Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft brengt tussentijdse patch uit voor Windows 7 en Server 2008 R2

Microsoft heeft een patch uitgebracht die beveiligingslekken in de x64-versies van Windows 7 en Windows Server 2008 R2 verhelpt. Het gaat om de lekken die Microsoft introduceerde in onder andere de Meltdown-updates van januari en februari.

Microsoft meldt dat de kernelupdate met aanduiding CVE-2018-1038 een kwetsbaarheid met het verhogen van gebruikersrechten bij Windows 7 x64 en Server 2008 R2 x64 verhelpt. Het gaat om een lek waar systemen mee te maken krijgen als ze in of na januari een update hebben doorgevoerd.

Microsoft somt de updates op die de kwetsbaarheid ge´ntroduceerd hebben en het gaat onder andere om de beveiligingsupdates die Meltdown tegengaan en om de update die de problemen van AMD-systemen met die Meltdown-patch moest voorkomen.

De kwetsbaarheid in Windows 7 x64 en Server 2008 R2 x64 kwam deze week aan het licht. Het bleek mogelijk het geheugen uit te lezen en te beschrijven met rechten op gebruikersniveau. Microsoft zou het lek in de update van maart gedicht hebben volgens de ontdekker, maar uit de lijst die Microsoft nu publiceert lijkt op te maken dat dit niet het geval was. Bovendien zorgde de update van maart voor problemen waardoor veel gebruikers deze wellicht hebben overgeslagen.

Door

Nieuwsco÷rdinator

36 Linkedin Google+

Reacties (36)

Wijzig sortering
Tja, no offense naar Tweakers want die zijn doorgeefluik, maar hoe geloofbaar is dit bericht? Heb hier van alles in de planning lopen verschuiven om de patches van Maart te implementeren, nu kan ik weer overnieuw beginnen...

Edit: Geloofwaardig als in, dat dit het probleem nu wel definitief gaat oplossen. Dit is een patch voor een patch voor een patch.

[Reactie gewijzigd door Slavy op 30 maart 2018 09:08]

Ja, ik snap er nu ook niets meer van, de patch van 13 maart had dit toch al opgelost?: nieuws: Bugfix voor Meltdown leidde bij Windows 7 en Server 2008 R2 tot nog g...
Op de site van Woody Leonhard proberen ze een beetje orde in de chaos te scheppen. Al zitten ze daar ook nog met de nodige vraagtekens. Voorlopig maar even wachten met updaten en de feedback van degene die hem wel installeren in de gaten houden.

https://www.askwoody.com
Dit is niet met een patch te dichten. Voor AMD en ARM wel, maar voor Intel niet. Enige wat je kan doen is wachten op nieuwe architectuur.
Als je uitsluitend tweakers gebruikt als informatiebron om je patch beleid op te baseren denk ik dat het sowieso handig is je horizon wat te verbreden, nofi :).

Wel ben ik het met je een dat het introduceren van nieuwe problemen tijdens het oplossen van oude erg hinderlijk is. Heb dit ook al meermaals meegemaakt op 't werk (niet MS als leverancier) maar het kost een hoop onnodige tijd, frustratie en draagt uiteindelijk niets bij aan het leveren van een dienst aan je klant. Het is jammer te zien dat de update processen zo onder druk staan dat tests onvoldoende garantie geven voor de betrouwbaarheid.

[Reactie gewijzigd door Eagle Creek op 30 maart 2018 12:54]

Dus als MS niet direct een patch uitbrengt is dat niet goed want beveiliging enzo, maar als ze het wel doen is het ook niet goed want dat gooit je planning in de war. Dan rol je hem toch gewoon uit in je volgende ingeplande patch ronde als beveiliging je niet zoveel boeit? 8)7

edit: ik kan wel begrijpen dat als dit de zoveelste patch is die het probleem toch niet (goed) gaat oplossen dat je het inmiddels wel een beetje beu aan het worden bent :P

Sowieso is dit hele spectre/meltdown verhaal inmiddels een gigantische clusterf*ck geworden met halfwerkende patches, niet werkende patches en patches die dingen slopen |:(

[Reactie gewijzigd door Neko Koneko op 30 maart 2018 10:29]

Dan rol je hem toch gewoon uit in je volgende ingeplande patch ronde als beveiliging je niet zoveel boeit?
Even los van de comment van Slavy, zelfs als beveiliging je wel aan het hart ligt kan het nuttig zijn om patches uit te stellen. Zo zie je hier dat een te snel ge´nstalleerde patch voor problemen kan zorgen door de neveneffecten die nog niet bekend waren ten tijde van uitgave.

Zeker met Meltdown/Spectre moet men voorzichtig zijn, omdat de patches daartegen de potentie hebben om bepaalde zaken trager te maken. Op kritieke systemen die berekend zijn op een bepaald piekvermogen kan het nare gevolgen hebben als de piek niet meer bereikt kan worden.

Informatiebeveiliging is meer dan enkel confidentialiteit en integriteit. Beschikbaarheid wordt helaas maar al te vaak vergeten. Er is geen gouden regel. Hoogstens is er een richtlijn die iedereen voor zichzelf moet opstellen. Meltdown en Spectre zijn industriebreed kritisch, maar niet zo erg voor de meeste systemen die alles draaien onder een enkel account (of nog erger, alles met root/SYSTEM rechten). Al ben je als hacker al binnen op een manier dat je je eigen code kan draaien, dan zijn er waarschijnlijk andere kwetsbaarheden die makkelijker te gebruiken zijn om verdere rechten te verkrijgen.

[Reactie gewijzigd door The Zep Man op 30 maart 2018 09:58]

Het probleem zit erin dat de updates als maandelijkse sequentiŰle roll-up packages worden gepresenteerd.
Dus er is geen cherry picking mogelijk, je gaat erin mee of je stopt (voorgoed)
Ben ik alweer vergeten hoelang de updates voor windows 7 zijn aldus tot en met welk jaar windows 7 de updates blijft binnen krijgen.beveilegings patch is altijd goed ook al is het maar om kwaadwillende gebruikers het lastiger te maken.
Wat heeft geloofwaardigheid hier nou weer mee te maken? Het is een feit. De patch staat al klaar, zie 'm op windows server 2008 R2 staan als KB4100480.

Overigens als je gewoon een maandelijks maintenance window waarin je al je servers patched hebt en afspraken voor kritieke patches die daar buiten vallen (iets wat heel normaal is) dan zou dit geen enkel probleem moeten zijn.
Neemt niet weg dat jij kennelijk geen ruimte hebt ingebouwd om patches de deployen.
Patches zijn een fact of life. En of dat nu patches, of patches op patches, of patches op patches op patches zijn, maakt niets uit. Je moet gewoon een time-window hebben om regelmatig patches uit te rollen
Grote bedrijven zitten soms/vaak nog op Win 7 (Enterprise) hoor. Van mij mag de IT afdeling bij ons een keer gaan upgraden, maar Windows 10 geloof het of niet gaat pas eind dit jaar gebeuren. Bizar hoe kreupel recente hardware wordt met Windows 7.
En de reden dat jullie nu nog niet op W10 zitten...

Bijzonder hoe kreupel software wordt onder W10.....
Als IT-afdeling moet je al je software pakketen testen of ze werken op W10.

Zeker als je in specialistische software gebruikt, dan is het uberhaupt maar de vraag of het werkt op W10.
Bij ons zitten twee man al maanden de 3000+ paketten en tools te testen die onder Windows/DOS draaien. Wat een baan :)

Komt nog bij hoe je 10000+ PCs en laptops een OS upgrade geeft. Ik heb het een keer eerder gezien toen we van NT naar Windows 7 gingen.
Dan begrijp ik je vorige post misschien verkeerd.

Maar dan is het toch heel normaal dat een bedrijf nog (steeds) niet W10 draait?
echt de ouderwetse NT 4.5? Nice. Toen bij ons novell de deur uitgingen zijn we toch snel naar 2k3/xp omgeving gegaan.
God lang geleden.. nee toch niet.. het traject was NT 4.0 (no kidding) => Win 2K => Win 7

Als je het zo ziet, doet een organisatie 8-10 jaar met een OS en loopt men 2-3 jaar achter op de markt.
Kun je beter naar 8.1 gaan. 8.1 herkend precies evenveell dan 10 en je zit niet met het probleem dat Microsoft een hoop ondersteuning eruit heeft gesloopt.
Da's wel erg kort door de bocht.

Er zijn genoeg bedrijven waar XP en zelfs NT nog worden gebruikt. Kan bijvoorbeeld door specifieke hardware komen waar geen nieuwere drivers voor uitgebracht zijn. Uiteraard -kan- upgraden altijd, maar in sommige gevallen kost dit miljoenen en dan is de keus om die systemen 'isolated' te gaan draaien makkelijk gemaakt.
Op mijn werk heb ik nog een laptop met XP voor twee oude software pakketten. Dat werkt niet meer op nieuwere hardware of Windows. Nieuwe software is er wel maar de oude software was gewoon een eenmalige licentie. De nieuwe pakketten hebben een jaarlijkse licentie van een paar 100 euro. Voor die paar klanten waar we dat nog voor in huis zouden houden is dat nooit terug te verdienen. Om nog maar te zwijgen over licenties activeren of netwerk licenties op een locatie waar gewoon geen internet beschikbaar is...
We zijn inmiddels ook helemaal afgestapt van dat merk dus gebruik het eigenlijk helemaal nooit meer.

[Reactie gewijzigd door NBK op 31 maart 2018 03:06]

Meestal zijn kantoor systemen gemakkelijk om te zetten naar nieuwe versies van Windows, waarschijnlijk dat veel bedrijven nu bezig zijn om te migreren naar Windows 10, i.v.m. de nieuwe hardware en het stoppen van het leveren van hardware die compatible is met Windows 7 (CPU's).

Meestal zijn het de systemen in de productie of test omgevingen die software of rand apparatuur hebben die niet compatible zijn met Windows 10 en of dat het makkelijk 50k kan kosten om een pc met Windows 10 te laten configureren door de leverancier. Heb zelf al wat ervaring met migraties van Windows X naar nieuwe versies, zoals van Xp naar 7 en van 7 naar 10.
Ook heb ik gezien dat de leverancier van software of apparaten niet meer bestaan, en een deel van de productie draait met hun software en of machines die niet die niet gemakkelijk te virtualizeren zijn.

Waar ik nu zit hebben ze nog Windows 3.x, Windows 95 en DOS systemen. Zelfs nog oudere systemen waar ik niet geheel (of helemaal niet) bekend mee ben, en ik ben van het bouwjaar 85.

Meestal is het ook niet gemakkelijk om te migreren van Office 32 bit naar Office 64x bit.
[sarcasmemodus]
Ik ben bang dat dat wel eens eerder zou kunnen zijn, dan je nu denkt Antarloka
[sarcasmemodus]
Het bleek mogelijk het geheugen uit te lezen en te beschrijven met rechten op gebruikersniveau.
M.a.w. elk user mode process kreeg de page mapping table gemapped (vast adres). En deze table was beschrijfbaar waardoor je elk stuk fysiek geheugen in je eigen process kon afbeelden (mappen). Zo kun je dus makkelijk wachtwoorden uit een ander process stelen.
Eigenlijk is deze bug erger dat de Meltdown exploit die ze hadden gepatcht. Waar Meltdown best wel wat tijd nodig had om andermans geheugen te lezen kon je met deze bug gigabytes per seconde lezen.
Haastige spoed ...
zou fijn zijn als et KB nummer nog word vermeld in het artikel.
Klik even op de CVE link :)
KB nummers zijn verleden tijd. het is nu alles of niets.
Ik installeer hem voorlopig niet, heb ook de updates van Januari en daarna niet meer gedraaid wat voor het OS zelf bedoelt was.

Zie ook uit het vorige topic:
https://tweakers.net/nieu...ction=11347179#r_11347179
Is deze patch dan ook eentje die verminderende prestaties met zich meebrengt zoals de geruchten her en der op internet te vinden zijn?

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*