van Microsoft het moeilijk maakte om samen te werken. Toch vinden sommige beveiligingsonderzoekers dat geen reden om het lek openbaar te maken zonder Microsoft eerst in de gelegenheid te brengen een patch te ontwikkelen en zo gebruikers te beschermen. Google stelt dat Ormandy op persoonlijke titel heeft gehandeld en wil niet op de zaak ingaan.
Eén van de 34 lekken In totaal worden deze patchronde 34 beveiligingslekken verholpen in Windows, IE, .NET Framework, Silverlight, GDI+ en de Windows Defender virusscanner. Zes van de lekken werden als kritiek bestempeld. Updaten kan via Windows Update.