Officiele Microsoft WMF patch nu te downloaden
Buiten haar maandelijkse patchcyclus om heeft Microsoft de patch voor het zeer ernstige WMF lek in Windows beschikbaar gesteld. Oorspronkelijk stond de update gepland voor aanstaande dinsdag 10 januari, maar vanwege de ernst van de situatie heeft de softwaregigant toch besloten de update eerder uit te brengen. Via het lek kan een aanvaller willekeurige code op het kwetsbare systeem uitvoeren. Alleen het bezoeken van een website of bekijken van een afbeelding is voldoende om geinfecteerd te raken.
De patch is er voor:
Windows 98, 98SE en ME zijn niet kwetsbaar, hoewel de Windows Millennium Edition wel een kwetsbaar component bevat, is dit niet ernstig. De patch kan via Windows en Microsoft Update en dit security bulletin gedownload worden.
Voor mensen die een workaround hebben gebruikt wordt het volgende aangeraden:
1. Reboot het systeem om kwetsbare bestanden uit het geheugen te halen
2. Download en installeer de nieuww patch van Microsoft
3. Reboot
4. Verwijder de onofficiele patch, door:
a. Toevoegen/verwijderen (Add/Remove Programs). Zoek naar "Windows WMF Metafile Vulnerability HotFix"
b. of op de command prompt:
"C:\Program Files\WindowsMetafileFix\unins000.exe" /SILENT
c. of, als je msi gebruikt hebt om de patch op meerdere systemen te installeren:
msiexec.exe /X{E1CDC5B0-7AFB-11DA-8CD6-0800200C9A66} /qn
5. Re-register het .dll bestand als je dat eerst unregistered had (via hetzelfde commando, alleen zonder de "-u"):
regsvr32 %windir%\system32\shimgvw.dll
6. Optioneel kan er nog een keer herstart worden.
(ISC)
Met dank aan Peter V. voor het melden van dit nieuws
januari de patch pas uit brengt, dus bedrijven gaan mensen-uren
reserveren om meteen aan de slag te kunnen met testen en
implementeren, en dan ga je alsnog de patch te vroeg uitbrengen...
ONACCEPTABEL.
serieus nemen als leverancier van bedrijfssoftware.
implemeteren, dus je capaciteitsclaim voor volgende week kan
gehandhaafd blijven..... ben blij dat de patch er is!
Het is een stuk better dan een week te laat.
Het zijn en blijven prutsers.... Eerst ga je iedereen vertellen dat je 10
januari de patch pas uit brengt, dus bedrijven gaan mensen-uren
reserveren om meteen aan de slag te kunnen met testen en
implementeren, en dan ga je alsnog de patch te vroeg uitbrengen...
ONACCEPTABEL.
Ach, je kunt ook gewoon denken dat ze wat harder zijn gaan werken na al
het commentaar en blij zijn dat het er nu dan is. Altijd dat 'microsoft-
bashing' is wel erg makkelijk hoor.
*als Microsoft met de patch uitblijft is dat reden voor klagen
*als Microsoft vroeger komt is dat reden voor klagen
Je bent niet verplicht om deze patch te installeren.
Het zijn en blijven prutsers.... Eerst ga je iedereen vertellen dat je 10
januari de patch pas uit brengt, dus bedrijven gaan mensen-uren
reserveren om meteen aan de slag te kunnen met testen en
implementeren, en dan ga je alsnog de patch te vroeg uitbrengen...
ONACCEPTABEL.
Je bent pas een prutser als je geen capaciteit beschikbaar hebt voor dit
soort zaken wanneer dat echt nodig is.
En hoor je je zelf het al zeggen "de patch is te vroeg", grappig :)
Ach, je kunt ook gewoon denken dat ze wat harder zijn gaan
werken na al
het commentaar en blij zijn dat het er nu dan is. Altijd dat
'microsoft-
bashing' is wel erg makkelijk hoor.
zaken omtrend dit probleem. Je kan moeilijk zeggen dat het
professioneel over komt.
Ach, je kunt ook gewoon denken dat ze wat harder zijn gaan
werken na al
het commentaar en blij zijn dat het er nu dan is. Altijd dat
'microsoft-
bashing' is wel erg makkelijk hoor.
zaken omtrend dit probleem. Je kan moeilijk zeggen dat het
professioneel over komt.
Ach, als Microfsoft te laat is dan is het niet goed en als ze dan eerder
komen is het ook niet goed. Het is bij sommige mensen nou eenmaal
nooit goed als Microsoft iets doet.
Als je als bedrijf communiceert over een release-datum dan zet je jezelf
een deadline. Dus is het zaak om die deadline haalbaar en wat verder in
de toekomst te plannen, om er zeker van te zijn dat je het haalt. Als de
patch dan eerder klaar wordt is dat gewoon meegenomen en heb je
harder gewerkt als in je vooraf bepaalde 'worst-case scenario'. Kortom:
niet zeuren en blij zijn dat ze wat vroeger zijn.
Het is dus heel professioneel om ruim voor je deadline uit te komen,
alleen voor mensen die altijd overal commentaar op hebben is dat
anders...
"......en dan ga je (Microsoft) alsnog de patch te vroeg uitbrengen"
Ik ben geen lid van een Microsoft-fanclub, maar deze uitspraak slaat echt
alles....
Meest idiote uitspraak van deze dag:
"......en dan ga je (Microsoft) alsnog de patch te vroeg uitbrengen"
Ik ben geen lid van een Microsoft-fanclub, maar deze uitspraak slaat echt
alles....
Ik ben het helemaal met je eens, deze 'anoniem' verdient een standbeeld!
moeten maken!
wat maakt iedereen zich druk over die patch, microsoft had
nooit die lek
moeten maken!
Aaahja, de oplossing voor elk probleem is immers: zorg er
voor dat er geen probleem komt..... In de ideale wereld waar
overal bloemetjes groeien en vlindertjes fladderen. Waar het
geluid van vrolijke vogeltjes zich mengt met de klanken van
een prachtig bergwatervalletje. Ja, daar schijnt ook het
perfecte besturingssysteem te zijn, zonder lek of andere
foutjes en volslagen ondoordringbaar voor kwaadwillende, zo
die er al zijn in deze perfecte wereld!!!
Get realistic!
wat maakt iedereen zich druk over die patch, microsoft had
nooit die lek
moeten maken!
Aaahja, de oplossing voor elk probleem is immers: zorg er
voor dat er geen probleem komt..... In de ideale wereld waar
overal bloemetjes groeien en vlindertjes fladderen. Waar het
geluid van vrolijke vogeltjes zich mengt met de klanken van
een prachtig bergwatervalletje. Ja, daar schijnt ook het
perfecte besturingssysteem te zijn, zonder lek of andere
foutjes en volslagen ondoordringbaar voor kwaadwillende, zo
die er al zijn in deze perfecte wereld!!!
Get realistic!
linux is toch zo'n wereld?
Na 1 jaar wordt er toch ingebroken.
Dan ga je toch ook de verkoper niet aansprakelijk stellen?
Dat eeuwige anti-Microsoft gezeur.....
Dan ben ik wel benieuwd naar jou mening rond de gang van
zaken omtrend dit probleem. Je kan moeilijk zeggen dat het
professioneel over komt.
Ach, als Microfsoft te laat is dan is het niet goed en als
ze dan eerder
komen is het ook niet goed. Het is bij sommige mensen nou
eenmaal
nooit goed als Microsoft iets doet.
Als je als bedrijf communiceert over een release-datum dan
zet je jezelf
een deadline. Dus is het zaak om die deadline haalbaar en
wat verder in
de toekomst te plannen, om er zeker van te zijn dat je het
haalt. Als de
patch dan eerder klaar wordt is dat gewoon meegenomen en heb je
harder gewerkt als in je vooraf bepaalde 'worst-case
scenario'. Kortom:
niet zeuren en blij zijn dat ze wat vroeger zijn.
Het is dus heel professioneel om ruim voor je deadline uit
te komen, ijna
alleen voor mensen die altijd overal commentaar op hebben is
dat
anders...
Volgens mij de reden dat ze nu alsnog commentaar krijgen is
de manier waarop het gegaan is. Eerst het probleem
ontkennen, dan zeggen dat het pas over een week komt
(terwijl we dan al bijna een week verder zijn), en dan toch
ineens (waarschijnlijk door de vele negatieve publiciteit)
vervroegt met een patch komen.
Tuurlijk is het goed dat er een patch is, en vrijgegeven is,
maar bij zo'n groot probleem verwact je een snellere en
professionelere reactie.
Get realistic!
linux is toch zo'n wereld?[/quote]
Nogmaals: Get Realistic
Microsoft nu juist de maandelijke patch cycle heeft 'zogenaamd' onder het
mom van 'dat kun je je erop instellen'... Dan gaan ze eerst roepen dat er
niets aan de hand is, dan gaan ze roepen dat alles mitigeren met "als je
PC niet aan staat is er niets aan de hand", dan gaan ze roepen dat er een
patch komt op 10 januari en dan komen ze te vroeg. OF ze lullen uit hun
nek over de reden voor de maandelijkse patchcycle OF ze lullen gewoon uit
hun nek. Ik weet niet welke erger is.
verstaan.
Linux non est numerus....
Mundus vult decipi,decipiatur ergo
zijn, maar kan iemand mij vertellen wat dit betekend ? Ikke
nie snap nie
Mijn probleem (ik was die anomiem die een standbeeld
verdient) is dat
Microsoft nu juist de maandelijke patch cycle heeft
'zogenaamd' onder het
mom van 'dat kun je je erop instellen'... Dan gaan ze eerst
roepen dat er
niets aan de hand is, dan gaan ze roepen dat alles mitigeren
met "als je
PC niet aan staat is er niets aan de hand", dan gaan ze
roepen dat er een
patch komt op 10 januari en dan komen ze te vroeg. OF ze
lullen uit hun
nek over de reden voor de maandelijkse patchcycle OF ze
lullen gewoon uit
hun nek. Ik weet niet welke erger is.
ze hebben direct bij de monthly patch cycle gezegd dat er
uitzonderingen mogelijk waren. je kan nou eenmaal niet alles
van te voren vast zetten, je moet soms dynamisch zijn. ik
vind dat het ontzettend aan het zeuren bent met je reactie.
Stel: je koopt een huis, volgens de nieuwste technieken
beveiligd.
Na 1 jaar wordt er toch ingebroken.
Dan ga je toch ook de verkoper niet aansprakelijk stellen?
Dat eeuwige anti-Microsoft gezeur.....
wel als het door een aantoonbare fout van de fabrikant komt
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx
(WindowsXP-KB912919-x86-NLD.exe) geinstalleerd, betreft
computer met XP PRO SP2. Eerder geen workarrounds toegepast
of onofficiele patch(es) geinstalleerd. Bij het bezoeken van
een "kwaadaardige" site meteen weer geinfecteerd
(xpladv470[1].wmf)! Volgens mij deugt deze patch niet! Het
bezoeken van betreffende site middels Mozilla Firefox 1.5
geeft geen enkel probleem.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
