Na het draaien van MS10-042 (op 2010-07-13 verspreid via automatische updates) is het (met de
huidige kennis van zaken omtrent kwetsbaarheden in HelpCtr.exe en HelpSvc.exe, maar wie weet wat de toekomst brengt) niet meer nodig om Fix-It 50459 te draaien. Zie de samenvatting onderaan deze bijdrage als de details je niet interesseren.
Hoe zit het precies (zojuist uitgezocht en experimenteel vastgesteld):
[1] Microsoft Fix-It 50459 (te vinden op
http://support.microsoft.com/kb/2229593) wijzigt informatie in het register als volgt, eerst oorspronkelijke situatie van
voor het draaien van Fix-It 50459:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\HCP]
@="Help Center Pluggable Protocol"
"URL Protocol"=""
"EditFlags"=dword:00000002
"FriendlyTypeName"="@C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HCAppRes.dll,-2100"
[HKEY_CLASSES_ROOT\HCP\shell]
[HKEY_CLASSES_ROOT\HCP\shell\open]
[HKEY_CLASSES_ROOT\HCP\shell\open\command]
@="\"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe\" -FromHCP -url \"%1\""
Na het draaien van Microsoft Fix-It 50459:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\HCP]
@="Help Center Pluggable Protocol"
"URL Protocol"=""
"EditFlags"=dword:00000002
"FriendlyTypeName"="@C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HCAppRes.dll,-2100"
Met andere woorden, na het draaien van Microsoft Fix-It 50459 zal er als gevolg van een hcp:// URI geen HelpCtr.exe meer worden opgestart.
[2] Het draaien van
http://www.microsoft.com/technet/security/bulletin/MS10-042.mspx (verspreid via automatische updates van 2010-07-13) verandert
niets aan de registersleutel HKEY_CLASSES_ROOT\HCP! Het vervangt uitsluitend het bestand C:\Windows\System32\HelpSvc.exe. Als je eerder Fix It 50459 gedraaid hebt, en weer volledige support wilt voor het hcp:// protocol (zodanig dat HelpCtr.exe gestart wordt) zie dan punt [3] hieronder. N.b. als de ("hidden") map C:\WINDOWS\$NtUninstallKB2229593$ bestaat op je systeem kun je er normaal gesproken vanuit gaan dat MS10-042 gedraaid heeft.
[3] Het draaien van Microsoft Fix-It 50460 (ongedaan maken van 50459) zowel in de laatste situatie (dus zonder de "shell" subkey), als met een
geheel ontbrekende HCP subkey (dat is de workaround die in
http://www.microsoft.com/technet/security/bulletin/MS10-042.mspx wordt voorgesteld), leidt weer tot het volgende:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\HCP]
@="Help Center Pluggable Protocol"
"URL Protocol"=""
"EditFlags"=dword:00000002
"FriendlyTypeName"="@C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HCAppRes.dll,-2100"
[HKEY_CLASSES_ROOT\HCP\shell]
[HKEY_CLASSES_ROOT\HCP\shell\open]
[HKEY_CLASSES_ROOT\HCP\shell\open\command]
@="\"C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpCtr.exe\" -FromHCP -url \"%1\""
Kortom:
- De Microsoft Fit It's 50459 en 50460 alsmede automatic update MS10-042 hebben
uitsluitend betrekking op XP en Server 2003 (alle versies, ook 64 bit).
- MS10-042 patched de feitelijke (nu bekende) kwetsbaarheid door C:\Windows\System32\HelpSvc.exe te vervangen. Als je eerder Microsoft Fit It's 50459 hebt gedraaid: MS10-042 maakt die
niet ongedaan.
- Met de Microsoft Fit It's 50459 en 50460 kun je, onafhankelijk van of je MS10-042 wel/niet gedraaid hebt, het hcp:// protocol effectief disablen of weer enablen (disablen bijv. om
toekomstige kwetsbaarheden in helpsvc.exe of HelpCtr.exe alvast te voorkomen, iets zegt me dat dit niet het laatste is dat we op dit punt gezien hebben, en MS heeft -erg laat- besloten dat help via http in de webbworser, in elk geval vanuit security oogpunt, kennelijk toch niet zo'n heel goed idee was...)