Microsoft patcht eindelijk kritiek lek in Windows 98 en ME
Het heeft twee maanden geduurd, maar Microsoft heeft eindelijk de update van Microsoft Security Bulletin MS05-002 ook beschikbaar gesteld voor gebruikers van Windows 98, 98SE en ME. De patch dicht een kritiek lek in het verwerken van "Cursor en Icon" formaten. Door het lek zou een aanvaller een kwetsbaar systeem kunnen overnemen. De update kan via Windows Update gedownload worden.
Reacties (11)
09-03-2005, 10:28 door
Major-Geek
beter laat dan nooit zullen we maar zeggen lijkt mij.
-MG
-MG
Maar je kan enkel de Sloveense, Slowaakse en Thaise versie
downloaden. Voor de overige talen moet je het via
Windowsupdate doen, maar die werkt enkel als je ActiveX
geinstalleerd hebt.
Dus, laat maar zitten.
downloaden. Voor de overige talen moet je het via
Windowsupdate doen, maar die werkt enkel als je ActiveX
geinstalleerd hebt.
Dus, laat maar zitten.
Door Major-Geek
beter laat dan nooit zullen we maar zeggen lijkt mij.
-MG
beter laat dan nooit zullen we maar zeggen lijkt mij.
-MG
Welke van de 2 dan ook, het blijft bagger
Niet alleen MS05-002, maar ook MS05-015 is sinds gisteravond
beschikbaar via WindowsUpdate voor 98/98SE en ME. Beide
patches heb ik aan SANS gemeld maar die laatste is
weggevallen. Ook heeft SANS helaas m'n beschrijving van
MS05-002 (voor 98/98SE/ME) niet opgenomen, want die is
bijzonder te noemen.
MS05-015 verving op mijn Engelstalige Win98SE het bestand
hlink.dll (in c:windowssystem) door eentje die binair
identiek is aan MS05-015 voor WinXP met SP1. Ik vind het
flauw en onverantwoord om 98/ME gebruikers 1 maand extra te
laten wachten op een critical patch die kennelijk gewoon
beschikbaar is (m.b.t. 98, 98SE en ME staat op
http://support.microsoft.com/gp/lifewinextndfaq:
"Microsoft will also continue to review and address critical
security updates on these products, through June 30, 2006").
MS05-002 is bijzonder: dit is geen "patch" maar er wordt een
service geinstalleerd met een "hook DLL" die (hopelijk)
on-the-fly exploits voorkomt. Het is dus geen reparatie van
de ANI bufferoverflows in de betreffende bestanden, maar een
workaround.
Op mijn PC met Win98SE werd door MS05-002 een map aangemaakt
en de volgende bestanden toegevoegd:
C:WINDOWSSYSTEMKB891711KB891711.EXE 9,056 02-22-05 6:07p
C:WINDOWSSYSTEMKB891711Q891711.DLL 4,288 02-18-05 9:53a
En in de registry werd toegevoegd:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
KB891711=c:windowsSYSTEMKB891711KB891711.EXE
Dit is vergelijkbaar met wat trojans zouden kunnen doen, dus
mocht je dit aantreffen op een 98/ME systeem dan is dit
waarschijnlijk wel te goeder trouw. Installatie van
deze "patch" kan natuurlijk een anti-virus/anti-spyware
alarm laten afgaan indien genoemde registry key in de gaten
gehouden wordt. N.B. dit is niet een eenmalige wijziging
maar een permanente. Als je Ctrl-Alt-Del indrukt staat
"KB891711" ook na de reboot(s) in het lijstje met draaiende
programma's.
SHA1sums van de Engelstalige MS05-002 bestanden:
d47b9fd3c76457a9d25800768b1b4279a408fee4 kb891711.exe
01de04c5bf65ff5768726502824faeb8bca141ae q891711.dll
Free MS commandlinetooltje om SHA1 en MD5 checksums te bepalen:
http://support.microsoft.com/?kbid=841290
Erik van Straten
beschikbaar via WindowsUpdate voor 98/98SE en ME. Beide
patches heb ik aan SANS gemeld maar die laatste is
weggevallen. Ook heeft SANS helaas m'n beschrijving van
MS05-002 (voor 98/98SE/ME) niet opgenomen, want die is
bijzonder te noemen.
MS05-015 verving op mijn Engelstalige Win98SE het bestand
hlink.dll (in c:windowssystem) door eentje die binair
identiek is aan MS05-015 voor WinXP met SP1. Ik vind het
flauw en onverantwoord om 98/ME gebruikers 1 maand extra te
laten wachten op een critical patch die kennelijk gewoon
beschikbaar is (m.b.t. 98, 98SE en ME staat op
http://support.microsoft.com/gp/lifewinextndfaq:
"Microsoft will also continue to review and address critical
security updates on these products, through June 30, 2006").
MS05-002 is bijzonder: dit is geen "patch" maar er wordt een
service geinstalleerd met een "hook DLL" die (hopelijk)
on-the-fly exploits voorkomt. Het is dus geen reparatie van
de ANI bufferoverflows in de betreffende bestanden, maar een
workaround.
Op mijn PC met Win98SE werd door MS05-002 een map aangemaakt
en de volgende bestanden toegevoegd:
C:WINDOWSSYSTEMKB891711KB891711.EXE 9,056 02-22-05 6:07p
C:WINDOWSSYSTEMKB891711Q891711.DLL 4,288 02-18-05 9:53a
En in de registry werd toegevoegd:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
KB891711=c:windowsSYSTEMKB891711KB891711.EXE
Dit is vergelijkbaar met wat trojans zouden kunnen doen, dus
mocht je dit aantreffen op een 98/ME systeem dan is dit
waarschijnlijk wel te goeder trouw. Installatie van
deze "patch" kan natuurlijk een anti-virus/anti-spyware
alarm laten afgaan indien genoemde registry key in de gaten
gehouden wordt. N.B. dit is niet een eenmalige wijziging
maar een permanente. Als je Ctrl-Alt-Del indrukt staat
"KB891711" ook na de reboot(s) in het lijstje met draaiende
programma's.
SHA1sums van de Engelstalige MS05-002 bestanden:
d47b9fd3c76457a9d25800768b1b4279a408fee4 kb891711.exe
01de04c5bf65ff5768726502824faeb8bca141ae q891711.dll
Free MS commandlinetooltje om SHA1 en MD5 checksums te bepalen:
http://support.microsoft.com/?kbid=841290
Erik van Straten
09-03-2005, 13:40 door
G-Force
Door Anoniem
Welke van de 2 dan ook, het blijft bagger
Door Major-Geek
beter laat dan nooit zullen we maar zeggen lijkt mij.
-MG
beter laat dan nooit zullen we maar zeggen lijkt mij.
-MG
Welke van de 2 dan ook, het blijft bagger
Als Microsoft zich ook met het uitbaggeren van onze rivieren gaat
bezighouden, ga ik emigreren...
Door Anoniem
Welke van de 2 dan ook, het blijft bagger
Ach,M$ is niet de enige die lang wacht.Door Major-Geek
beter laat dan nooit zullen we maar zeggen lijkt mij.
-MG
beter laat dan nooit zullen we maar zeggen lijkt mij.
-MG
Welke van de 2 dan ook, het blijft bagger
in Mandrake linux zit al minimaal een jaar een bug ,waardoor een dualboot
niet lukt.
mooie zaak, nu steeds problemen met mijn windows ME. Firefox start niet op,
zolang deze "service" mijn PC "beveiligd". Het lijkt meer op een virus dan
"service". Ik zet hem maar weer uit. Dit werkt niet zo. Heeft iemand advies??
Frans.
zolang deze "service" mijn PC "beveiligd". Het lijkt meer op een virus dan
"service". Ik zet hem maar weer uit. Dit werkt niet zo. Heeft iemand advies??
Frans.
Op zondag 13 maart 2005 14:41 schreef Frans ongeveer:
> mooie zaak, nu steeds problemen met mijn windows
> ME. Firefox start niet op, zolang deze "service" mijn
> PC "beveiligt". Het lijkt meer op een virus dan
> "service".
Ik heb geen enkel probleem met de laatste Firefox
1.01 onder Win98SE met draaiende KB891711 patch, alles
Engelstalig. In mijn Firefox zijn verder geen plugins
geinstalleerd. Hoewel je mogelijk niet veel hebt aan deze
info geeft het wel aan dat KB891711 niet per definitie
Firefox blokkeert.
Ik zou het systeem grondig op narigheid checken en voor de
zekerheid de laatste versie van Firefox downloaden en
installeren (n.b. Mozilla heeft 2 dagen na de release van
1.01 een gewijzigde 1.01 uitgebracht, helaas zonder
het versienummer in bijv. 1.01a te veranderen. De oude 1.01
staat mogelijk nog op onofficiele sites, dus kijk uit. Meer
info in m'n post van 3 maart op
http://www.security.nl/article/10202/1).
Erik van Straten
> mooie zaak, nu steeds problemen met mijn windows
> ME. Firefox start niet op, zolang deze "service" mijn
> PC "beveiligt". Het lijkt meer op een virus dan
> "service".
Ik heb geen enkel probleem met de laatste Firefox
1.01 onder Win98SE met draaiende KB891711 patch, alles
Engelstalig. In mijn Firefox zijn verder geen plugins
geinstalleerd. Hoewel je mogelijk niet veel hebt aan deze
info geeft het wel aan dat KB891711 niet per definitie
Firefox blokkeert.
Ik zou het systeem grondig op narigheid checken en voor de
zekerheid de laatste versie van Firefox downloaden en
installeren (n.b. Mozilla heeft 2 dagen na de release van
1.01 een gewijzigde 1.01 uitgebracht, helaas zonder
het versienummer in bijv. 1.01a te veranderen. De oude 1.01
staat mogelijk nog op onofficiele sites, dus kijk uit. Meer
info in m'n post van 3 maart op
http://www.security.nl/article/10202/1).
Erik van Straten
Door Anoniem
mooie zaak, nu steeds problemen met mijn windows ME. Firefox
start niet op,
zolang deze "service" mijn PC "beveiligd". Het lijkt meer op
een virus dan
"service". Ik zet hem maar weer uit. Dit werkt niet zo.
Heeft iemand advies??
Frans.
mooie zaak, nu steeds problemen met mijn windows ME. Firefox
start niet op,
zolang deze "service" mijn PC "beveiligd". Het lijkt meer op
een virus dan
"service". Ik zet hem maar weer uit. Dit werkt niet zo.
Heeft iemand advies??
Frans.
Ik had precies hetzelfde mijn ME liep totaal vast het
gebeurde als ik msn aan had en dan firefox opstarte sloeg
alles vast daarvoor had ik nooit ergens problemen mee het
lijkt wel of ze het er om doen .
Google: KB891711 ME Firefox problem
wees uit dat meedere mensen problemen melden met de MS05-002
patch voor Win9X en WinME.
De meeste klachten lijken WinME met Mozilla software te
betreffen. Er zou een relatie met (oudere versies?) van
Symantec/Norton AntiVirus kunnen bestaan, en ook ZoneAlarm
wordt genoemd (de laatste versie daarvan zou kunnen helpen).
Blue Screens komen, vooral bij ME, ook voor zonder
dat Firefox erbij betrokken is.
Je kunt de patch de-installeren, maar dan zal WindowsUpdate
mogelijk elke keer zeuren. Je kunt de patch ook (tijdelijk)
uitschakelen door msconfig te starten (Start,
Uitvoeren), en onder het tabblad Startup (of Opstarten) het
vinkje voor KB891711 weg te halen. Daarmee wordt de registry
informatie die deze service opstart weggehaald (en
gebackupped zodat deze met msconfig desgewenst ook snel weer
is aan te zetten). Als je de computer opnieuw opstart en
Ctrl-Alt-Del drukt zul je zien dat KB891711 niet meer draait.
Advies: hou een logfile (teksbestand) bij waarin je dit
soort acties onder vermelding van de datum en URL's even
kort omschrijft, zodat je later weet hoe en waarom je
systeem is gewijzigd.
N.B. i.p.v. Crtl-Alt-Del drukken kun je met de laatste
versie van Pocess Explorer (gratis) van Sysinternals veel
info zien over draaiende processen, en je kunt een overzicht
makkelijk naar een textfile saven, en dat desgewenst hier of
in andere forums posten bij problemen; ook kan het handig
zijn regelmatig zo'n lijstje aan je logbestand toe te
voegen. Mocht er t.z.t. "spontaan" iets aan het lijstje
worden toegevoegd dan kun je achterhalen sinds wanneer dat
is. Ken je systeem! Een leuke bijkomstigheid van dit tooltje
is dat deze op de NT/W2K/XP manier in grafiekvorm de
hoeveelheid vrij geheugen kan laten zien. Download:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
M.b.t. deze "patch" van Microsoft: i.p.v. een
ongedocumenteerde workaround te verspreiden die bovendien
problemen lijkt te kunnen veroorzaken, hoort Microsoft
fabrieksfouten in systeembestanden gewoon te repareren en
die zo snel mogelijk beschikbaar te stellen.
Erik van Straten
wees uit dat meedere mensen problemen melden met de MS05-002
patch voor Win9X en WinME.
De meeste klachten lijken WinME met Mozilla software te
betreffen. Er zou een relatie met (oudere versies?) van
Symantec/Norton AntiVirus kunnen bestaan, en ook ZoneAlarm
wordt genoemd (de laatste versie daarvan zou kunnen helpen).
Blue Screens komen, vooral bij ME, ook voor zonder
dat Firefox erbij betrokken is.
Je kunt de patch de-installeren, maar dan zal WindowsUpdate
mogelijk elke keer zeuren. Je kunt de patch ook (tijdelijk)
uitschakelen door msconfig te starten (Start,
Uitvoeren), en onder het tabblad Startup (of Opstarten) het
vinkje voor KB891711 weg te halen. Daarmee wordt de registry
informatie die deze service opstart weggehaald (en
gebackupped zodat deze met msconfig desgewenst ook snel weer
is aan te zetten). Als je de computer opnieuw opstart en
Ctrl-Alt-Del drukt zul je zien dat KB891711 niet meer draait.
Advies: hou een logfile (teksbestand) bij waarin je dit
soort acties onder vermelding van de datum en URL's even
kort omschrijft, zodat je later weet hoe en waarom je
systeem is gewijzigd.
N.B. i.p.v. Crtl-Alt-Del drukken kun je met de laatste
versie van Pocess Explorer (gratis) van Sysinternals veel
info zien over draaiende processen, en je kunt een overzicht
makkelijk naar een textfile saven, en dat desgewenst hier of
in andere forums posten bij problemen; ook kan het handig
zijn regelmatig zo'n lijstje aan je logbestand toe te
voegen. Mocht er t.z.t. "spontaan" iets aan het lijstje
worden toegevoegd dan kun je achterhalen sinds wanneer dat
is. Ken je systeem! Een leuke bijkomstigheid van dit tooltje
is dat deze op de NT/W2K/XP manier in grafiekvorm de
hoeveelheid vrij geheugen kan laten zien. Download:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
M.b.t. deze "patch" van Microsoft: i.p.v. een
ongedocumenteerde workaround te verspreiden die bovendien
problemen lijkt te kunnen veroorzaken, hoort Microsoft
fabrieksfouten in systeembestanden gewoon te repareren en
die zo snel mogelijk beschikbaar te stellen.
Erik van Straten
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
