Wat mij betreft inderdaad niet meer verwarring zaaien dan nodig.
Gewoon op de patch wachten, AV scanners updaten en andere
workarounds uitvoeren.
W.

"Via een werknemer liet de softwaregigant weten dat het niet
verstandig is om een "third party patch" te downloaden. Je
weet namelijk niet wat de code doet, waar die vandaan komt
en wat de gevolgen zijn."

Het enige verschil met MS patches is dat je wel weet waar
die vandaan komen...
Misschien is het gebruik van Windows ipv OpenBSD ook wel
onverantwoord te noemen.

Onzin! Omdat Microsoft onverantwoord lang op zich laat wachten met het
uitbrengen van een patch, is de beste optie om een niet-officiele patch te
installeren. Wel moet de bron van die patch goed gecontroleerd worden.
Maar als sans.org deze patch ook volledig heeft geanalyseerd en goed
bevonden, is het in elk geval beter deze patch te gebruiken totdat Microsoft
eindelijk met een oplossing komt.

Als SANS en NIST een 'lapmiddel' aanraden, plus er is uitleg
beschikbaar van wat de code doet, dan installeer ik liever die
patch dan dat ik nog 10 dagen op Microsoft kan gaan wachten. Er
zijn allerlei workarounds, maar die bieden gewoon geen 100%
zekerheid; deze patch wel.

Microsoft is onverantwoord bezig door zo lang te wachten met
het uitbrengen van een patch. De vertraging is waarschijnlijk ook
nog ingegeven door PR-motieven; een 'emergency patch' klinkt
niet echt lekker, niet?

Microsoft kan heel moeilijk zeggen dat mensen die 3rd party
patch wel moeten installeren, daarmee zouden ze nameijk
indirect hun eigen falen toegeven.

Ik vind de argumentatie dat dit een "knutsel" patch is
denigregernd voor de ontwikkelaar. Deze specifieke
ontwikkelaar is uitermate integer te werk gegaan, levert
source code mee, en doet, voor zover ik kan zien, niets engs
behalve de betreffende functie uitschakelen.

In het algemeen gesproken ben ik het wel eens met de
stelling dat patches van een 3rd party niet zo maar
aangebracht zouden mogen worden, maar dat hangt af van je
risico analyse, in hoeverre je omgeving gemanaged is of
wordt en voor thuisgebruikers is het sowieso een moot point,
die zijn momenteel zo kwetsbaar als ik weet niet wat, dus in
hun geval is het ZEKER aan te bevelen de patch aan te brengen.

Een patch blijft een lapmiddel.....

En lapmiddelen zijn nooit goed, anders was het nl. geen
lapmiddel

Knutselpatches zijn (voor een organisatie) inderdaad een
onverantwoord lapmiddel, ze kunnen veel meer schade
aanbrengen dan hetgeen waartegen ze beschermen. Het gaat in
dit geval alleen niet om een knutselpatch, Ilfak Guilfanov's
heeft een goede track record voor het schrijven van software
en bovendien heeft SANS de patch niet alleen maar getest,
maar zelfs ge-reverse engineerd en hem vervolgens gevalideerd.

Wij gebruiken binnen ons bedrijf deze patch als
"verzekering", binnen de ICT groep is hij geinstalleerd en
wordt dus actief getest op onze bedrijfsspecifieke
applicaties. Mocht er om wat voor redenen dan ook een
wormuitbraak komen, dan kunnen we onmiddelijk deze patch
uitrollen. Als er geen wormuitbraak komt wachten we gewoon
op de patch van MS op 10 januari. Ondertussen hebben we wel
extra maatregelen genomen om het risico verder in te dammen.

Thuis hoef ik niet te overwegen om de patch te installeren,
ik draai gewoon op Linux ;) Ook mijn vriendin kan hier prima
meer overweg voor mail, browsen, tekstverwerken, enz. en zij
is het tegenovergestelde van een it-nerd.

Wie vertrouw jij op dit moment meer?

Ik kan het niet beter stellen dan de jongens van SANS het de afgelopen
dagen zelf hebben gedaan: http://isc.sans.org/diary.php?storyid=996

Die gasten hebben over de jaren heen hun vertrouwen gewonnen in de
security wereld. En niet alleen zijn, maar ook stemmen zoals dat van
Securityfocus, en Mikko van F-Secure zijn hierin te horen, en ze roepen
deze week allemaal hetzelfde.. en zij zijn meenstal de eerste die roepen
dat je third-part patches niet moet vertrouwens.

Behalve nu.

En de reden daarvan mag duidelijk zijn: De schaal waarop deze exploit kan
worden uitgebuit is ongekend grootschalig. De ernst is zeer, zeer groot,
daarover is de security wereld het allang eens geworden deze week.

Maar als je Microsoft (in hun security advisory ) mag geloven, is, zoals Tom
Listen dat zo mooi zei, alles "wonderful, safe, en chocolaty".
http://isc.sans.org/diary.php?storyid=1011

Microsoft heeft van allerlei corperate belangen, uberhaubt al toegeven aan
een fout die 15 jaar al in Windows zit is al schadelijk genoeg voor het
vertrouwen, en dat voelen ze via hun investeerders in het protomonee.
Maar om dan ook nog eens 'out of cycle' een emergency patch te moeten
uitbrengen... ze hebben besloten om, ondanks de ernst van de situatie,
deze week niets meer te doen.. en dat vind ik behoorlijk kwalijk.

Ik werk voor een organisatie met meer dan 500.000 mederwerkers, en
onze corperate IT is wel degelijk bezig met de onoficiele patch... deze week
niets meer doen dan vertrouwen op non-proactieve anti-virus signatures is
gewoonweg een TE groot risico!

"knutsel" patch ???

De maker is toevallig wel een van de beste Windows Experts !

Als je tussen de lijnen leest van de Microsoft aankondiging
zal je zien dat de PREMIUM klanten van dat bedrijf wel
degelijk een "out-of-cycle" patch ter beschikking hebben. De
officiele dan wel te verstaan. De rest van ons moet gewoon
wachten. Meer dan waarschijnlijk is dat omdat het hun PR
gewijs beter uitkomt halsstarrig te wachten tot volgende
dinsdag.

Verder: in het algemeen weet je inderdaad niet wat 3rd party
patches doen en is het russische roulette spelen met je
machine. Maar in dit specifieke geval staan meer dan genoeg
security experten achter het installeren van deze
onofficiele patch.

Als je security experten raadplaagt en je verkiest dan het
advies van de leverancier boven dat van de experten, waarom
raadplaag je dan de experten om te beginnen ? Als de
experten het niet oneens mogen zijn met de leveranciers
hebben ze voor jou geen toegevoegde waarde.

Kies: wil je beschermd zijn ? of wil je liever een
mega-multi-national geloven ? Jouw risico, jouw keuze.

zelf gebruik ik de patch, maar ik snap het probleem zeker
wel, als dit vaker gaat gebeuren dan duiken er binnenkort
mailtjes op over hoe er weer een lek gevonden is en dat je
toch zeker even patch x moet installeren en voordat je het
weet heb je een virus binnen. voor de experts is zo'n
mailtje duidelijk vals, maar als gewone gebruikers al een
paar keer iets over onofficiele patches gehoord hebben
zullen ze misschien wel klikken. dat is gewoon een groot risico.

Mijn mening: We zitten altijd te vitten op Microsoft omdat ze zoveel
problemen hebben in uitgeleverde software...
Maar wie is op het moment de grootste software maker van het
universum? dat is toch Microsoft? dus wat zeuren we nou altijd dat MS
zwaar kl*te is enzo...
Als Google (overigens mooi bedrijf) eens zo groot zou zijn als MS dan
zouden ze ook fouten maken, en die werden dan ook beter opgespoord
door Hackers, of mensen die 'denken' iets van computers af te weten...

Mijn mening is dus: Laat MS het werk doen zoals ze het nu doen, want 99
van de 100 mensen die lopen te zeiken over MS hebben thuis of op kantoor
wel allemaal een product van MS draaien.......

Greetz,
#14

Knutsel patches zijn onverantwoord.
Maar geen patches zouden wel eens nog onverantwoorder kunnen
zijn....

. . alsof ik dat wel weet met de MS patches

regsvr32 -u %windir%system32shimgvw.dll

Is een levensgevaarlijke oplossing volgens M$
Denk het niet

..of met de oorspronkelijke software

Onverantwoord is het alleen voor personen die niet weten
waar ze mee bezig zijn bij het onderhoud van hun pc. Voor
iemand die zich er weinig van aan trekt waar hij met beheer
mee bezig is is het veel te lang moeten wachten op een
officiele patch van Microsoft of andere aanbieders
uiteindelijk net zo gevaarlijk.

Maar in dit geval weet je het zelfs heel goed, omdat de Ilfak Guilfanov patch
open source is!

Microsoft gebruikt de knutsel patch en zet er gewoon iets extra's bij

Deze stelling vertaald naar de niet-digitale wereld:

"Mensen zijn dom, dus geef ze maar geen
spijkers/scharen/duct-tape."

MS gaat ook niet helemaal vrijuit inzake "knutsel" patches.

De MS patch laat dan wel even op zich wachten, de patch is
dan wel in het Nederlands vertaald :)

Dan is het een pleister :)

Weet iemand de ECHTE rede van M$ om maar 1 keer per maand te
patchen? Ik kan er niets over vinden en het al helemaal niet
begrijpen. Zeker niet met die bergen lekken die ze elke keer
weer te fixen hebben.

Die mannen zijn nu gewoon allemaal op skivakantie hé.
Maandag beginnen die pas aan de patch te werken...

De echte reden is meervoudig..

#1 Wanneer er elke keer 'gerend' moet worden door de gehele
IT staff om 'weer eens' een kritisch Windows lek te fixen,
dan worden zelfs de meest achterlijke ICT managers bewust
van het feit dat Windows bagger is en je dat absoluut never
nooit niet moet gebruiken voor bedrijfskritische
applicaties. Helaas zijn ICT managers digibetische nitwits
die eerder op hun golf-partners vertrouwen dan op hun eigen
staff...

#2 TCO cijfers kun je dan ook niet meer laten oppoetsen door
je vriendjes van Gartner. "Get the facts" zou er dan wel
heel erg anders uit zien... Weet je niet HOEVEEL het kost om
elke keer als er een kritische patch uitgebracht moet worden
voordat ie daadwerkelijk geinstalleerd kan worden?

#3 Marketing technisch is het ook veel beter om in 1 keer 3
of meer patches tegelijk uit te rollen... Maximaal EEN keer
per maand wordt je er aan herinnerd dat je op het meest
brakke operating system van de wereld draait ipv elke paar
dagen...

#4 Mogelijkheid voor duurtesten van patches.. Windows is zo
bagger, dat 1 patch wel 100 problemen kan veroorzaken. Door
in de grote ballenbak van sourcecode modules te grijpen die
op sommige punten al 20 jaar niet meer onderhouden is
geweest op security gebied maakt dat je software niet alleen
brak en lek is, maar VERANDERINGEN potentieel
levensgevaarlijk zijn. Microsoft bewijst dat ook weer keer
op keer met servicepacks en diverse patches.

ze hebben het wel gezegd, het was handiger dat iedereen wist
wanneer de patches kwamen en niet steeds hoefden te checken
ofzo.

met een beetje googlen kun je wel wat sites met de reden van
microsoft vinden, bijvoorbeeld hier:
http://www.entmag.com/news/article.asp?EditorialsID=5987

STELLING : Knutsel patches zijn onverantwoord lapmiddel
ANTWOORD : JA

De beschikbare patch over dit WMF-lek : GEEN knutsel patch.

De rest kan iedereen zelf invullen.

helaas was een werkende preview patch al gelekt, ze hadden
al erg snel een patch alleen moet microsoft nog veel meer
testen dan iemand die een poging online gooit en dan op
basis van feedback aanpassingen maakt.

het blijft ook weer jammer dat mensen aan het woordneuken
slaan bij deze stelling. misschien had de redactie een
andere term kunnen gebruiken, maar volgens gaat het over de
officiele versus een onofficiele patch.

hahaha het bekendste closed source bedrijf ter wereld raad
dingen af omdat je 'niet weet wat de code doet'.

Geniaal.

Het zou mij niet verbazen dat op 10 januari MS met een fix komt die voor
99% lijkt op knutselwerk van een derde partij.
Microsoft is tenslotte begonnen met het kopieren van een DOS omgeving,
die op te poetsen en voor duur te verkopen.

T.a.v. de stelling: als ik me in mijn vinger snij, dan pak ik ook gewoon eerst
een zakdoek, of een pleister. Maar ik blijf dan nog steeds voorzichtig!

Gelukkig heb ik met alle hackers, crackers en scriptkiddies afgesproken
dat ze mijn PC niet exploiten zolang Microsoft nog geen patch uitgebracht
heeft... Wat een BULLSHIT! Lek = FIXEN... En wel GISTEREN...

knutselen is gokken, hoe weet je nou dat het op miljoenen pc's goed
gaat werken?

'k haal het toch liever bij Microsoft vandaan, is veiliger en je kunt dan bij hun
aankloppen met problemen.

1) Ik begrijp de reactie van Microsoft, maar ze zouden
sneller met eigen patches moeten komen.

2) Het is logisch dat anderen patches gaan maken, zou
misschien vaker moeten gebeuren.

3) Third-party patches zouden wel vertrouwd moeten worden,
in ieder geval door de mensen die weten hoe een computer
werkt, hoe je malware herkend etc.

maar het mag wel wat aan de snelle kant zijn hoor . als er zich weer zo iets
voor doet hoor . dat vind ik er van: