image

Microsoft noodpatch voor gapend Windows gat

woensdag 22 juli 2009, 17:09 door Redactie, 8 reacties

Het is goed mogelijk dat Microsoft binnenkort een noodpatch uitbrengt voor een zeer ernstig beveiligingslek in Windows, dat het laatst al probeerde te dichten. Het komt niet vaak voor dat de softwaregigant buiten de maandelijkse patchcyclus om met een "out-of-band" update komt, maar in dit geval zou het gerechtvaardigd zijn. De problemen kwamen aan het licht toen aanvallers een kwetsbaarheid in het Video ActiveX control begonnen te gebruiken om systemen met malware te infecteren. Een aantal dagen later werd bekend dat Microsoft al meer dan een jaar van het lek op de hoogte was en ook al met een patch was begonnen.

Ondanks de korte tijd tussen de eerste aanvallen en patchdinsdag van juli, wist het toch een update uit te brengen. Volgens beveiligingsexpert Tyler Reguly ging het om prutswerk, aangezien de patch alleen uit een killbit voor het kwetsbare ActiveX control bestond. Hiermee loste Microsoft het beveiligingslek niet op, maar schakelde wel de kwetsbare functionaliteit uit.

Diep in Windows
Reverse engineer expert Halvar Flake besloot het lek te onderzoeken en ontdekte waarom Microsoft zo'n probleem had met het ontwikkelen van een werkende patch. Het probleem zit namelijk veel dieper in Windows. Niet alleen Windows, maar ook software van andere ontwikkelaars gebruiken dezelfde functie. Volgens Flake is de killbit-oplossing dan ook duidelijk niet voldoende, aangezien er vast tal van andere manieren zijn om het probleem te misbruiken.

Als de kwetsbare functie in de software van derde partijen is beland, dan heeft Microsoft per ongeluk beveiligingslekken in de programma's van andere ontwikkelaars geïntroduceerd. Het kan echter de nodige moeite kosten om te bepalen of er een kwetsbare of niet-kwetsbare versie van de functie aanwezig is. "Als dit in 'third-party' producten terecht is gekomen, dan zal alleen een klein deel van de ontwikkelaars op tijd een patch uitbrengen."

Misbruik
Een bron binnen Microsoft laat weten dat de softwaregigant een out-of-band update voor de volgende patchdinsdag kan uitbrengen. Of Microsoft dit ook zal doen is waarschijnlijk afhankelijk of aanvallers ook de andere kwetsbare onderdelen gaan misbruiken.

Reacties (8)
23-07-2009, 02:35 door extranion
Is het niet gewoon een feit dat er erg veel ActiveX gerelateerde Security Bugs zijn?

Als ik het mis heb hoor ik het graag.

Bij bijvoorbeeld firefox is het vervelend dat je een aparte applicatie moet installeren zonder dat het direct gedownload word.
De stap word dan wel bewuster gemaakt en zal dus ook minder snel kunnen leiden tot misbruik, echt zoals gewoon staat dat de usability in de weg.

Dan moet ik zeggen dat het natuurlijk altijd nog de vraag is wie het veiligst is, maar dat is een heel ander topic
23-07-2009, 09:16 door Anoniem
Je moet het gelinkte artikel even lezen. Het punt van deze bug is dat het juist geen activeX probleem is, maar een probleem in ATL. ATL is de Abstract Template Library, een verzameling templates for Visual C++. Aangezien er best wel wat software developers gebruik maken van de ATL kan het zo maar zijn dat er heel veel applicaties vulnerable zijn. Omdat templates statisch gelinkt worden in de executable moet je vervolgens ook nog eens opnieuw compileren.

Overigens ben ik onmiddellijk met je eens dat ActiveX een groot gapend gat is en dat er heel veel security-gerelateerde issues met activeX zijn. Maar wat wil je dan ook, je gaat executable code downloaded van een untrusted netwerk, en dat vervolgens met de hoogste permissies uitvoeren. Dat lijkt me een redelijk recept voor een ramp. Overigens is het niet alleen maar slecht, ActiveX is een prima technologie op een lokaal netwerk, alleen een beetje proprietary.
23-07-2009, 10:01 door Anoniem
..lekkere titel weer...

Microsoft noodpatch voor gapend Windows gat

Terwijl in het eigen stuk staat :

Misbruik
Een bron binnen Microsoft laat weten dat de softwaregigant een out-of-band update voor de volgende patchdinsdag kan uitbrengen. Of Microsoft dit ook zal doen is waarschijnlijk afhankelijk of aanvallers ook de andere kwetsbare onderdelen gaan misbruiken.

Helemaal geen noodpatch dus, maar een lek, waar nog wat aan gedaan moet gaan worden.

Het gaat hier steeds meer op de telegraaf lijken...
23-07-2009, 12:13 door Spiff has left the building
Door Anoniem: ..lekkere titel weer...
[...]
Helemaal geen noodpatch dus, maar een lek, waar nog wat aan gedaan moet gaan worden.

Het gaat hier steeds meer op de telegraaf lijken...

Ja, het valt mij ook op, de laatste tijd -
Schreeuwerige koppen soms, die regelmatig niet de lading van de stukjes dekken.
Dat doet inderdaad denken aan krantenkoppen, waarvoor nogal eens hetzelfde geldt.

Verzoek aan de redactie:
Graag niet alleen aandacht voor de nieuwtjes, maar ook voor de koppen boven de stukjes.
De koppen zetten voor een deel de toon van de site, zeker bij de eerste indruk.
Onterecht schreeuwende koppen geven een vieze smaak.
23-07-2009, 14:04 door Van Hoorne
Security haat Microsoft. Nou, dat is nou echt wel duidelijk. Met zorgvuldige berichtgeving heeft dit niks meer te maken. Ik heb steeds minder zin om de berichten hier te lezen, want het is toch een en al anti-Microsoft. Ga maar lekker juichen straks bij het OS van Google. Maar ga dan niet bleren dat je privacy geschonden wordt.

Redactie, ga nou eens gewoon doen, want dit is gewoon te vies voor woorden.
23-07-2009, 14:13 door Spiff has left the building
Door Van Hoorne: Security haat Microsoft. [...]
Redactie, ga nou eens gewoon doen, want dit is gewoon te vies voor woorden.
Hmm, ik vind de nieuwsberichten op Security.nl doorgaans best objectief en evenwichtig, hoor.
Microsoft vangt als hoge boom nou eenmaal veel wind.
Maar de koppen boven de stukjes, die hebben mijns inziens beslist aandacht nodig, die koppen zijn regelmatig flink onzorgvuldig.
23-07-2009, 14:33 door spatieman
ze proberen er in iedergeval iets aan te doen, ook al is het eerst na een portie struikvogelpoletiek van ontkennen etc.
24-07-2009, 17:29 door Van Hoorne
Linus Thorvald zelf roept dat Microsofthaat een ziekte is en dat die gasten (hier dus) eens in de spiegel moeten kijken, want ze zijn enorm hypocriet bezig. Maar dat lees je hier natuurlijk niet. Daarom:
http://techworld.nl/technologie/8340/linus-torvalds-microsofthaat-is-een-ziekte.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.