image

Microsoft patch laat kritiek lek in Windows open

dinsdag 25 januari 2005, 12:55 door Redactie, 11 reacties

Begin januari kwam Microsoft met de eerste kritieke patch van dit jaar. Security Bulletin MS05-001 moest een lek in HTML Help ActiveX control verhelpen waardoor een aanvaller volledige controle over een kwetsbaar systeem kon krijgen. De Roemeense anti-virusproducent GeCad, welke in 2003 door Microsoft werd overgenomen, heeft ontdekt dat de patch het lek niet helemaal dicht. Een aanvalsvector waardoor het HTML Help ActiveX control lek misbruikt kan worden, is namelijk nog steeds aanwezig. Een woordvoerder van Microsoft liet weten dat men bezig is om het lek te dichten. "Microsoft heeft een update uitgegeven om het lek in HTML help control in Windows te verhelpen en die update beschermt gebruikers ook tegen het gemelde lek." De softwaregigant was het er niet mee eens dat het een mogelijke exploit in haar patch vergeten was. Het zou namelijk om een nieuw lek in HTML Help control gaan. Microsoft kon nog niet zeggen of de update in de februari cyclus verwerkt zal zitten.

Update: tekst aangepast

Reacties (11)
25-01-2005, 13:15 door Anoniem
Firefox downloads: 2.000.001 :-D
25-01-2005, 13:43 door Zarco.nl
De Roemeense anti-virusproducent GeCad, welke in 2003
door Microsoft werd overgenomen, heeft ontdekt dat de patch
het lek niet helemaal dicht.
Hoe ironisch :P
25-01-2005, 14:19 door Anoniem
@Anoniem:

Firefox downloads: 20.000.001 :-D

>20M

;-)
25-01-2005, 14:31 door Anoniem
Een woordvoerder van Microsoft liet weten dat men bezig is
om het lek te dichten. "Microsoft heeft een update
uitgegeven om het lek in HTML help control in Windows te
verhelpen en die update beschermt gebruikers ook tegen het
gemeldde lek." De softwaregigant was het er niet mee eens
dat het een mogelijke exploit in haar patch vergeten was.
Het zou namelijk om een nieuw lek in HTML Help control gaan

Ze zouden zich bij MS eens wat meer zorgen moeten maken om
de laksheid van hun woordvoerders die blijven doen alsof hun
klanten debielen zijn die alles slikken wat ze te zeggen
hebben. Als het aan deze woordvoerders ligt heeft MS nog
nooit een fout gemaakt, is alles in orde en doet MS niets
dan goeds wat betreft beveiliging. Als het ze uitkomt is er
of nog geen patch uitgegeven omdat er nog getest moest
worden of is het omdat het een andere bug zou zijn of dat
het wel degelijk werkt ook al wordt het tegendeel bewezen.
25-01-2005, 15:07 door Anoniem
Door Anoniem
@Anoniem:

Firefox downloads: 20.000.001 :-D

>20M

;-)

OK: FireFox-downloads += 1 ;-)
25-01-2005, 16:38 door Mr Wizard
Door Anoniem

Ze zouden zich bij MS eens wat meer zorgen moeten maken om
de laksheid van hun woordvoerders die blijven doen alsof hun
klanten debielen zijn die alles slikken wat ze te zeggen
hebben.

Do I need to say more ?

Gebruikers die nog steeds M$ geloven.....hmmmmm
Het eerste wat ik doe na een installatie van M$ product,
damn windows update een keer of 4 draaien.
Zelfs onder M$ werknemers slaat het cinisme toe.....
25-01-2005, 16:40 door Anoniem
Security.NL laat een niet onbelangerijke detail achterwege in hun artikel :

For the time being, Windows XP Service Pack 2 seems not to allow the
attack method to work.
26-01-2005, 10:22 door Anoniem
Door Anoniem
Door Anoniem
@Anoniem:

Firefox downloads: 20.000.001 :-D

>20M

;-)

OK: FireFox-downloads += 1 ;-)

FireFox-downloads++ ;-)
26-01-2005, 10:23 door Anoniem
Door Anoniem
Security.NL laat een niet onbelangerijke detail achterwege
in hun artikel :

For the time being, Windows XP Service Pack 2 seems not to
allow the
attack method to work.


Inderdaad, seems...

Niemand die het zeker weet, dus ik zou me vooralsnog niet
zeker voelen...
26-01-2005, 12:20 door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem
@Anoniem:

Firefox downloads: 20.000.001 :-D

>20M

;-)

OK: FireFox-downloads += 1 ;-)

FireFox-downloads++ ;-)
'k was er al weer ff uit :)
Ik denk FireFox-downloads +++++++++++++++++++
26-01-2005, 13:33 door rob
Wel dapper dat redactie dit artikel durft te plaatsen,
gezien de te verwachten flamewar, die gelukkig nog is
uitgebleven.

Ja, "That vulnerability is competely Theoretical" is iets
wat microsoft niet zo snel meer in de mond zou nemen. Ik ben
bang dat er allang exploits voor zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.