Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 24, views: 16.726 •
Submitter: Rubinski

Microsoft heeft een patch uitgebracht voor een kritiek veiligheidslek in de XML Core Services met versienummers 3.0 tot en met 6.0. Dit veiligheidslek werd actief benut door hackers om toegang te krijgen tot Gmail-accounts.

Google tipte Microsoft volgens ZDNet op 30 mei dat het lek actief werd benut om Gmail-accounts te hacken. Het bedrijf begon daarna ook gebruikers te waarschuwen als het vermoedde dat zij het doelwit waren van hacks van overheden, die het lek misbruikten. Microsoft maakte het bestaan van de kwetsbaarheid vervolgens op 13 juni wereldkundig en stelde toen een workaround beschikbaar die het xml-component uitschakelde. Gebruikers konden hun toevlucht tot deze methode nemen, totdat er een patch beschikbaar was. Hoewel Microsoft normaal slechts eens per twee maanden updates voor Internet Explorer uitbrengt en er vorige maand nog een update voor de browser beschikbaar werd gesteld, was het betreffende lek zo kritiek dat het toch dinsdag als onderdeel van 'patch tuesday' werd uitgerold.

Het lek betreft een kwetsbaarheid in de Microsoft XML Core Services met versienummers 3.0, 4.0, 5.0 en 6.0, die standaard onderdeel uitmaken van Windows en Office 2003 en 2007. Office 2010 bevat de kwetsbaarheid niet, beschrijft Microsoft. Het lek stelde aanvallers in staat om op afstand code uit te voeren op een systeem zonder dat er toestemming van de gebruiker nodig was. Het was voldoende om de gebruiker met Internet Explorer een aangepaste website te laten bezoeken die de code dan kon uitvoeren.

Reacties (24)

Als je deze update uitrolt, gaat deze dan over de eerder vrijgegeven 'tijdelijke patch' heen?
Op de TechNet-pagina (http://blogs.technet.com/...-it-before-fixing-it.aspx) lees ik het volgende:

''Applying this workaround will not interfere with the installation of the final security update that will address this issue. However, applying the workaround will have a small effect on the startup time of Internet Explorer. Therefore, as you are applying the final security update, you should uninstall the workaround as it will no longer be needed.''

Je hoeft de tijdelijke patch dus niet te verwijderen, maar het wordt wel aangeraden. De uninstaller kun je ook op de bovengenoemde pagina vinden.

[Reactie gewijzigd door remco8264 op 11 juli 2012 10:26]

blijkbaar toch niet zo kritiek omdat men nog kon wachten op patch tuesday.
Waarschijnlijk omdat het niet misbruikt werd om toegang te krijgen tot windows live mail accounts :P
Updates uitrollen doe je niet zomaar maar op basis van een methode. Het lijkt heel simpel allemaal maar om alles gestructureerd uit te voeren doen ze dit ook volgens hun eigen cyclus.
Zo makkelijk is het niet om van een schema af te stappen zoals Patch Tuesday, er is een reden dat een patch niet wordt uitgebracht als deze klaar maar pas de eerst volgende 2de dinsdag van de maand. Je weet toch dat we het hier hebben over miljoenen computers, toch?
yup. Dat, en duizenden systeembeheerders die patches moeten goedkeuren in het bedrijf. Middels WSUS wil je ze toch wel eerst testen en accepteren.
Dat is niet helemaal waar, ze hebben op 13 juni al een FixIt pakket uitgebracht om zelf het lek te dichten door de getroffen XML component uit te schakelen:
http://support.microsoft.com/kb/2719615

Deze patch lost het probleem in de code zelf op, maar blijkbaar gebeurd dat vrij "dirty" gezien de langere IE opstart tijd. De "echtte" patch zal dat netter doen.

Al met al een vrij snelle response voor een monster van een software pakket genaamd IE.
Nee, dat doet Apple veel beter met de Java patch die 7 maanden in beslag nam. Of Linux wat betreft de uitrol van driver patches (zitten vaak hard in de kernel gebakken waardoor updaten vaak gebeurt bij de update van de hele distro).
Conclusie: het is overal wat.
De java patch duurde geen 7 maanden. Het koste Apple 7 maanden om de java patch in hun eigen aangepaste Java versie te verwerken.
Dus het duurde 7 maanden voordat Apple een gepatchte versie gereed had. Het orginele statement staat nog steeds.
Java was dan wel gepatcht, maar wat heb je eraan als deze niet bij de gebruikers komt?
Het is inderdaad veel beter om heel snel een patch uit te brengen. Een patch die daardoor niet getest is op alle verschillende software en hardware configuraties en waardoor na de installatie computers en servers niet meer functioneren. Of waarin een nieuw lek wordt geintroduceerd wat opnieuw misbruikt kan worden.

Nee het is inderdaad alleen maar belangrijk om een patch snel uit te brengen...
Testen moet je zelf doen natuurlijk.
Pff, alsof andere OSsen geen lekken hebben.. Ook linux en MacOS hebben gewoon lekken, dus je moet niet zo naief doen.. een echt veilig OS bestaat gewoon niet.
Jawel, maar op Linux duurt het niet zo lang om dergelijke kritieke lekken op te lossen; over het algemeen is de patch al beschikbaar op het moment dat het nieuws naar buiten komt.
Nou ben ik maar een simpele gebruiker en weet het fijne er niet van af. maar wat ik niet helemaal volg. Er is een fix sinds 17 juni laten we zeggen sinds 3 weken. Maar toch duurt het ruim 3 weken voordat iedereen deze fix bezit? Kan microsoft niet geforceerd deze patch naar alle gebruikers updaten? Of zijn er redenen voor waarom dit niet gebeurt?
Zoals eerder gezegd was die fix een tijdelijke oplossing. Er is nou eenmaal wat meer tijd nodig om de fix verder te ontwikkelen en te testen.

De vroege fixes van Microsoft worden ook vaak "as-is" geleverd en zijn op eigen risico om te installeren. Ze zijn dan nog niet volledig getest en kunnen mogelijk problemen leveren. Bij de patch die nu uitgegeven wordt krijg je volledige support van Microsoft als er iets niet klopt.
Op http://eromang.zataz.com/...rability-metasploit-demo/ kun je zien hoe men misbruik kan maken van de fout.

De reden dat Microsoft security updates verzameld en dan op de eerste dinsdag van de maand uitbrengt, is zodat het makkelijker wordt voor bijvoorbeeld bedrijven zonder WUS en ook dat consumenten een keer een update moment voorgeschoteld krijgen in plaats van 10x per maand
Aangezien dit lek vanaf 30 mei bekend is bij Microsoft, en vanaf 13 juni algemeen bekend is, dan is het toch per definitie GEEN zero-day lek?
Ieder lek was ooit een zero-day lek tot het bekend werd niet?
Nee, niet helemaal, want er is vaak genoeg een lek ontdekt die nog niet gebruikt werd. Een zero-day lek is een lek die al misbruikt werd voordat het lek bekend was (ofwel het lek was wel bekend bij de hacker(s), maar nog niet bij de rest).
En dat brengt Internet Explorer op versie 9.0.8. Ik wist dat er gisteren een patch zou komen voor IE buiten de cycle van 2 maanden om. Maar werd er niet gezegd dat dit gat onbekend was en alleen bij Microsoft was gemeld? Of hebben we het hier over een andere kwetsbaarheid?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013