Nieuws
image

Microsoft patcht ernstige lekken in Windows en IE

vrijdag 7 december 2007, 10:08 door Redactie, 10 reacties

Microsoft zal aanstaande dinsdag verschillende beveiligingslekken in Windows en Internet Explorer dichten waardoor aanvallers het systeem over kunnen nemen. In totaal gaat het om 7 bulletins, voor onder andere kwetsbaarheden in DirectX, DirectShow, Windows Media Format Runtime, Windows Media Services, IE 5,6 en 7 en Windows 2000, XP, Server 2003 en Vista.

Via vijf van de zeven lekken is het mogelijk om willekeurige code uit te voeren, en dus een Windows computer te infecteren of over te nemen. In de overige twee gevallen kan een aanvaller zijn of haar rechten verhogen. Installatie van de voor 11 december geplande updates vereist een herstart van de machine.

Reacties (10)
07-12-2007, 12:51 door Eerde
Zeven lekken, waarvan 5 ernstig. Goh, Firefox had er maar 1
in diezelfde periode. Hoe kan dat nou ? Windows/IE was toch
de veiligste combi ooit ??
07-12-2007, 13:19 door Darkman
En dit bericht komt minder dan een week na dit bericht;
http://www.security.nl/article/17530/1/Microsoft%3A_Meer_lekken_in_Firefox_dan_Internet_Explorer.html
07-12-2007, 13:27 door Eerde
Daar doelde ik ook op. Leugenaars zijn het bij M$ en de
consument pikt dat niet langer. De WC-eend verhalen zijn
alleen nog een inspiratiebron voor grappen en grollen.

De (on)veiligheid van M$ software is alom bekend.
07-12-2007, 13:35 door eMilt
@Eerde: Hoe kun je nou een compleet OS (en zelfs nog
meerdere verschillende versies van het OS) vergelijken met 1
applicatie. Overigens heeft Firefox in de maand November
drie updates / fixes uitgebracht (2.0.0.9 t/m 2.0.0.11).
07-12-2007, 14:39 door Anoniem
Er is maar liefst 1 van de zeven updates voor internet explorer. De
andere zes updates zijn voor andere onderdelen in windows.
07-12-2007, 14:52 door SirDice
Door eMilt
@Eerde: Hoe kun je nou een compleet OS (en zelfs nog
meerdere verschillende versies van het OS) vergelijken met 1
applicatie. Overigens heeft Firefox in de maand November
drie updates / fixes uitgebracht (2.0.0.9 t/m 2.0.0.11).
Mee eens... Verschillende versies OS, verschillende versies browser en andere soorten software maakte het totaal van 7...

Firefox had 3 (2.0.0.10) security fixes, alle drie "high".
http://www.mozilla.org/projects/security/known-vulnerabilities.html

Over appels met peren vergelijken gesproken...

En nee, ik gebruik geen IE.
07-12-2007, 15:46 door Anoniem
Ik vind het altijd zo bijzonder dat er (regelmatig?) bekende ernstige lekken zijn, waar een 'middel' voor gemaakt is, dat men die pas op een (uiterst grappige) maandelijkse patchdag uit serveert...
08-12-2007, 11:49 door SirDice
Die hele responsible disclosure en de maandelijkse patch cyclus heb ik nooit begrepen.

Stel een onderzoeker vindt een gat, meldt dat bij MS. MS gaat patchen, duurt een maand of 2. Ondertussen weten wij (die zo'n server hebben draaien) niet van het bestaan van dat gat af. Die onderzoeker mag niets melden, responsible disclosure.

Als een onderzoeker zo'n gat kan vinden kan een black hat (bij gebrek aan een betere benaming) dat dan toch zeker ook? Dus zitten wij op hete kolen zonder dat we het weten.

Een black hat zal een dergelijke ontdekking ook niet wereldkundig maken, sterker nog, zo'n exploit zal mondjesmaat gebruikt worden. Want hoe vaker zo'n exploit gebruikt wordt hoe groter het risico dat het ontdekt wordt.

Dus de onderzoekers weten het, de blackhats weten het, MS weet het. En ondertussen zijn wij, als gebruikers, sitting ducks tot het, hopelijk, gepatched wordt op de tweede dinsdag van de maand.
08-12-2007, 15:05 door ctrlaltdelete
SirDice, in veel gevallen is de manier waarop zo'n lek misbruikt kan
worden wel bekend bij de diverse AV bedrijven en wordt er d.m.v. updates
al een (tijdelijke) oplossing geboden die misbruik van zo'n lek zal
voorkomen.

Voorbeeldje; ANI exploit.
Tegen de tijd dat MS een patch had uitgebracht bood elke goede AV al
bescherming.

Dit geldt natuurlijk niet alleen voor gaten in een OS maar ook voor andere
veelgebruikte software.
10-12-2007, 09:05 door SirDice
Door ctrlaltdelete
SirDice, in veel gevallen is de manier waarop zo'n lek misbruikt kan worden wel bekend bij de diverse AV bedrijven en wordt er d.m.v. updates al een (tijdelijke) oplossing geboden die misbruik van zo'n lek zal voorkomen.

Voorbeeldje; ANI exploit.
Tegen de tijd dat MS een patch had uitgebracht bood elke goede AV al bescherming.
Voor zover ik me kan herinneren was daar PoC code voor beschikbaar, lang voordat MS de boel patchte. Op basis van die PoC werden AV signatures gemaakt. AV bedrijven lopen per definitie achter de feiten aan te hobbelen. Daar kunnen ze ook niets aan doen, zo werkt het nu eenmaal. Als die PoC code niet beschikbaar was waren er zeker ook geen AV signatures gemaakt. Want ik geloof echt niet dat MS z'n vuile was uithangt bij AV bedrijven.

"Oh, jongens, er zit een gat daar en daar. Dat kun je zo en zo misbruiken, maken jullie daar even een signature voor dan kunnen wij op het gemak de boel dichten." Wellicht dat AV bedrijven iets eerder van iets afweten via een of ander partner programma maar veel meer of veel eerder dan wij geloof ik niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure