image

Microsoft patcht recordaantal van 129 beveiligingslekken

dinsdag 9 juni 2020, 20:00 door Redactie, 20 reacties

Microsoft heeft tijdens de patchdinsdag van juni een recordaantal beveiligingslekken gepatcht. Niet eerder kwam het techbedrijf op één dag met updates voor zoveel kwetsbaarheden. Het gaat in totaal om 129 lekken. Het vorige "record" dateert van afgelopen maart, toen er patches voor 115 kwetsbaarheden verschenen. Het is tevens de vierde maand op rij dat Microsoft met updates voor meer dan 110 kwetsbaarheden komt. Iets dat eerder ook niet is voorgekomen.

Ondanks het grote aantal verholpen kwetsbaarheden deze maand zijn er slechts elf als kritiek bestempeld. Het gaat onder andere om een beveiligingslek dat zich voordat bij het verwerken van LNK-bestanden. LNK is de extensie die Windows voor snelkoppelingen gebruikt. Het is al het derde LNK-lek dit jaar. Via de kwetsbaarheid kan een aanvaller willekeurige code op het systeem uitvoeren met rechten van de ingelogde gebruiker.

Alleen het openen van een usb-stick waarop een kwaadaardig LNK-bestand staat is voldoende om misbruik van de kwetsbaarheid te maken. Het is niet nodig dat de gebruiker het LNK-bestand zelf opent. De beruchte Stuxnetworm maakte misbruik van een dergelijke kwetsbaarheid om zich te verspreiden.

Een beveiligingslek in Microsoft Outlook maakt het mogelijk voor aanvallers om automatisch afbeeldingen te laden, waardoor het mogelijk is om het ip-adres van de gebruiker te achterhalen. In theorie zou het mogelijk zijn om deze kwetsbaarheid met een ander beveiligingslek te combineren en zo willekeurige code uit te voeren, zo waarschuwt het Zero Day Initiative. Verder zijn er verschillende kritieke kwetsbaarheden in Internet Explorer en Edge gepatcht.

De impact van de overige kwetsbaarheden is door Microsoft lager ingeschakeld. Opvallend is het grote aantal beveiligingslekken waardoor een aanvaller die al toegang tot een systeem heeft zijn rechten kan verhogen. Het gaat in totaal om zeventig kwetsbaarheden die dit mogelijk maken. Negentien hiervan bevinden zich in de Windowskernel en kerneldrivers. De beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd.

Reacties (20)
09-06-2020, 20:39 door Anoniem
Ik kan ze niet handmatig installeren, want 2020-01 Update for Windows 10 Version 1903 for x64-based Systems (KB4497165) zit in de weg. Als ik op Download druk, komt die ook mee. Soms verdwijnt die. Soms komt die ook weer terug.

KB4497165 is voor Intel processors en ik heb AMD. Men zegt op het internet dat het geen kwaad kan, maar ik neem liever geen risico's met updates van Microsoft.
09-06-2020, 21:32 door Anoniem
Ik heb de indruk dat ze met elke patchronde juist meer fouten aanbrengen.
09-06-2020, 21:52 door Anoniem
Door Anoniem: Ik kan ze niet handmatig installeren, want 2020-01 Update for Windows 10 Version 1903 for x64-based Systems (KB4497165) zit in de weg. Als ik op Download druk, komt die ook mee. Soms verdwijnt die. Soms komt die ook weer terug.

KB4497165 is voor Intel processors en ik heb AMD. Men zegt op het internet dat het geen kwaad kan, maar ik neem liever geen risico's met updates van Microsoft.

Dat doe je toch al. :)

Maar 129 security patches en al meer dan 4 maanden meer dan 110 security patches per maand.

Da's niet weinig jonge.
09-06-2020, 23:55 door souplost
slechts 11 als kritiek. security.nl begint het normaal te vinden dat windows software continu kritiek lek is. Onverantwoord om professioneel te gebruiken. eigenlijk kan je dit de consument ook niet aandoen. elke patchronde is bijna een compleet nieuw systeem installeren. ben benieuwd hoeveel settings er weer zijn veranderd omdat ms het beter weet dan de gebruiker.
10-06-2020, 07:45 door DLans
Door souplost: slechts 11 als kritiek. security.nl begint het normaal te vinden dat windows software continu kritiek lek is. Onverantwoord om professioneel te gebruiken. eigenlijk kan je dit de consument ook niet aandoen. elke patchronde is bijna een compleet nieuw systeem installeren. ben benieuwd hoeveel settings er weer zijn veranderd omdat ms het beter weet dan de gebruiker.

Laten we wel eerlijk zijn, het zijn niet alleen maar lekken in het product "Windows". De anti-Windows en pro-Linux mentaliteit blijft bijzonder. Beide hebben een plek in de wereld, deal with it.
10-06-2020, 08:06 door Bitje-scheef - Bijgewerkt: 10-06-2020, 08:07
ben benieuwd hoeveel settings er weer zijn veranderd omdat ms het beter weet dan de gebruiker.

Je weet er gaat 1 groot konijn eruit, en 2 kleine er weer in.

Laten we wel eerlijk zijn, het zijn niet alleen maar lekken in het product "Windows". De anti-Windows en pro-Linux mentaliteit blijft bijzonder. Beide hebben een plek in de wereld, deal with it.

Zeker weten, beide hebben een plek. Met eigen voor- en nadelen. Zitten zeker ook wat Office dingetjes bij.
10-06-2020, 09:22 door Anoniem
Door Anoniem: Ik heb de indruk dat ze met elke patchronde juist meer fouten aanbrengen.
met de tool show or hide updates van Microsoft die te vinden is met google kun je die microcode update voorgoed verbergen.
10-06-2020, 10:45 door The FOSS - Bijgewerkt: 10-06-2020, 11:21
Door Anoniem:
Door Anoniem: Ik heb de indruk dat ze met elke patchronde juist meer fouten aanbrengen.
met de tool show or hide updates van Microsoft die te vinden is met google kun je die microcode update voorgoed verbergen.

Let wel: hoe meer lekken er worden gevonden en gepatcht hoe beter. Lovenswaardig zelfs. Maar een patch op het patchmechanisme (de brakke updatefunctionaliteit van Microsoft Windows die blijkbaar niet eens weet te onderscheiden op CPU) dat is wel erg knullig te noemen.
10-06-2020, 11:21 door Anoniem
en mensen zouden patches vlugger installeren als twee dingen anders waren:

- een patch komt niet met 'nieuwe features' die telemetry etc. doen.
- een patch kan zonder veelvuldig en lang reboten of andere issues vrij veilig doorgevoerd worden.

en zeg niet dat het niet kan want dan geef ik plenty voorbeelden waar dat wel lukt.
10-06-2020, 12:13 door souplost - Bijgewerkt: 10-06-2020, 12:14
Door Anoniem: en mensen zouden patches vlugger installeren als twee dingen anders waren:

- een patch komt niet met 'nieuwe features' die telemetry etc. doen.
- een patch kan zonder veelvuldig en lang reboten of andere issues vrij veilig doorgevoerd worden.

en zeg niet dat het niet kan want dan geef ik plenty voorbeelden waar dat wel lukt.
Ik kan ook plenty voorbeelden noemen van sigaren rokende oude opa's maar er gaan er toch veel meer dood door roken.
Dat het updatemechanisme nog steeds van belabberde kwaliteit is kan allen maar komen omdat er waarschijnlijk te veel spaghetti code bij is betrokken. Daarnaast kan het fundamenteel eigenlijk niet worden opgelost omdat er te veel leveranciers bij zijn betrokken die geen inzicht hebben in de windows code en hun bijdragen dus geen deel kunnen uitmaken van het ecosysteem wat vroegtijdig getest kan worden. Het heet niet voor niets WINDOWS update met als resultaat dat andere software wordt geleverd met een eigen ingebakken updatesysteem heeft. Chrome installeert er zelfs een eigen systeemservice voor.
Dit kan alleen fatsoenlijk opgelost worden door windows open source te maken.
10-06-2020, 12:22 door karma4 - Bijgewerkt: 10-06-2020, 12:23
Door souplost: ......
Dit kan alleen fatsoenlijk opgelost worden door windows open source te maken.
Het argument olen source beeft nooit gewerkt en zal nooit werken voor goede informatieverwerking.
De voorbeelden van die faal zijn legio.
Ergerlijker het argument "want open source" wordt gebruikt om maar niets aan veiligheid by design te doen.
10-06-2020, 12:39 door Anoniem
Door Anoniem: en mensen zouden patches vlugger installeren als twee dingen anders waren:

- een patch komt niet met 'nieuwe features' die telemetry etc. doen.
- een patch kan zonder veelvuldig en lang reboten of andere issues vrij veilig doorgevoerd worden.

en zeg niet dat het niet kan want dan geef ik plenty voorbeelden waar dat wel lukt.
Idd nogal tijdrovend: Comodo HIPS modus off, Msconfig standaard tweaken->rebooten, updates binnenhalen->rebooten, systeem opschonen met Schijfopruiming en Ccleaner, W10Privacytool downloaden+uitvoeren (admin)->rebooten, controleren, W10Privacytool verwijderen, Msconfig terugtweaken->rebooten, Comodo HIPS modus ON.
Gelukkig niet wekelijks...
10-06-2020, 12:47 door The FOSS - Bijgewerkt: 10-06-2020, 12:51
Door souplost:
Door Anoniem: en mensen zouden patches vlugger installeren als twee dingen anders waren:

- een patch komt niet met 'nieuwe features' die telemetry etc. doen.
- een patch kan zonder veelvuldig en lang reboten of andere issues vrij veilig doorgevoerd worden.

en zeg niet dat het niet kan want dan geef ik plenty voorbeelden waar dat wel lukt.
Ik kan ook plenty voorbeelden noemen van sigaren rokende oude opa's maar er gaan er toch veel meer dood door roken.
Dat het updatemechanisme nog steeds van belabberde kwaliteit is kan allen maar komen omdat er waarschijnlijk te veel spaghetti code bij is betrokken. Daarnaast kan het fundamenteel eigenlijk niet worden opgelost omdat er te veel leveranciers bij zijn betrokken die geen inzicht hebben in de windows code en hun bijdragen dus geen deel kunnen uitmaken van het ecosysteem wat vroegtijdig getest kan worden. Het heet niet voor niets WINDOWS update met als resultaat dat andere software wordt geleverd met een eigen ingebakken updatesysteem heeft. Chrome installeert er zelfs een eigen systeemservice voor.
Dit kan alleen fatsoenlijk opgelost worden door windows open source te maken.

En de brakke Windows architectuur, waarin je een DLL-bestand niet kan updaten als het in gebruik is. Dus is daarvoor altijd een reboot nodig. Vandaar al die reboots bij updates. Om dat te verhelpen zou je Windows compleet moeten herzien en dat zie ik niet gaan gebeuren. Ook al maken ze Windows open source - wat vanzelfsprekend een uitstekend idee zou zijn - ik ga daar desondanks geen tijd in steken.
10-06-2020, 13:04 door Anoniem
Door The FOSS:
Door souplost:
Door Anoniem: en mensen zouden patches vlugger installeren als twee dingen anders waren:

- een patch komt niet met 'nieuwe features' die telemetry etc. doen.
- een patch kan zonder veelvuldig en lang reboten of andere issues vrij veilig doorgevoerd worden.

en zeg niet dat het niet kan want dan geef ik plenty voorbeelden waar dat wel lukt.
Ik kan ook plenty voorbeelden noemen van sigaren rokende oude opa's maar er gaan er toch veel meer dood door roken.
Dat het updatemechanisme nog steeds van belabberde kwaliteit is kan allen maar komen omdat er waarschijnlijk te veel spaghetti code bij is betrokken. Daarnaast kan het fundamenteel eigenlijk niet worden opgelost omdat er te veel leveranciers bij zijn betrokken die geen inzicht hebben in de windows code en hun bijdragen dus geen deel kunnen uitmaken van het ecosysteem wat vroegtijdig getest kan worden. Het heet niet voor niets WINDOWS update met als resultaat dat andere software wordt geleverd met een eigen ingebakken updatesysteem heeft. Chrome installeert er zelfs een eigen systeemservice voor.
Dit kan alleen fatsoenlijk opgelost worden door windows open source te maken.

En de brakke Windows architectuur, waarin je een DLL-bestand niet kan updaten als het in gebruik is. Dus is daarvoor altijd een reboot nodig. Vandaar al die reboots bij updates. Om dat te verhelpen zou je Windows compleet moeten herzien en dat zie ik niet gaan gebeuren. Ook al maken ze Windows open source - wat vanzelfsprekend een uitstekend idee zou zijn - ik ga daar desondanks geen tijd in steken.
Hou toch eens op met die onzin man. Ik gebruik sinds kort Linux, Ubuntu wel te verstaan en ik heb inmiddels al vaker moeten rebooten dan dat ik Windows reboot. Een keer in de maand komen er updates tijdens patch tuesday en hoef je enkel na het installeren van de updates te rebooten.
10-06-2020, 13:58 door souplost
Door Anoniem:
Door The FOSS:
Door souplost:
Door Anoniem: en mensen zouden patches vlugger installeren als twee dingen anders waren:

- een patch komt niet met 'nieuwe features' die telemetry etc. doen.
- een patch kan zonder veelvuldig en lang reboten of andere issues vrij veilig doorgevoerd worden.

en zeg niet dat het niet kan want dan geef ik plenty voorbeelden waar dat wel lukt.
Ik kan ook plenty voorbeelden noemen van sigaren rokende oude opa's maar er gaan er toch veel meer dood door roken.
Dat het updatemechanisme nog steeds van belabberde kwaliteit is kan allen maar komen omdat er waarschijnlijk te veel spaghetti code bij is betrokken. Daarnaast kan het fundamenteel eigenlijk niet worden opgelost omdat er te veel leveranciers bij zijn betrokken die geen inzicht hebben in de windows code en hun bijdragen dus geen deel kunnen uitmaken van het ecosysteem wat vroegtijdig getest kan worden. Het heet niet voor niets WINDOWS update met als resultaat dat andere software wordt geleverd met een eigen ingebakken updatesysteem heeft. Chrome installeert er zelfs een eigen systeemservice voor.
Dit kan alleen fatsoenlijk opgelost worden door windows open source te maken.

En de brakke Windows architectuur, waarin je een DLL-bestand niet kan updaten als het in gebruik is. Dus is daarvoor altijd een reboot nodig. Vandaar al die reboots bij updates. Om dat te verhelpen zou je Windows compleet moeten herzien en dat zie ik niet gaan gebeuren. Ook al maken ze Windows open source - wat vanzelfsprekend een uitstekend idee zou zijn - ik ga daar desondanks geen tijd in steken.
Hou toch eens op met die onzin man. Ik gebruik sinds kort Linux, Ubuntu wel te verstaan en ik heb inmiddels al vaker moeten rebooten dan dat ik Windows reboot. Een keer in de maand komen er updates tijdens patch tuesday en hoef je enkel na het installeren van de updates te rebooten.
Noem het maar onzin dat rebooten. Je loopt zelfs de kans dta je meerdere keren moet rebooten met windows update.
Of rebooten echt nodig is kan je checken (rpm distro) met: needs-restarting -r
Onder ubuntu kan ik mij herinneren: /var/run/reboot-required of een tool downloaden: apt-get install needrestart
Als je helemaal niet wil rebooten kan je altijd nog livepatch installeren: https://ubuntu.com/livepatch

Ik zou windows update niet gaan vergelijken met een van de Linux packetmanagers. Dat wordt anders een sneu verhaal.
10-06-2020, 14:02 door Anoniem
Door karma4:
Door souplost: ......
Dit kan alleen fatsoenlijk opgelost worden door windows open source te maken.
Het argument olen source beeft nooit gewerkt en zal nooit werken voor goede informatieverwerking.
De voorbeelden van die faal zijn legio.
Ergerlijker het argument "want open source" wordt gebruikt om maar niets aan veiligheid by design te doen.
Aangezien MS Windows niet bepaald in één dag is opgebouwd, vrijwel alle securitybedrijven/-units een focus op dit produkt hebben en Microsoft nog een behoorlijke inhaalslag te maken heeft met de combinatie security en performance tov hun concurrenten, is in dit geval het proberen waard.
Ik ben het met je eens dat de term 'open source' wordt misbruikt voor marketingdoeleinden, al of niet in combinatie met malafide partijen. De irritatiefactor in deze is dat softwarebedrijven met een tè oppertunistische bedrijfsvoering hun 'open source' om één of andere reden, -gebrek aan kennis en financiële middelen(?)- erg makkelijk uit handen geven aan verkeerde partijen en/of personen.
Die kans acht ik in het geval van Microsoft, of een andere partij met opgebouwde reputatie, een stuk kleiner. Gezien Microsoft's bug fixes de laatste maanden valt er daar een nog hoop te verbeteren qua veiligheid. Ze kunnen het in ieder geval proberen met niet-volledig open source bij hun 'insiders'.
Kijk, wij als tevreden Windowsgebruikers hebben onze workarounds, tweaks en hebben de bloats eruit gesloopt, maar we kennen allemaal de leken en onbewust ongepatched-ten... Dus in dit geval lijkt (gedeeltelijk) open source onvermijdbaar te worden, tenzij Ms zich op korte termijn gaat focussen op security ipv het blijven uitrollen van grote aantallen ongevraagde builds en aanpassingen.
10-06-2020, 14:21 door Bitje-scheef
Ik ga vragen of ze hier op security.nl een soort "canned response" functie kunnen invoeren.
Met een profieltje voor Karma4, Souplost en FOSS. Scheelt jullie een hoop tikwerk ;-)
10-06-2020, 15:09 door Anoniem
Door Anoniem:
Dat doe je toch al. :)

Maar 129 security patches en al meer dan 4 maanden meer dan 110 security patches per maand.

Da's niet weinig jonge.
En als we dit even per product gaan vergelijken? Ivp per leverancier?

Door Anoniem: en mensen zouden patches vlugger installeren als twee dingen anders waren:

- een patch komt niet met 'nieuwe features' die telemetry etc. doen.
- een patch kan zonder veelvuldig en lang reboten of andere issues vrij veilig doorgevoerd worden.

en zeg niet dat het niet kan want dan geef ik plenty voorbeelden waar dat wel lukt.
Je bedoelt de security updates only patches?
En de keren dat ik "lang" moet rebooten of die echt problemen geven, kan ik ook op mijn handen tellen.

Niet iedereen heeft trouwens ook last van alle mogelijke issues die hier iedere keer zo mooi gemeld worden. we hebben die genoende problemen toch echt maar heel weinig bij onze klanten of eigen infrastructuur.

Door souplost:
Dat het updatemechanisme nog steeds van belabberde kwaliteit is kan allen maar komen omdat er waarschijnlijk te veel spaghetti code bij is betrokken.
Daar hebben we onze italisaanse voedsel specialisten weer. Je zou predikant moeten worden. Iedere keer maar proberen zieltjes te winnen.

Daarnaast kan het fundamenteel eigenlijk niet worden opgelost omdat er te veel leveranciers bij zijn betrokken die geen inzicht hebben in de windows code en hun bijdragen dus geen deel kunnen uitmaken van het ecosysteem wat vroegtijdig getest kan worden.
Daar heeft Microsoft ook gewoon regelingen voor, zodat bedrijfen aanpassingen kunnen doorvoeren voordat Microsoft de updates geschikt maakt voor het public.

Het heet niet voor niets WINDOWS update met als resultaat dat andere software wordt geleverd met een eigen ingebakken updatesysteem heeft.
Toch bijzonder dat je tegenwoordig allemaal hardware drivers aangeboden krijgt. En je in bijvoorbeeld WSUS icm SCUP updates kunt toevoegen.

Chrome installeert er zelfs een eigen systeemservice voor.
Is deze toevallig ook heel goed te beheren door systeembeheerders? O wacht even.... Totaal niet. Afgezien aan/uit.

Maar er is gewoon een andere mogelijkheid... Office wordt bijvoorbeeld ook buiten de Windows Updates aangeboden, clicktorun.
Windows Store?

Dit kan alleen fatsoenlijk opgelost worden door windows open source te maken.
Complete onzin, zoals gewoonlijk van onze souplost

Door The FOSS:
En de brakke Windows architectuur, waarin je een DLL-bestand niet kan updaten als het in gebruik is. Dus is daarvoor altijd een reboot nodig. Vandaar al die reboots bij updates. Om dat te verhelpen zou je Windows compleet moeten herzien en dat zie ik niet gaan gebeuren. Ook al maken ze Windows open source - wat vanzelfsprekend een uitstekend idee zou zijn - ik ga daar desondanks geen tijd in steken.
We hebben hier toch echt ook wat Linux issues gehad, toen openssl (gatenkaas) geupdate werdt. Applicaties namen dat niet over en hadden toch echt een reboot nodig.
Misschien zou jij ook geen tijd in Windows posts moeten steken? Zou een hoop onzin posts schelen.

Door souplost:
Noem het maar onzin dat rebooten. Je loopt zelfs de kans dta je meerdere keren moet rebooten met windows update.
Of rebooten echt nodig is kan je checken (rpm distro) met: needs-restarting -r
Onder ubuntu kan ik mij herinneren: /var/run/reboot-required of een tool downloaden: apt-get install needrestart
Als je helemaal niet wil rebooten kan je altijd nog livepatch installeren: https://ubuntu.com/livepatch

Ik zou windows update niet gaan vergelijken met een van de Linux packetmanagers. Dat wordt anders een sneu verhaal.
Laatste keerdat ik meerdere keren heb moeten rebooten, kan ik niet eens meer herinneren.
Laatste keer dat ik op een Linux machine inlogde, en dat er geen (security) updates beschikbaar waren, kan ik mij trouwens niet meer herinneren.
Iedere keer als ik inlog, zijn er wel updates beschikbaar. Niet te beheren, als je niet dagelijks inlogt op al je servers.
10-06-2020, 15:23 door Anoniem
Door souplost: Dit kan alleen fatsoenlijk opgelost worden door windows open source te maken.
...zucht...
Door karma4: Het argument olen source beeft nooit gewerkt en zal nooit werken voor goede informatieverwerking.
...zucht...

Zouden jullie gewoon eens met die onzin kunnen ophouden? Valt het jullie niet op dat je niemands mening ook maar een millimeter doet opschuiven? Jullie blijven gewoon telkens opnieuw dezelfde mantra's opratelen, zonder enig ander effect dan dat je een hoop ruis en ergernis veroorzaakt.

Dit lijkt meer op stinkende geurvlaggen plaatsen om jullie territorium op deze website te markeren dan op een discussie over de inhoud. Ik zou er niet trots op zijn.
10-06-2020, 15:40 door souplost
Door Bitje-scheef: Ik ga vragen of ze hier op security.nl een soort "canned response" functie kunnen invoeren.
Met een profieltje voor Karma4, Souplost en FOSS. Scheelt jullie een hoop tikwerk ;-)
Jij hoeft niet voor een ander na te denken. Reageer gewoon op de inhoud als outsider.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.