Nieuws
image

Microsoft waarschuwing en patch voor lek in Internet Explorer

vrijdag 19 augustus 2005, 09:27 door Redactie, 8 reacties

Microsoft mag dan nog geen patch hebben uitgebracht voor het "Msdds.dll" remote code execution lek in Internet Explorer, het Internet Storm Center heeft inmiddels een eigen update online gezet, die via deze link gedownload kan worden en ervoor zorgt dat msdds.dll niet meer via ActiveX gebruikt kan worden. Het installeren van de patch is wel op eigen risico, en er wordt dan ook aangeraden om eerst een herstelpunt te maken.

Het MSDDS.dll bestand, wat staat voor "Microsoft Design Tools - Diagram Surface", is standaard niet aanwezig op Windows systemen, maar wordt geinstalleerd door de volgende applicaties:

  • MS Visual Studio .Net
  • .Net Framework 1.1
  • Microsoft Office (2000, 2002, XP)
  • Microsoft Project
  • Visio
  • Access 11 (2003) runtime
  • ATI Catalyst driver

    Vanwege de ernst van het lek en de kans op grootschalig misbruik heeft het Internet Storm Center Infocon (alarmfase) geel afgekondigd. Tevens waarschuwt ook Microsoft voor het pas ontdekte lek in deze advisory.

    Met dank aan Peter Verhoeven voor het melden van dit nieuws

    • Reacties (8)
    19-08-2005, 09:50 door Anoniem
    Die reg patch van sans is onleesbaar, dus gebruik deze maar:

    ;Disable msdds.dll
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet
    ExplorerActiveX
    Compatibility{EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F}]
    "Compatibility Flags"=dword:00000400

    ;enable msdds.dll patch to restore original values
    ;[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet
    ExplorerActiveX
    ;Compatibility{EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F}]

    Bovendien zou het de redactie sieren om niet meteen alle
    informatie van de sans website te kopiëren. Ik heb
    verschillende versies van Office 2000/XP en visio onder mijn
    beheer en geen heeft de msdds.dll geinstalleerd.

    Alex
    19-08-2005, 11:57 door Anoniem
    Door Anoniem

    Bovendien zou het de redactie sieren om niet meteen alle
    informatie van de sans website te kopiëren. Ik heb
    verschillende versies van Office 2000/XP en visio onder mijn
    beheer en geen heeft de msdds.dll geinstalleerd.

    Alex

    De redactie van security.nl is vooral geïnteresseerd in
    tendentieuze berichtgeving van telegraafniveau. Helaas moet
    ik zeggen dat de mensen achter security.nl zelf weinig tot
    geen verstand hebben van security.

    Op die manier verwordt een op zich uitstekend initiatief tot
    een plaats waar mensen hun gebrek aan kennis en ervaring
    etaleren, een plaats waar windows vs. whatever flamewars
    welig tieren en waar (dus) vooral wannabe-mensen rondlopen.
    19-08-2005, 14:17 door G-Force
    De redactie van security.nl is vooral geïnteresseerd in
    tendentieuze berichtgeving van telegraafniveau. Helaas moet
    ik zeggen dat de mensen achter security.nl zelf weinig tot
    geen verstand hebben van security.

    Op die manier verwordt een op zich uitstekend initiatief tot
    een plaats waar mensen hun gebrek aan kennis en ervaring
    etaleren, een plaats waar windows vs. whatever flamewars
    welig tieren en waar (dus) vooral wannabe-mensen rondlopen.

    U leest vaak de Telegraaf zie ik...
    19-08-2005, 15:27 door Anoniem
    schattig hoe microsoft nog even bitched over hoe ze niet
    eerst op de hoogte gebracht zijn

    Microsoft is concerned that this new report of a
    vulnerability in Internet Explorer was not disclosed
    responsibly, potentially putting computer users at risk. We
    continue to encourage responsible disclosure of
    vulnerabilities. We believe the commonly accepted practice
    of reporting vulnerabilities directly to a vendor serves
    everyone's best interests. This practice helps to ensure
    that customers receive comprehensive, high-quality updates
    for security vulnerabilities without exposure to malicious
    attackers while the update is being developed.
    19-08-2005, 15:49 door Anoniem

    De redactie van security.nl is vooral geïnteresseerd in
    tendentieuze berichtgeving van telegraafniveau. Helaas moet
    ik zeggen dat de mensen achter security.nl zelf weinig tot
    geen verstand hebben van security.

    Op die manier verwordt een op zich uitstekend initiatief tot
    een plaats waar mensen hun gebrek aan kennis en ervaring
    etaleren, een plaats waar windows vs. whatever flamewars
    welig tieren en waar (dus) vooral wannabe-mensen rondlopen.

    Wat ben jij een zelfingenomen eikeltje zeg. Volgens mij ben jij het meest wijze wezen wat rondloopt op deze aardkloot, gezien je geweldig geformuleerde analyse van security.nl. Steek jij nou ook elke ochtend een veer in je kont, of gaat dat je wat te ver.

    "wannabe-mensen", pfff, ga eens even heel snel volwassen worden.
    19-08-2005, 17:32 door G-Force
    Door Anoniem
    Die reg patch van sans is onleesbaar, dus gebruik deze maar:

    ;Disable msdds.dll
    [HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet
    ExplorerActiveX
    Compatibility{EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F}]
    "Compatibility Flags"=dword:00000400

    ;enable msdds.dll patch to restore original values
    ;[-HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet
    ExplorerActiveX
    ;Compatibility{EC444CB6-3E7E-4865-B1C3-0DE72EF39B3F}]

    Bovendien zou het de redactie sieren om niet meteen alle
    informatie van de sans website te kopiëren. Ik heb
    verschillende versies van Office 2000/XP en visio onder mijn
    beheer en geen heeft de msdds.dll geinstalleerd.

    Alex

    Nou, dan is er voor u geen probleem zou ik zeggen. Het vaststellen van
    deze DLL kan als volgt worden uitgevoerd:

    Ga naar: Start>zoeken>invullen in pad; msdds.dll>start zoeken.

    Wanneer dit bestand NIET gevonden wordt, dan is het systeem NIET
    kwetsbaar en dan hoeft men verder niets te doen. Men kan overigens ook
    via de Waarschuwingsdienst en de website van Microsoft lezen hoe te
    handelen als dit bestand wel op het systeem is geïnstalleerd.
    19-08-2005, 19:18 door Bitwiper
    Anoniem op vrijdag 19 augustus 2005 09:50:
    > Die reg patch van sans is onleesbaar

    Je bedoelt het "killbit.reg" bestand: inderdaad, onder
    Win98, ME en NT4, want het is een Unicode bestand. In NT4 en
    hoger kun je deze wel gewoon openen in notepad (kladblok),
    maar NT4 regedit kan er nog niet mee overweg (wel nadat je
    vanuit notepad opslaat met het unicode vinkje weggehaald).

    Beide exe files die je vanaf
    http://isc.sans.org/msddskillbit.php kunt
    downloaden werken echter met alle windows versies (ook Win98).

    Peter V. op vrijdag 19 augustus 2005 17:32:
    > Wanneer dit bestand NIET gevonden wordt, dan is het
    > systeem NIET kwetsbaar en dan hoeft men verder
    > niets te doen.

    Ik zou toch overwegen om de killbit alvast te zetten (met
    genoemde SANS programma's), kwaad kan dat niet. Op 13
    september zal MS deze hoogstwaarschijnlijk als patch uitbrengen.

    Het probleem is namelijk dat met de installatie van elk
    programma zo'n kwetsbare DLL aan je systeem kan worden
    toegevoegd.

    Op vergelijkbare wijze zijn er al heel wat PC's gehacked
    doordat third-party programma's verouderde (en kwetsbare)
    versies van Microsoft's database engine installeerden die,
    zonder dat je dat merkt, spontaan op bijv. poort 1433/tcp
    gaan luisteren (helaas bestaat daar geen killbit
    voor, alleen een firewall helpt daartegen).

    Er is in dit geval geen enkele reden om bang te zijn dat je
    iets sloopt met deze MSDDS.DLL killbit, want zelfs al staat
    deze DLL op je systeem, hij is niet eens bedoeld om via het
    web te worden benaderd.

    Erik van Straten
    19-08-2005, 22:41 door Anoniem
    hou er bij het zoeken wel weer rekening mee dat standaard (denk ik)
    dll bestanden niet gevonden worden, je moet wel eerst zorgen dat
    op alles gezocht wordt.
    Reageren

    Deze posting is gelocked. Reageren is niet meer mogelijk.

    Zoeken
    search
    Certified Secure