Microsoft heeft bij zijn maandelijkse patchronde, oftewel patch tuesday, in totaal 68 patches uitgebracht, waarvan 21 voor kritieke lekken. Een daarvan wordt actief gebruikt bij aanvallen, net als één minder ernstig lek.
Bij de aangevallen kwetsbaarheid, ook wel bekend als CVE-2018-8174, gaat het om een lek in de VBScript Engine in verschillende versies van Windows, waaronder Windows 10. Dat laat een aanvaller op afstand code uitvoeren met de rechten van de ingelogde gebruiker. Als die een beheerder is, bestaat de mogelijkheid om het systeem over te nemen, aldus Microsoft. Een aanvaller zou het lek kunnen misbruiken via een website of een Office-document met kwaadaardige VBScript-code.
Het tweede aangevallen lek, dat niet de aanduiding 'kritiek' heeft gekregen en dat het kenmerk CVE-2018-8120 draagt, laat een aanvaller volgens Microsoft hogere rechten op een systeem verkrijgen, waarna hij het kan overnemen. Dit is echter alleen van belang voor Windows 7-systemen en verschillende versies van Windows Server 2008. Veel van de overige door Microsoft aangepakte kritieke lekken hebben te maken met scripting engines in Microsofts browsers. Er zijn verschillende overzichten te vinden, bijvoorbeeld van Talos of Trend Micro.
Onder de gedichte kwetsbaarheden is ook CVE-2018-8897, dat door de ontdekkers in een technische analyse is omschreven. Een Cert-waarschuwing stelt dat het lek te maken heeft met 'de interpretatie door ontwikkelaars van bestaande documentatie van bepaalde interrupt- of exceptie-instructies van de Intel-architectuur'. Een aanvaller zou aan de hand van het lek gevoelige data in het geheugen kunnen uitlezen, aldus de waarschuwing. Niet alleen Microsoft zou door het lek zijn getroffen, maar ook Apple en verschillende Linux-distributies.
Er zijn al verschillende patches beschikbaar, waaronder voor macOS en de Linux-kernel, zo merkt The Register op. De site schrijft dat het erop lijkt dat het lek niet door een fout van Intel is ontstaan, maar dat het te wijten zou zijn aan kernelontwikkelaars. Intel heeft wel een geüpdatete versie van zijn handleiding voor ontwikkelaars gepubliceerd met verduidelijkingen.