Archief
- De topics van lang geleden
ALERT! Service Pack herintroduceert oud probleem in Windows 2000
WAARSCHUWINGSDIENST BEVEILIGINGSADVIES WD-2003-211
Service Pack herintroduceert oud probleem in Windows 2000
Programma: Microsoft Internet Explorer 6 Service Pack 1
Versie: -
Besturingssysteem: Windows 2000 met Service Pack 4
Samenvatting
In september 2002 bracht Microsoft een update uit omdat Windows elektronische handtekeningen niet goed verifieerde. Nu is gebleken dat door het installeren van Service Pack 1 voor Internet Explorer 6 ná het installeren van Service Pack 4 voor Windows 2000, dit probleem opnieuw wordt geïntroduceerd.
Met andere woorden:
Als u een computer hebt met Windows 2000 inclusief Service Pack 4 (dit kunt u verifiëren door met de rechter muisknop te klikken op "Deze computer" en dan de optie "Eigenschappen" te kiezen);
U heeft daarna Service Pack 1 voor Internet Explorer 6 geïnstalleerd (ga dit na door in Internet Explorer in de menubalk onder "Help" de optie "Over Internet Explorer" te kiezen -- in het venster dat verschijnt kunt u bij 'Updates' zien of 'SP1' voorkomt);
Mocht u Service Pack 1 voor Internet Explorer 6 niet hebben geïnstalleerd, doe dat dan alsnog, aangezien hiermee meerdere veiligheidsproblemen worden opgelost;
Als u Windows 2000 Service Pack 4 heeft, en Internet Explorer 6 Service Pack 1, download en installeer dan onderstaande update.
Mocht onduidelijk blijven welke Service Packs u heeft, download en installeer dan voor de zekerheid toch de hieronder vermelde update, of gebruik Windows Update.
Gevolgen
Een aanvaller kan certificaten maken op naam van anderen waarvan Windows niet merkt dat ze vals zijn.
Daardoor kunt u bijvoorbeeld ten onrechte denken dat een vervalste website van uw bank is, of van Microsoft, etc. etc., zodat u nietsvermoedend belangrijke gegevens afstaat of kwaadaardige software installeert.
Ook elektronische handtekeningen onder e-mails of andere documenten kunnen hierdoor ten onrechte worden goedgekeurd.
Oplossingen
Als u Internet Explorer Service Pack 1 heeft geïnstalleerd nadat u Service Pack 4 had geïnstalleerd, installeer dan opnieuw de update voor dit probleem. Deze is te downloaden van:
http://www.microsoft.com/windows2000/downloads/critical/q329115/
Links:
http://www.microsoft.com/technet/security/bulletin/MS02-050.asp
Technische details:
Certificaten van een Certificate Authority (CA) kunnen getekend zijn door andere CA's. Bij een certificaat kan ook opgeslagen zijn hoe lang de keten van handtekeningen mag zijn, tot die van een "algemeen" erkende CA. Door een programmeerfout in de CryptoAPI van Windows wordt niet gecontroleerd of deze lengte overschreden wordt. Hierdoor kan een certificaat-eigenaar met een eind-certificaat zich voordoen als een CA, en daaronder valse certificaten uitgeven.
Service Pack herintroduceert oud probleem in Windows 2000
Programma: Microsoft Internet Explorer 6 Service Pack 1
Versie: -
Besturingssysteem: Windows 2000 met Service Pack 4
Samenvatting
In september 2002 bracht Microsoft een update uit omdat Windows elektronische handtekeningen niet goed verifieerde. Nu is gebleken dat door het installeren van Service Pack 1 voor Internet Explorer 6 ná het installeren van Service Pack 4 voor Windows 2000, dit probleem opnieuw wordt geïntroduceerd.
Met andere woorden:
Als u een computer hebt met Windows 2000 inclusief Service Pack 4 (dit kunt u verifiëren door met de rechter muisknop te klikken op "Deze computer" en dan de optie "Eigenschappen" te kiezen);
U heeft daarna Service Pack 1 voor Internet Explorer 6 geïnstalleerd (ga dit na door in Internet Explorer in de menubalk onder "Help" de optie "Over Internet Explorer" te kiezen -- in het venster dat verschijnt kunt u bij 'Updates' zien of 'SP1' voorkomt);
Mocht u Service Pack 1 voor Internet Explorer 6 niet hebben geïnstalleerd, doe dat dan alsnog, aangezien hiermee meerdere veiligheidsproblemen worden opgelost;
Als u Windows 2000 Service Pack 4 heeft, en Internet Explorer 6 Service Pack 1, download en installeer dan onderstaande update.
Mocht onduidelijk blijven welke Service Packs u heeft, download en installeer dan voor de zekerheid toch de hieronder vermelde update, of gebruik Windows Update.
Gevolgen
Een aanvaller kan certificaten maken op naam van anderen waarvan Windows niet merkt dat ze vals zijn.
Daardoor kunt u bijvoorbeeld ten onrechte denken dat een vervalste website van uw bank is, of van Microsoft, etc. etc., zodat u nietsvermoedend belangrijke gegevens afstaat of kwaadaardige software installeert.
Ook elektronische handtekeningen onder e-mails of andere documenten kunnen hierdoor ten onrechte worden goedgekeurd.
Oplossingen
Als u Internet Explorer Service Pack 1 heeft geïnstalleerd nadat u Service Pack 4 had geïnstalleerd, installeer dan opnieuw de update voor dit probleem. Deze is te downloaden van:
http://www.microsoft.com/windows2000/downloads/critical/q329115/
Links:
http://www.microsoft.com/technet/security/bulletin/MS02-050.asp
Technische details:
Certificaten van een Certificate Authority (CA) kunnen getekend zijn door andere CA's. Bij een certificaat kan ook opgeslagen zijn hoe lang de keten van handtekeningen mag zijn, tot die van een "algemeen" erkende CA. Door een programmeerfout in de CryptoAPI van Windows wordt niet gecontroleerd of deze lengte overschreden wordt. Hierdoor kan een certificaat-eigenaar met een eind-certificaat zich voordoen als een CA, en daaronder valse certificaten uitgeven.
Reacties (2)
Hoi SOKO-395,
Dank voor de waarschuwing!
Zelf wil ik in zo'n geval altijd eerst weten OF er een reden is iets te downloaden en te
installeren, want zoals blijkt kun je met updaten oude beerputten weer openen.
Op de volgende page:
http://support.microsoft.com/?kbid=329115
(onderaan: Last Reviewed: 11/11/2003 (12.0))
staat op dit moment:
Windows 2000 SP4
[font=courier]
Date........Time..Version.......Size...File name
---------------------------------------------------
14-Jul-2003 20:18 5.0.1558.6608 90,384 Cryptdlg.dll
[/font]
Die tijd is een USA tijdzone, dus die wijkt een geheel aantal uren af.
Als je inderdaad die file hebt, en de info van Microsoft is juist, dan is je PC waarschijnlijk
niet vulnerable, en hoef je niets te doen. Maar gezien het aantal fouten dat Microsoft
de laatste tijd heeft gemaakt, geef ik hier natuurlijk geen enkele garantie op.
Erik.
Dank voor de waarschuwing!
Zelf wil ik in zo'n geval altijd eerst weten OF er een reden is iets te downloaden en te
installeren, want zoals blijkt kun je met updaten oude beerputten weer openen.
Op de volgende page:
http://support.microsoft.com/?kbid=329115
(onderaan: Last Reviewed: 11/11/2003 (12.0))
staat op dit moment:
Windows 2000 SP4
[font=courier]
Date........Time..Version.......Size...File name
---------------------------------------------------
14-Jul-2003 20:18 5.0.1558.6608 90,384 Cryptdlg.dll
[/font]
Die tijd is een USA tijdzone, dus die wijkt een geheel aantal uren af.
Als je inderdaad die file hebt, en de info van Microsoft is juist, dan is je PC waarschijnlijk
niet vulnerable, en hoef je niets te doen. Maar gezien het aantal fouten dat Microsoft
de laatste tijd heeft gemaakt, geef ik hier natuurlijk geen enkele garantie op.
Erik.
15-11-2003, 08:29 door
SOKO-395
Ik ben het met je eens dat voorzichtigheid in deze wel een voorwaarde is voor een goed patch beleid. Ik vond de waarschuwing dermate ernstig, dat ik het noodzakelijk vond dit onmiddellijk op het de webpagina van Security.nl te zetten. Je weet maar nooit. Uiteindelijk is dit niet de eerste keer dat patches elkaar bijten.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
