Computerbeveiliging - Hoe je bad guys buiten de deur houdt

MS11-087 en t2embed Fix-It 50793

13-12-2011, 23:52 door Bitwiper, 10 reacties
Deze bijdrage is bestemd voor diegenen die de afgelopen maand Fix-It 50792 gedraaid hebben om toegang tot T2Embed.dll te blokkeren als workaround voor de True Type Font Parsing vulnerability (misbruikt door Duqu, zie http:/www.security.nl/artikel/39062/1/Microsoft_%22fix%22_voor_ernstig_Windows-lek.html).

Zoals ik in http://www.security.nl/artikel/39487/1/Microsoft_dicht_236_lekken_in_2011.html aangaf maakt het niet uit of je Fix-It 50793 draait voordat of nadat je de patches van vanavond draait, inclusief de daadwerkelijke fix voor de True Type Font Parsing vulnerability (zie http://technet.microsoft.com/en-us/security/bulletin/ms11-087).

Maar ik moet eerlijk toegeven, om een andere reden dan ik dacht! De bug blijkt namelijk niet in T2Embed.dll te zitten maar in Win32k.sys (Fix-It 50792 trekt alle toegangsrechten op T2Embed.dll in, kennelijk om te voorkomen dat de buggy code in Win32k.sys bereikt kan worden).

Zoals ik uitleg in http://www.security.nl/artikel/39487/1/Microsoft_dicht_236_lekken_in_2011.html zal je, als je voor het patchen met de updates van vanavond (inclusief MS11-087) een geel schildje had, deze nog steeds zien. Als je dat schildje had weggekregen (bijv. door op https://www.update.microsoft.com/ aan te geven dat je de updates KB982132, KB972270 en KB691371 niet meer aangeboden wilt krijgen), dan zal dat nu niet opnieuw verschijnen (in tegenstelling tot wat ik eind vorige week voorspelde, toen ik er nog van uitging dat T2Embed.dll vervangen zou worden).

Probleem: Microsoft heeft http://support.microsoft.com/kb/2639658 aangepast, de Fix-It's zijn hier niet meer op terug te vinden... Lekker handig, no thanks Redmond! Gelukkig heb ik de URL's bewaard:

Enable: Microsoft Fix it 50792 -> http://go.microsoft.com/?linkid=9788941
Disable: Microsoft Fix it 50793 -> http://go.microsoft.com/?linkid=9788942

Conclusie: als je eerder Fix-It 50792 gedraaid hebt, zul je, voor of na het patchen (dat maakt dus niet uit) met MS11-087, Fix-It 50793 moeten draaien om weer volledige True Type Font support te hebben, en PDF te kunnen exporteren vanuit Office 2007.

Succes!
Reacties (10)
14-12-2011, 00:10 door Spiff has left the building
Door Bitwiper:
Probleem: Microsoft heeft http://support.microsoft.com/kb/2639658 aangepast, de Fix-It's zijn hier niet meer op terug te vinden...
Ja, ik zag het ook, eerder vanavond.
Ik heb datzelfde eerder ook gezien bij andere Fix it's, nadat de definitieve update was uitgekomen.
Dat was waarom ik eerder dan ook tipte, "Het is wellicht aan te raden die un-Fix it 50793 alvast op te slaan en te bewaren voor wanneer je die binnenkort nodig hebt."
(08-11-2011,14:12 uur, door Spiff)
http://www.security.nl/artikel/39062/1/Microsoft_%22fix%22_voor_ernstig_Windows-lek.html

Maar inmiddels zie ik dat op http://support.microsoft.com/kb/2639658 de enable en disable Fix it's nu toch weer wél worden aangeboden. Blijkbaar hebben ze ingezien dat het niet wenselijk was die un-Fit it niet meer aan te bieden.
14-12-2011, 00:40 door Bitwiper
@Spiff,

In http://support.microsoft.com/kb/2639658?ln=nl (Artikel ID: 2639658 - Laatste beoordeling: woensdag 16 november 2011 - Wijziging: 3.0) staan de Fix-It's (nog) wel genoemd.

Maar ik bekijk altijd alles in het Engels: in http://support.microsoft.com/kb/2639658?ln=us (Article ID: 2639658 - Last Review: December 13, 2011 - Revision: 4.0) zijn ze verdwenen...
14-12-2011, 07:11 door M_iky
Dank je wel Bitwiper. Voor deze weer zeer grondige post.
14-12-2011, 08:51 door FSF-Moses
Bedankt voor je post. Ik heb beide fixes ook voor de zekerheid lokaal bewaard.

[edit]
Domme vraag weggehaald ;)
[/edit]
14-12-2011, 09:34 door RichieB
De bug blijkt namelijk niet in T2Embed.dll te zitten maar in Win32k.sys
Ja, fonts parsen in ring0 (de kernel): briljant idee! Vooral omdat fonts embed kunnen worden in documenten die je van internet haalt. En dat al sinds NT 4. In NT 3.x zat het nog in ring3 (userspace). Voorspelling: er zitten nog veel meer van dit soort idiote design beslissingen uit de NT 4 tijd in Windows 7, 8, 9 en 10. Tijd voor een serieus OS?
15-12-2011, 09:49 door Anoniem
Is het niet beter om die Fixit gewoon erop te laten als je geen PDF's hoeft te importeren uit Office 2007? Volgens mij waren er namelijk eerder ook al ernstige vulnerabilities mbt Truetype font parsen, dus dan zullen er nog wel meer komen..
15-12-2011, 10:03 door Bitwiper
Door RichieB:
De bug blijkt namelijk niet in T2Embed.dll te zitten maar in Win32k.sys
Ja, fonts parsen in ring0 (de kernel): briljant idee! Vooral omdat fonts embed kunnen worden in documenten die je van internet haalt. En dat al sinds NT 4.
Onjuist, GDI code is met de ingang van Win2000 naar de kernel verplaats - om performance redenen. In hoeverre dat nog een zorgpunt is met de huidige generatie grafische kaarten kan ik niet goed inschatten.
Tijd voor een serieus OS?
Elk besturingssysteem is een compromis tussen enerzijds gebruiksgemak, performance en zo nog wat zaken, en anderzijds beveiliging. Vanuit marketingoogpunt bezien heeft Microsoft tot nu toe de juiste keuzes gemaakt, die sluiten echter vaak niet aan bij wat bezoekers van security.nl zouden willen (inclusief ondergetekende).

Over die fonts: in (http://www.security.nl/artikel/39062/Microsoft_%22fix%22_voor_ernstig_Windows-lek.html bijdrage van 04-11-2011,13:04) meldde ik mijn vermoeden al dat deze kwetsbaarheid ook via font downloads door websites (en dus adservers e.d.) kan worden misbruikt. Ik heb dat nog niet bevestigd gezien, maar vermoed dit nog steeds.

Interessant: gebruik een tijdje MSIE en zet "Vragen" aan bij "Lettertype downloaden" (menu Extra, Internetopties, tab Beveiliging, Internet, Aangepast niveau..., onder "Gedownloade elementen"). Verbazend hoeveel websites eigen fonts naar je webbrowser pushen (voorbeelden: http://computertotaal.nl/ en http://www.adobe.com/)...
15-12-2011, 16:17 door [Account Verwijderd]
[Verwijderd]
15-12-2011, 17:42 door Bitwiper
Door Peter V: Ik had al in een eerdere bijdrage gesteld dat Fix-it oplossingen teruggerold moeten worden, voordat je de patch installeert

Dat is altijd de beste oplossing.
Helemaal mee eens, maar in dit geval gaat er niks fout als je dat vergeet en de undo-Fix-It na het updaten draait.

Ik moedig dat niet aan, integendeel, maar veel mensen maken zich zorgen dat het patchproces verstoord wordt door een andere volgorde van handelen.
16-12-2011, 00:21 door Anoniem
Door Bitwiper:

Interessant: gebruik een tijdje MSIE en zet "Vragen" aan bij "Lettertype downloaden" (menu Extra, Internetopties, tab Beveiliging, Internet, Aangepast niveau..., onder "Gedownloade elementen"). Verbazend hoeveel websites eigen fonts naar je webbrowser pushen (voorbeelden: http://computertotaal.nl/ en http://www.adobe.com/)...

Zeer zeker interessant en verbazingwekkend, precies de reden waarom ik dit al jaren op (dus mooi) -niet- downloaden heb staan. Geen behoefte aan een 'er net weer iets anders uitziend' font dan de standaard in het OS aanwezige lettertypen. Ehh, that is, als ik 'My Secret Internal Error' (MSIE) al gebruik om een website te bezoeken natuurlijk. (Maar in een enkel geval kom je er gewoonweg niet onderuit.) MS maakt best wel een serieus OS naar mijn mening ... helaas maken ze ook serieuze fouten en verkeerde beslissingen. Serieus? Serieus!

Anoniem&
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure