Computerbeveiliging - Hoe je bad guys buiten de deur houdt

MS15-10 op Vista (font corruption)

18-02-2015, 10:33 door Fwiffo, 15 reacties
https://technet.microsoft.com/library/security/MS15-010#ID0EVOAE

Er is nog geen forum topic voor dit issue, dus heb ik die maar even aangemaakt. Er zijn wel verschillende nieuwsberichten over dit onderwerp op security.nl.

Het probleem is dat sommige fonts onder Windows Vista moeilijk leesbaar zijn na installatie van MS15-10. Ik had dit bijvoorbeeld in Opera 27 en in notepad.

Nu valt mij opeens op dat MS15-10 voor Vista niet 'Critical' is, maar 'Important'. Voor Windows 7 en hoger is MS15-10 wel 'Critical', maar die hebben het font corruption probleem weer niet.

Ik denk er dus hard over na om voor de volgende patch dinsdag MS15-10 te deïnstalleren op mijn Vista machine als er dan nog geen oplossing van Microsoft is. Is dit een goed idee??
Reacties (15)
18-02-2015, 12:51 door Spiff has left the building - Bijgewerkt: 18-02-2015, 12:52
Dank je voor je post, Fwiffo.
Ik zal even verwijzen naar de andere Security.nl threads die ik ken waarin over dat onderwerp is gepost.
Dat is vanaf hier: https://www.security.nl/posting/418100#posting418180
en ook hier nog: https://www.security.nl/posting/418592#posting418604

Elders vind je onder meer hier een lange thread over hetzelfde onderwerp:
http://www.bleepingcomputer.com/forums/t/566588/did-new-windows-updates-and-now-my-fonts-look-bad/
en ook hier:
https://answers.microsoft.com/en-us/windows/forum/windows_vista-windows_update/kb3013455-ms15-010-causes-font-corruption/8640d38d-19bd-46b6-9af0-6213c05107d3

Wat betreft het verwijderen van KB3013455 -
Fwiffo, je geeft aan dat die update voor Vista niet 'Critical' is, maar 'Important'.
Ik zie het inderdaad:
https://technet.microsoft.com/library/security/MS15-010#ID0EVOAE
Onder "Severity Ratings and Vulnerability Identifiers", wordt voor Windows 7 en later de patch voor het onderdeel "TrueType Font Parsing Remote Code Execution Vulnerability" benoemd als "Critical", maar op Windows Vista, Server 2003 en Server 2008 is dat onderdeel niet van toepassing, waardoor ten hoogste de aanduiding "Important" geldt voor de andere onderdelen waarop KB3013455 van toepassing is.

Hoe verstandig of onverstandig het is om KB3013455 te deïnstalleren en de andere onderdelen waarop KB3013455 van toepassing is ongepatcht te laten, dat kan ik niet goed beoordelen.
Ikzelf waag het er liever niet op.
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0003
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0057
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0060
18-02-2015, 16:54 door 0101
Ik ben er inmiddels ook tegenaan gelopen dat deze update mijn fonts verpest. Ik deïnstalleer liever geen security-updates, maar ik overweeg nu toch serieus om dit te doen (en dan web fonts uit te schakelen in Firefox) aangezien monospace fonts nagenoeg onleesbaar worden. Niet handig voor een programmeur!
19-02-2015, 08:36 door B3am
Bedankt voor de tip!

Heb een W2K3 server met een font probleem.

http://windowsitpro.com/msrc/patch-tuesday-font-corruption-kb3013455
19-02-2015, 09:29 door Erik van Straten
18-02-2015, 10:33 door Fwiffo: https://technet.microsoft.com/library/security/MS15-010#ID0EVOAE

Er is nog geen forum topic voor dit issue, dus heb ik die maar even aangemaakt. Er zijn wel verschillende nieuwsberichten over dit onderwerp op security.nl.

Het probleem is dat sommige fonts onder Windows Vista moeilijk leesbaar zijn na installatie van MS15-10. Ik had dit bijvoorbeeld in Opera 27 en in notepad.

Nu valt mij opeens op dat MS15-10 voor Vista niet 'Critical' is, maar 'Important'. Voor Windows 7 en hoger is MS15-10 wel 'Critical', maar die hebben het font corruption probleem weer niet.

Ik denk er dus hard over na om voor de volgende patch dinsdag MS15-10 te deïnstalleren op mijn Vista machine als er dan nog geen oplossing van Microsoft is. Is dit een goed idee??
Dat hangt ervan af. Uit http://breakingmalware.com/vulnerabilities/one-bit-rule-bypassing-windows-10-protections-using-single-bit/:
Posted February 10, 2015 by Udi Yavo: After some work we managed to create a reliable exploit for all versions of Windows – dating back as of Windows XP to Windows 10 preview (With SMEP and protections turned on).
Ik vermoed dat Vista net zo kwetsbaar is als andere MS operating systems.

Als ik het goed begrijp gaat het hier om een privilege escalation exploit. Dat wil zeggen dat als kwaadaardige code gestart wordt onder een minder "privileged" account, middels deze exploit admin- en waarschijnlijk SYSTEM rechten kunnen worden verkregen. Als jij altijd al inlogt met een admin account, en gebruik maakt van UAC, zijn er waarschijnlijk meer mogelijkheden voor privilege escalation, en kun je stellen dat het risico dat deze kwetsbaarheid met zich meebrengt, beperkt is.

Als je echt alle mogelijke moeite doet om je systeem te beveiligen, o.a. door een "ordinary user account" te gebruiken voor dagelijks werk, dan vormen privilege escalation exploits een groter risico. Dit is zeker het geval op (terminal-) servers waar gebruikers code kunnen uitvoeren.
19-02-2015, 11:14 door Fwiffo
Na het net lezen van de link naar het forum van Microsoft, die Spiff gaf (22 pagina's), lijkt er schot in te komen. Op de laatste pagina's wordt er gelinkt naar twee nieuwe patches voor Windows Vista (en meer). Zover ik begrijp moet je eerst de foutieve patch weer (her-)installeren, dan de patch met het laagste nummer eerst (of is dat dezelfde?) en daarna de tweede patch met het hoogste kb nummer. Dit alles overvloedig afgewisseld met reboots.

Zelf laat ik de foutieve patch geïnstalleerd staan en wacht ik op een officiële patch via windows update (net zoals de meeste gebruikers van Windows Vista - voor zover die nog niet hun computer uit het raam hebben gegooid).

Iemand op het forum van Microsoft wist ook nog het Google Project Zero de schuld te geven van de foutieve patch :-/
Dank voor alle reacties! En ik ben inderdaad banger voor een RCE via de browser dan een EoP Eric ;-)
19-02-2015, 13:52 door Spiff has left the building
Door Erik van Straten, 09:29 uur :
Dat hangt ervan af. Uit http://breakingmalware.com/vulnerabilities/one-bit-rule-bypassing-windows-10-protections-using-single-bit/:
Posted February 10, 2015 by Udi Yavo: After some work we managed to create a reliable exploit for all versions of Windows – dating back as of Windows XP to Windows 10 preview (With SMEP and protections turned on).
Ik vermoed dat Vista net zo kwetsbaar is als andere MS operating systems.
Dank je, Erik.
Als Microsoft's aanduiding "Important" al van toepassing is op een patch voor een kwetsbaarheid zoals CVE-2015-0057, dan lijkt me dat gezien de beschrijving beslist al belangrijk genoeg om te patchen en gepatcht te houden, ook al is er geen sprake van een aanduiding "Critical" zoals voor de patch voor CVE-2015-0059 (die niet van toepassing is op Windows Vista, Server 2003 en Server 2008).
19-02-2015, 13:52 door Spiff has left the building - Bijgewerkt: 19-02-2015, 17:50
Door Fwiffo, 11:14 uur:
Na het net lezen van de link naar het forum van Microsoft, die Spiff gaf (22 pagina's), lijkt er schot in te komen. Op de laatste pagina's wordt er gelinkt naar twee nieuwe patches voor Windows Vista (en meer).
Um, ik denk dat je de post bedoelt van Susan Bradley op pagina 21 van die thread, met de tekst:
An additional, non-security update was implemented for affected editions of Windows Server 2003, Windows Server 2008, and Windows Vista to address problems with text quality degradation that some customers experienced after installing the 3013455 update. Note that the additional package (3037639) is not needed to be protected from the vulnerabilities addressed by the 3013455 update; it simply corrects the text quality problem. Customers should also be aware that the 3037639 update does require a system restart after installation.
(Irritant dat direct linken naar posts in zo'n Microsoft Community thread niet mogelijk lijkt.)

Inmiddels wordt het ook hier genoemd:
https://support2.microsoft.com/kb/3013455/en
To resolve this issue, install update 3037639. For more information, click the following article number to view the article in the Microsoft Knowledge Base:
3037639 Fix for text quality degradation after security update 3013455 (MS15-010) is installed
--> KB3037639
https://support2.microsoft.com/kb/3037639/en
Fix for text quality degradation after security update 3013455 (MS15-010) is installed

Door Fwiffo, 11:14 uur:
Zover ik begrijp moet je eerst de foutieve patch weer (her-)installeren, dan de patch met het laagste nummer eerst (of is dat dezelfde?) en daarna de tweede patch met het hoogste kb nummer. Dit alles overvloedig afgewisseld met reboots.
Eerst KB3013455, voor wie die nog niet heeft geïnstalleerd of die heeft verwijderd,
en vervolgens KB3037639 om het besproken probleem te repareren.
Ik zie geen aanwijzing dat KB3013455 opnieuw geïnstalleerd zou moeten worden wanneer die al en nog geïnstalleerd is.

Door Fwiffo, 11:14 uur:
Zelf laat ik de foutieve patch geïnstalleerd staan en wacht ik op een officiële patch via windows update (net zoals de meeste gebruikers van Windows Vista - voor zover die nog niet hun computer uit het raam hebben gegooid).
Dat lijkt me best verstandig.
Wordt KB3037639 inmiddels aangeboden via handmatige download, dan mag ik hopen/aannemen dat die binnenkort ook via Windows Update aangeboden gaat worden.

Niettemin zal ik zelf straks KB3037639 eens handmatig downloaden en installeren.
Ik zal later dan even berichten hoe dat ging.
19-02-2015, 15:41 door Spiff has left the building - Bijgewerkt: 22-02-2015, 11:38
Door Spiff, 13:52 uur:
KB3037639
https://support2.microsoft.com/kb/3037639/en
Fix for text quality degradation after security update 3013455 (MS15-010) is installed
[...]
Wordt KB3037639 inmiddels aangeboden via handmatige download, dan mag ik hopen/aannemen dat die binnenkort ook via Windows Update aangeboden gaat worden.
Niettemin zal ik zelf straks KB3037639 eens handmatig downloaden en installeren.
Ik zal later dan even berichten hoe dat ging.
Via https://support2.microsoft.com/kb/3037639/en
heb ik de voor mijn systeem van toepassing zijnde versie geselecteerd (in mijn geval Vista x86),
vervolgens op de pagina "Security Update for Windows Vista (KB3013455)" gekozen "Download",
KB3037639 geselecteerd en gedownload (niet KB3013455, want die was al toegepast),
vervolgens KB3037639 uitgevoerd ter installatie,
en ten slotte een reboot uitgevoerd, zoals vereist.
Gelijk na de reboot was de font corruption verholpen. Mooi.

Nu hoop ik voor de 'gewone' gebruiker maar dat KB3037639 binnenkort automatisch via Windows Update aangeboden gaat worden.

[Edit: bold toegepast ter verduidelijking]
20-02-2015, 12:20 door Spiff has left the building
Even een bump (eenmalig),
voor lezers die baat hebben bij het nieuws dat het installeren van KB3037639 het font corruption probleem oplost.
https://support2.microsoft.com/kb/3037639/en
Fix for text quality degradation after security update 3013455 (MS15-010) is installed
21-02-2015, 09:54 door Fwiffo
Nog een wat mij betreft laatste update vanaf de ms forum link die Spiff (12:51) hier eerder gaf:
Susan Bradley:
MS15-010 causing font/text issues… - Ask the Performance Team - Site Home - TechNet Blogs:
http://blogs.technet.com/b/askperf/archive/2015/02/20/ms15-010-causing-font-text-issues.aspx

"Additionally, this fix will be including in March’s patch cycle."
Ik wacht hierop voor als ik ooit mijn Vista systeem opnieuw wil installeren. Dan hoef ik alle extra patches niet te onthouden/bewaren :-D
21-02-2015, 12:26 door Spiff has left the building
Door Fwiffo, 09:54 uur:
Nog een wat mij betreft laatste update vanaf de ms forum link die Spiff (12:51) hier eerder gaf:
Susan Bradley:
MS15-010 causing font/text issues… - Ask the Performance Team - Site Home - TechNet Blogs:
http://blogs.technet.com/b/askperf/archive/2015/02/20/ms15-010-causing-font-text-issues.aspx

"Additionally, this fix will be including in March’s patch cycle."
Dank je, Fwiffo.
Mooi om te weten dat KB3037639 op 10 maart automatisch via Windows Update aangeboden zal worden.

Ik begrijp dat die update niet nu al als een tussentijdse update wordt gepushed, omdat het geen reparatie voor een openstaande kwetsbaarheid betreft, maar niettemin zou het in dit geval wellicht toch netjes geweest zijn wanneer KB3037639 al automatisch aangeboden zou worden, gezien de hinder die KB3013455 opleverde.

Ik heb op allerlei fora veel teveel post gezien van gebruikers die vanwege de hinder KB3013455 hebben verwijderd en die KB3013455 tevens hebben verborgen zodat die niet opnieuw wordt aangeboden. Ik durf er beslist niet op te vertrouwen dat die allemaal KB3013455 weer netjes opnieuw installeren. Ik vrees dat dat ertoe leidt dat een deel van die gebruikers met een ongepatchte kwetsbaarheid verder gaat. Maar goed, die categorie gebruiker, die soms ook patches van andere software niet installeert omdat het allemaal maar als onzin of hinderlijk wordt beschouwd, dat is wellicht hoe dan ook de categorie 'reddeloze' gebruiker.
22-02-2015, 10:30 door Fwiffo
Door Spiff: Ik heb op allerlei fora veel teveel post gezien van gebruikers die vanwege de hinder KB3013455 hebben verwijderd en die KB3013455 tevens hebben verborgen zodat die niet opnieuw wordt aangeboden. Ik durf er beslist niet op te vertrouwen dat die allemaal KB3013455 weer netjes opnieuw installeren. Ik vrees dat dat ertoe leidt dat een deel van die gebruikers met een ongepatchte kwetsbaarheid verder gaat. Maar goed, die categorie gebruiker, die soms ook patches van andere software niet installeert omdat het allemaal maar als onzin of hinderlijk wordt beschouwd, dat is wellicht hoe dan ook de categorie 'reddeloze' gebruiker.
Ik val dan ook wel een beetje in die 'reddeloze' categorie, zie mijn start post ;-D

Remote Code Execution vind ik doodeng, maar met een paar Elevation of Privilege problemen op een niet heel veel meer gebruikt platform kan ik wel leven. Ik doe ook nog de 'support' op een MacOS X Lion computer van een goede kennis. Dat wordt ook met elke nieuwe patch van Apple riskanter maar ik schat in dat het nog wel verantwoord is nu (met Firefox ipv Safari).
22-02-2015, 10:50 door Spiff has left the building
Door Fwiffo, 10:30 uur:
Ik val dan ook wel een beetje in die 'reddeloze' categorie, zie mijn start post ;-D
Haha :-)
Nee, ik neem aan dat jij goed bewust bent van wat je doet en rationele afwegingen maakt betreffend wat nodig is om de door jou beheerde systemen verantwoord te gebruiken. Dit volledig in tegenstelling tot de groep gebruikers die ik aanduidde als de 'reddeloze' gebruiker.
10-03-2015, 21:08 door Fwiffo
Ik wilde met deze bump nog even laten weten dat patchdinsdag voor mij het font probleem opgelost heeft.

De enige niet security update was (dus dat moet hem zijn):
Update for Windows Vista (KB3008627)

Installation date: ?10-?3-?2015 19:30

Installation status: Successful

Update type: Recommended

Install this update to resolve issues in Windows. For a complete listing of the issues that are included in this update, see the associated Microsoft Knowledge Base article for more information. After you install this item, you may have to restart your computer.

More information:
http://support.microsoft.com/kb/3008627

Help and Support:
http://support.microsoft.com
Maar die is helemaal niet beschikbaar voor Vista? KB3037639 heb ik bij het updaten niet gezien maar het probleem is dus wel opgelost gelukkig (in Opera/Notepad onder andere).
10-03-2015, 21:37 door Fwiffo
Update van 21:08: http://support.microsoft.com/kb/3034344 dit is em. Iets te ongeduldig geweest bij het wachten op het beschikbaar komen van de kb-pagina's van Microsoft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.