Ook een andere, eerder aangekondige wijziging voor vanavond, gaat niet door, zie https://technet.microsoft.com/en-us/library/security/2915720.aspx.

Het probleem is dat het mogelijk is om een bestand, dat digitaal is gesigneerd met Authenticode, aan te vullen met gegevens zonder dat dit de digitale handtekening ongeldig maakt (en daardoor tot foutmeldingen leidt bij controle). Voor zover bekend kan zo geen uitvoerbare code worden toegevoegd aan bestaande executables, tenzij die code vanuit het gesigneerde deel wordt aangeroepen (dat ben ik in de praktijk nog niet tegengekomen, maar wel heb ik gezien dat op deze manier variabele configuratiegegevens achter een gesigneerde executable werden geplakt).

Eerder heeft o.a. Didier Stevens onderzoek gedaan naar dit fenomeen (voor links zie https://www.security.nl/posting/386805/Probleem+met+certificaten#posting395440).

KB2915720 / MS13-098 stond gepland om te worden geactiveerd op 10 juni, is vervolgens uitgesteld tot 12 augustus 2014, maar komt nu te vervallen. Dat wil zeggen, zorgen dat het hierboven beschreven scenario tot een foutmelding leidt, is en blijft optioneel: dit kan door de registerwaarde "EnableCertPaddingCheck"="1" te zetten (zie https://technet.microsoft.com/en-us/library/security/2915720.aspx voor de keys, die zijn afhankelijk van 32bit/64bit windows versies).

@Redactie: wellicht een apart nieuws-item over maken?

Aanvulling 11:11: volgens https://technet.microsoft.com/library/security/ms13-098#ID0EFOAE (CVE-2013-3900) is remote code execution mogelijk. Uit die FAQ: Scary!

Aanvulling 11:19: als je wilt beveiligen door de optionele registerwaarde(s) te zetten, check dan eerst https://support.microsoft.com/kb/2893294 voor known issues bij Windows Server 2003 (Remote Desktop Service), Vista en Server 2008 (hostname wijzigt spontaan). Google naar: EnableCertPaddingCheck issues of EnableCertPaddingCheck problems voor meer te verwachten leed.

@ Erik van Straten,
Hartelijk dank voor al die informatie.

Je aanvulling van 11:19 uur - als je wilt beveiligen door de optionele registerwaarde(s) te zetten, check dan eerst https://support.microsoft.com/kb/2893294 - is ook zeer relevant.
De Known issues/ Bekende problemen zijn niet mis.
Voor Windows Server 2003: de Remote Desktop Services service start mogelijk niet meer.
Voor Windows Vista en Windows Server 2008: er kan mogelijk niet meer aangemeld worden.
Voor de niet-techie Vista of 2008 gebruiker die niet weet wat er aan de hand is, zou KB2893294 nogal dramatisch zijn.
Ik kan me voorstellen dat Microsoft dan maar besloten heeft die update uit te stellen.
Maar zou het voor Microsoft dan niet mogelijk zijn om voorafgaand aan KB2893294 een aanpassing te pushen die de correcte voorwaarden schept voor het installeren van KB2893294?

De onder de Known issues/ Bekende problemen gegeven informatie deed me overigens wel even fronsen.
Er wordt gesproken over de HKEY_LOCAL_MACHINE\SCHEMA registry subkey.
HKEY_LOCAL_MACHINE\SCHEMA - Die heb ik nog nooit gezien in mijn Vista register.
Volgens de Known issues/ Bekende problemen informatie zou dat een probleem zijn.
Wel heb ik in juni toevallig net System Update Readiness uitgevoerd https://support.microsoft.com/kb/947821 (in relatie met een eigenaardigheid waarvan ik nu niet meer zeker weet wat dat was, maar dat is nu niet relevant).
Gezien de beschrijving betreffend KB2893294, onder "How to determine whether the problem is resolved"/ "Controleren of het probleem is opgelost", heeft het uitvoeren van System Update Readiness mijn Vista systeem in ieder geval wel correct voorbereid op het eventueel doorvoeren van de aanpassing van KB2893294, zelfs al is HKEY_LOCAL_MACHINE\SCHEMA afwezig, zo begrijp ik. Merkwaardig.