image

Eerste beveiligingsupdates voor Windows 10 al uitgerold

donderdag 30 juli 2015, 11:27 door Redactie, 16 reacties
Laatst bijgewerkt: 30-07-2015, 12:21

Microsoft heeft gisteren op de lanceringsdag van Windows 10 ook de eerste beveiligingsupdates voor het nieuwe besturingssysteem al uitgerold. Het gaat om updates voor zowel Windows zelf als de embedded Adobe Flash Player in Internet Explorer 11. Net als Google Chrome beschikken IE10 op Windows 8 en IE11 op Windows 8.1 en Windows 10 over een embedded Flash Player.

Gebruikers van de browsers hoeven hierdoor geen aparte plug-in te installeren om van Flash Player gebruik te maken. In het geval van beveiligingsupdates is het echter Microsoft die verantwoordelijk is voor het uitrollen van de updates. Op 14 juli publiceerde Adobe een noodpatch voor twee beveiligingslekken die door het Italiaanse Hacking Team waren ontdekt. Via de kwetsbaarheden kan een aanvaller kwetsbare systemen in het ergste geval volledig overnemen. Eén van de lekken wordt al actief door cybercriminelen gebruikt om computers aan te vallen.

Microsoft had klaarblijkelijk geen tijd om de Flash Player-update in de uiteindelijke versie van Windows 10 op te nemen. Daarom heeft de softwaregigant de update gisteren tijdens de lancering van Windows 10 uitgebracht. De update wordt in principe automatisch op Windows 10-systemen geïnstalleerd.

Windows

Naast de update voor Adobe Flash Player zijn er ook updates voor Windows 10 zelf uitgebracht. Het gaat om MS15-074 en MS15-078. De eerste update betreft een kwetsbaarheid in de Windows Installer Service waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen. MS15-078 verhelpt een kritiek lek in de Microsoft Font Driver. Door een gebruiker een kwaadaardig document met embedded OpenType fonts te laten openen of bij het bezoeken van een kwaadaardige websites met deze fonts kan een aanvaller de computer volledig overnemen.

In eerste instantie werd gemeld dat Microsoft alleen een update voor Flash Player had uitgebracht, maar er zijn ook updates voor Windows zelf verschenen. Hierop is het artikel aangepast.

Reacties (16)
30-07-2015, 11:34 door Anoniem
Meteen updates is niet zo vreemd want tussen de definitieve build van zo'n product en de daadwerkelijke uitrol zit wel wat tijd.

Maar... Zit Flash Player standaard in Windows 10? Dat is hopelijk uit te zetten bij de installatie?
30-07-2015, 11:39 door Anoniem
Dat is wel een nadeeltje: omdat Flashplayer nu embedded is, komen de updates later en blijft je browser langer kwetsbaar voor nieuwe Flashplayer lekken.
30-07-2015, 11:50 door golem - Bijgewerkt: 30-07-2015, 11:53

Maar... Zit Flash Player standaard in Windows 10? Dat is hopelijk uit te zetten bij de installatie?
Als je goed leest, het zit in IE10 en IE 11.
Niet alleen windows 10, maar ook windows 8.
Uitzetten ? Gebruik Edge.
Maar het is uit te zetten, even googlen op disable flash IE 10 IE 11... of zoiets.
30-07-2015, 12:34 door Anoniem
Door golem:

Maar... Zit Flash Player standaard in Windows 10? Dat is hopelijk uit te zetten bij de installatie?
Als je goed leest, het zit in IE10 en IE 11.
Niet alleen windows 10, maar ook windows 8.
Uitzetten ? Gebruik Edge.
Maar het is uit te zetten, even googlen op disable flash IE 10 IE 11... of zoiets.

Ah, dus gewoon IE niet installeren of eraf gooien. Thanks
30-07-2015, 12:39 door Anoniem
Een OS met ingebouwde flash dat niet verwijderd kan worden.
Wat een goed idee!
30-07-2015, 14:31 door Anoniem
Flash zit ook in Edge. Kijk maar onder settings/ view advanced settings.....
30-07-2015, 14:49 door Anoniem
In Edge:

1: .... rechts boven in.

2: Instellingen

3: Geavanceerde instellingen weergeven

4: Adobe Flash Player gebruiken op UIT zetten.

OT: geen goed idee een systeem als Flash embed in je browser te bakken, ook al staat het uit er zal vast een omweg wezen om het stilletjes te activeren.
30-07-2015, 14:53 door Anoniem
Door Anoniem: Een OS met ingebouwde flash dat niet verwijderd kan worden.
Wat een goed idee!

Kom kom, wel even lezen: zowel in de Edge browser als in IE11 kan de ShockWave Flash add-in gewoon worden disabled.

En los daarvan: tot nu toe zijn de updates voor de built-in Flash gelijk met die voor de losse player gereleased.

Dus geen reden voor nodeloos sarcasme.
30-07-2015, 15:03 door Erik van Straten
Ik heb nog nul ervaring met W10, maar Flash grondig uitzetten in Internet Explorer op W7 (64 bit) werkt door Flash te killbitten door in beide volgende keys (dit zijn 2 regels die, door hun lengte, kunnen zijn omgeklapt op deze website):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}
een REG_DWORD te maken (als deze nog niet bestaat) met de volgende naam en hexadecimale waarde:
Compatibility Flags=0x00000400
(Decimaal is dat 1024).

Dit ervan uitgaande dat de CLSID (Class ID, een GUID = Globally Unique ID) van de Adobe Flash ActiveX plugin (.ocx) speciaal gemaakt voor Microsoft hetzelfde is als van de publiekelijk beschikbare ActiveX Flash plugins, namelijk {D27CDB6E-AE6D-11CF-96B8-444553540000}.

Het maakt dan niet meer uit of en waar zo'n ActiveX element op je PC staat, Internet Explorer zal het niet meer gebruiken.

Of je daarmee 100% safe bent betwijfel ik, want naast MSIE zijn er meer applicaties die ActiveX elementen kunnen inladen, en of deze de KillBits in het register raadplegen is de vraag.

Daarnaast heeft Adobe Reader een ingebouwde Flash parser, en evenals Flash plugins in andere webbrowsers wordt Flash content in deze applicaties zeker niet geblokkeerd door zo'n killbit.

Voor meer info over KillBits zie https://en.wikipedia.org/wiki/Killbit.
30-07-2015, 15:42 door Anoniem
Door Erik van Straten: Ik heb nog nul ervaring met W10, maar Flash grondig uitzetten in Internet Explorer op W7 (64 bit) werkt door Flash te killbitten ... censured ...

Ongetwijfeld goed bedoeld maar ik ga desondanks ver uit de buurt blijven van dit soort low-level geneuzel! Ik ben toch geen Linux gebruiker! (Daar verwacht je dit soort hacking dingen eerder).
30-07-2015, 17:27 door Anoniem
Door Anoniem:
Door Erik van Straten: Ik heb nog nul ervaring met W10, maar Flash grondig uitzetten in Internet Explorer op W7 (64 bit) werkt door Flash te killbitten ... censured ...

Ongetwijfeld goed bedoeld maar ik ga desondanks ver uit de buurt blijven van dit soort low-level geneuzel! Ik ben toch geen Linux gebruiker! (Daar verwacht je dit soort hacking dingen eerder).

Inderdaad, en is ook nergens voor nodig: Flash is gewoon in de UI uit te zetten, zowel in Edge als in IE.
30-07-2015, 19:01 door Anoniem
Door Anoniem:
Door Erik van Straten: Ik heb nog nul ervaring met W10, maar Flash grondig uitzetten in Internet Explorer op W7 (64 bit) werkt door Flash te killbitten ... censured ...

Ongetwijfeld goed bedoeld maar ik ga desondanks ver uit de buurt blijven van dit soort low-level geneuzel! Ik ben toch geen Linux gebruiker!

Volgens mij hebben we hier een gegadigde voor Mac OS X
Lekker & 'simpel' wat dat soort dingen betreft.
;)
30-07-2015, 20:29 door Anoniem
Ongetwijfeld goed bedoeld maar ik ga desondanks ver uit de buurt blijven van dit soort low-level geneuzel! Ik ben toch geen Linux gebruiker! (Daar verwacht je dit soort hacking dingen eerder).
Lekker verder blijven prutsen met je bakkie microsoft misere dan!
30-07-2015, 20:32 door golem - Bijgewerkt: 30-07-2015, 20:34
Misschien wordt het tijd voor een topic : Windows10, welke instellingen wijzigen na installatie.
Las net op tweakers.net dat bij home-versie je internet-verbinding wordt gebruikt om
updates door te zenden naar andere gebruikers. (staat standaard aan)
Windows Update Delivery Optimization heet het.
Zeker afgekeken van bittorrent. ;)

Als het product "gratis" is dan ...
30-07-2015, 21:47 door mcb - Bijgewerkt: 30-07-2015, 22:14
Door golem: Misschien wordt het tijd voor een topic : Windows10, welke instellingen wijzigen na installatie.
Las net op tweakers.net dat bij home-versie je internet-verbinding wordt gebruikt om
updates door te zenden naar andere gebruikers. (staat standaard aan)
Windows Update Delivery Optimization heet het.
Zeker afgekeken van bittorrent. ;)
In win10pro kan je de windows update p2p deels uitzetten.
D.w.z. "lokaal netwerk + internet" of "alleen lokaal netwerk".
Dat laatste vind ik niet spannend. Dat eerste wel. Kan interessant worden als je een datalimiet hebt.

[Edit 22:14] P2p kan ook helemaal worden uitgezet. [/edit]

Wat betreft de instellingen, ben een uur bezig geweest om een hele berg instellingen aan te passen in zowel Settings als GPO. Het zijn er een hoop. (en ik krijg bijna medelijden met diegenen die home hebben (want geen GPO))
31-07-2015, 10:59 door Erik van Straten
Door Anoniem:
Door Anoniem:
Door Erik van Straten: Ik heb nog nul ervaring met W10, maar Flash grondig uitzetten in Internet Explorer op W7 (64 bit) werkt door Flash te killbitten ... censured ...

Ongetwijfeld goed bedoeld maar ik ga desondanks ver uit de buurt blijven van dit soort low-level geneuzel! Ik ben toch geen Linux gebruiker! (Daar verwacht je dit soort hacking dingen eerder).

Inderdaad, en is ook nergens voor nodig: Flash is gewoon in de UI uit te zetten, zowel in Edge als in IE.
Dat zul je dan per gebruiker moeten doen. Met het risico dat een gebruiker een keer zijn instellingen "reset" omdat iets niet lijkt te werken, en dan vergeet Flash weer te blokkeren.

Thuisgebruikers zijn wat mij betreft van harte welkom op security.nl (ik leer ook veel van "gewone" gebruikers), maar dit is ook een site waar professionele gebruikers reageren (daarnaast, killbits zijn in het verleden massaal gebruikt om onveilige ActiveX objecten te blokkeren, daar is op zich niks engs aan. Als je een Windows PC goed wilt beveiligen moet je niet bang zijn om in het register te "hacken", zeker als je een "Home" versie hebt zonder support voor policies).

Organisaties kunnen dit killbit via GPO uitrollen als er weer eens sprake is van een 0day, en "zodra de kust weer veilig is" het killbit weer weghalen. Nb. ik heb niets hiervan getest op W10, ik weet dus niet of en wat daar werkt!

Met dat in het achterhoofd, voor ondersteuning van killbits buiten MSIE (en mogelijk Edge), volgens http://blogs.technet.com/b/srd/archive/2008/02/06/the-kill_2d00_bit-faq_3a00_-part-1-of-3.aspx:
What applications respect the Kill-Bit?
The Kill-Bit is respected in Internet Explorer (all zones) and also in Microsoft Office scenarios where objects are embedded within documents. The Kill-Bit should also be effective by default in any other application or platform that hosts the IE browser’s rendering engine (MSHTML).
Zie de zojuist gepubliceerde https://www.security.nl/posting/437736/Flash+Player-gebruikers+ook+buiten+browser+aangevallen.

Echter, eveneens uit http://blogs.technet.com/b/srd/archive/2008/02/06/the-kill_2d00_bit-faq_3a00_-part-1-of-3.aspx:
A notable exception are HTAs – with an HTA it is already possible to load unsafe controls and run arbitrary code. HTAs are an unsafe file type.

(3/11/2009 Update: HTAs do currently respect the Kill-Bit for objects instantiated via the OBJECT tag. The Kill-Bit is not respected when HTAs instantiate objects in script. Thanks to Nicolas Noakes for reporting this. The Kill-Bit behavior within HTAs may change in the future to become more consistent.)

A control could conceivably have a flaw so severe that a Kill-Bit does not effectively block all attack vectors. For example, imagine a control that is found to implement a web server which suffers from a buffer overrun in the code responsible for parsing web requests. In this case, a code fix must be issued – simply implementing a Kill-Bit will not provide a comprehensive solution because any application which uses the control is exposed to the vulnerability.

If an application or platform hosts controls and allows those controls to effectively be driven by untrusted data, that environment should respect Safe for Scripting, Safe for Initialization and Kill-Bit logic. Otherwise, the environment should provide some other equivalently or more restrictive policy, such as an allow-list of known-good scriptable objects.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.