Microsoft dicht twaalf kritieke lekken in zijn software

Microsoft heeft als onderdeel van zijn maandelijkse patchronde honderd patches voor Windows en andere software vrijgegeven. Daarvan zijn er twaalf kritiek. Ook is een zerodaylek in Internet Explorer gedicht en verscheen een betaalde beveiligingsupdate voor Windows 7.

Naast de 12 kritieke kwetsbaarheden gaat het om 87 patches die Microsoft als 'belangrijk' bestempelt. Het bedrijf zet 26 kwetsbaarheden waarvoor patches beschikbaar zijn gekomen en die van een CVE-aanduiding zijn voorzien, op een rij.

Los daarvan is de CVE-2020-0674-kwetsbaarheid van Internet Explorer gedicht, waarvan sinds vorige maand bekend is dat deze al actief misbruikt wordt. Verder zijn er kritieke lekken in de Microsoft Scripting Engine, Remote Desktop Client en Hyper-V gedicht.

Microsoft meldt dat er een fix voor lekken in Adobe Flash beschikbaar is. Adobe kondigt zelf in zijn Security Bulletin aan dat het patches voor 17 CVE-kwetsbaarheden, waarvan 12 kritiek, in zijn programma's heeft gedicht.

Microsoft heeft ook updates uitgebracht voor Windows 7 en Windows Server 2008. Dit zijn updates die alleen beschikbaar zijn voor afnemers van betaalde verlengde ondersteuning. Gebruikers van de Windows 10-versies 1909 en 1903 krijgen dankzij KB4532693 een update naar buildversies 18362.657 en 18363.657, waarmee naast beveiligingsproblemen andere fixes zijn doorgevoerd. Hetzelfde geldt voor Windows 1809, dat dankzij KB4532691 een update naar buildversie 17763.1039 krijgt.

Reacties (52)

JohanNL 12 februari 2020 11:46

De Windows 7 update is hier nog gewoon gratis te downloaden(?): https://www.catalog.updat...m/Search.aspx?q=KB4537813

s.lenders @JohanNL • 12 februari 2020 12:11

Downloaden kan inderdaad. Installeren zonder dat je een ESU licentie actief hebt helaas niet

JohanNL @s.lenders • 12 februari 2020 12:20

En hoe zit het met de embedded versie?
@Blokker_1999

s.lenders @JohanNL • 12 februari 2020 12:21

Die is pas end of life 13-10-2020 (Windows 7 Embedded Standard SP1)

[Reactie gewijzigd door s.lenders op 23 juli 2024 02:48]

JohanNL @s.lenders • 12 februari 2020 12:24

Ik bedoel, dat je die zou kunnen installeren op een normale Windows 7 installatie.
Codebase lijkt hetzelfde ( en de grootte van de update ook ), lijkt me dat dat moet werken behalve als MS daar ook iets heeft ingebouwd ter voorkoming van het installeren op een normale Windows 7.

s.lenders @JohanNL • 12 februari 2020 16:19

Daar heb ik geen ervaring mee. Maar het mag ook wel gezegd worden dat Windows 7 gewoon echt niet meer van deze tijd is. En Windows 10 toch echt een betere oplossing is dan een omweg zoeken om W7 nog "veilig" te blijven gebruiken.

Al krijg je de ESU's geinstalleerd het biedt totaal niet dezelfde ondersteuning kwa security updates als een in support Windows.

Blokker_1999

Besturingssystemen
Microsoft Windows 7 Ultimate
Microsoft Windows
Microsoft Windows 10 Home NL
Microsoft Windows 10 Pro NL
Microsoft
Beveiliging en antivirus
Microsoft Windows 7

@JohanNL • 12 februari 2020 12:11

En zonder ESU sleutel in je systeem zal deze tijdens de reboot die noodzakelijk is voor de installatie opnieuw verwijderen, lees ook de sectie met "gekende problemen" op de info pagina van het kbase artikel.

DarkShaDows @JohanNL • 12 februari 2020 13:50

Ik heb een (ahum) ESU oplossing van een ander forum op mijn W7 systeem en de update komt netjes binnen en wordt prima geïnstalleerd. De (ahum) ESU oplossing zorgt hiervoor.

Waterbeesje @DarkShaDows • 12 februari 2020 14:17

Maar dan heb je ook (ahum) iets geactiveerd op jouw computer waardoor Windows een actieve ESU ziet. Dan is het voor Windows logisch dat je die update gewoon binnen krijgt toch?

Even zonder in te gaan op wat het "iets" is, er zijn vele wegen die naar Rome leiden, al dan niet over tolwegen

DarkShaDows @Waterbeesje • 12 februari 2020 15:00

Klopt, de oplossing wijzigt iets in je register en plaatst / wijzigt een paar bestanden.

Franckey 12 februari 2020 11:31

Nu deze info is gedeeld, is het dan extra risico als je de update niet hebt?

Wouterie @Franckey • 12 februari 2020 11:42

Ja, een beetje. Bekende kwetsbaarheden zijn vrij aantrekkelijk om op te ontwikkelen zeg maar. De publicatie omvat natuurlijk niet een handleiding hoe een kwetsbaarheid te misbruiken is, maar geeft wel een richting aan waar je moet zoeken. De ontwikkelaars van malware etc... weten ook dat veel bedrijven en instanties de updates niet direct installeren en dat geeft ze een beetje extra tijd.

Zeker voor Windows 7 zal het risico groter worden naarmate er meer kwetsbaarheden bekend worden en niet iedereen de updates kan of wil installeren.

Eonfge @Wouterie • 12 februari 2020 12:01

Dit is een understatement. Het gros van alle aanvallen op systemen gaat door middel van bekende exploits welke al gefixt zijn. WanneCry en Petya zijn bijvoorbeeld eenvoudig te voorkomen door alle laatste beveiligingsupdates te installeren. Dit weerhoudt bedrijven en scholen echter niet om te bezuinigen op IT personeel.

Het aantal aanvallen in het wild welke gebruik maken van zero-day exploits, is klein. In de praktijk is het voor cyber criminelen veel interessanter om gewoon de bugfix lijst van vorige maand langs te gaan. Meer dan genoeg slachtoffers te vinden, en veel minder werk dan een zero-day.

hmartino @Eonfge • 12 februari 2020 17:02

De volgende zin viel me op:

Dit weerhoudt bedrijven en scholen echter niet om te bezuinigen op IT personeel.

Wat raad je aan dat een peuter- of basisonderwijs school zou moeten doen zonder IT personeel kennis?

Cis @hmartino • 12 februari 2020 20:44

Een externe partij inhuren die er wel kennis van heeft?
Zorg dat je een mantelcontract hebt met meerdere scholen, en de kosten kunnen flink gedrukt worden.

kidde @hmartino • 12 februari 2020 19:28

Bij mijn zoontje draai(d)en beiden ChromeOS.

Beetje een keuze tussen bespioneerd worden door hackers (Windows 7) of Google zelf (ChromeOS).

Daarbij moet ik wel netjes opmerken, dat bij ChromeOS voor kinderen de hoeveelheid dataverzameling door Google zeer ingeperkt is.

YangWenli @Eonfge • 13 februari 2020 11:31

Dit is ook waarom win10 automatisch update zonder tussenkomst van de gebruiker.

JohanNL @Franckey • 12 februari 2020 11:51

Het ziet ernaar uit dat iedereen deze update doodleuk kan installeren vanaf de Microsoft Update Catalog: https://www.catalog.updat...m/Search.aspx?q=KB4537813

Iemand die op 7 zit en wil kijken of dit werkt op een systeem zonder extra aangeschafte ondersteuning?

Edit: Of deze als rollup: https://www.catalog.updat...m/Search.aspx?q=KB4537820

[Reactie gewijzigd door JohanNL op 23 juli 2024 02:48]

dennizzz

@JohanNL • 12 februari 2020 12:24

Als het goed is faalt de update als je de ESU-key niet hebt geactiveerd.

JohanNL @dennizzz • 12 februari 2020 12:25

Er staat inderdaad bij dat het niet werkt zonder een ESU key.
Maar wellicht werkt de Embedded versie dan nog wel.

Maykel_Melis @JohanNL • 12 februari 2020 13:52

Ik heb twee KBs geinstalleerd om te kijken of het werkt en het werkt niet met Windows 7 Ultimate x86 (VM). De embedded updates heb ik niet getest want ik ga er vanuit dat Microsoft niet gek is. Jammer maar helaas.

JohanNL @Maykel_Melis • 12 februari 2020 14:11

De Windows Embedded POS Ready 2009 updates kon je allemaal wel installeren op een normale Windows XP, daardoor had XP nog 5 jaar langer '' support ''.
Dus wellicht werkt dat nu weer met de embedded versie van 7.
Maar er is ook een ESU patch die het systeem doet denken dat je een ESU key hebt waardoor je de update geïnstalleerd kunt krijgen.

[Reactie gewijzigd door JohanNL op 23 juli 2024 02:48]

gooos @JohanNL • 12 februari 2020 12:17

Ik kreeg gisteravond gewoon nog een update op mijn Win7 machine. Zal vanavond eens kijken welke update dat geweest is.

T2000Nl @gooos • 12 februari 2020 17:04

KB890830 ?

gooos @T2000Nl • 13 februari 2020 08:50

Die is het inderdaad geweest.

Archcry @Franckey • 12 februari 2020 11:38

Potentieel wel ja. Aangezien er nu een breder publiek op de hoogte is van de vulnerabilities die opgelost zijn door Microsoft zijn er potentieel meer hackers die gaan proberen in te breken op systemen die nog niet van de patch voorzien zijn.

Maargoed, het is natuurlijk altijd een beetje natte vinger werk.

[Reactie gewijzigd door Archcry op 23 juli 2024 02:48]

n9iels

@Franckey • 12 februari 2020 11:43

Potentieel. Maar de exact details van deze patches en lekken worden door Microsoft niet uitgebracht. Dus hacker ed. gaan nu uiteraard wel aan de hand van de beschrijving actief op zoek naar deze lekken. Het is dus wachten tot iemand het vind en een exploit schrijft.

Advies in het geval van security updates is uiteraard: zsm updaten

xONet 12 februari 2020 11:30

En elke maand haal ik weer opgelucht adem en denk ik dat alles nu echt koek en ei is... tot de volgende patchronde. I love it how the mind works.

kuurtjes @xONet • 12 februari 2020 11:31

En ondertussen zijn er 29 dagen dat er een zeroday misbruikt kan worden.

Remenic @kuurtjes • 12 februari 2020 11:37

Waarschijnlijk zijn er zelfs zerodays die al jaren misbruikt worden en pas volgend jaar ontdekt worden door anderen. Slaap zacht!

Bardman1 @Remenic • 12 februari 2020 11:41

En dat al bijna 40 jaar lang p-)

Wouterie @Remenic • 12 februari 2020 11:43

Het is waarschijnlijk dat toekomstige software zerodays bevat. Slaap zacht!

mae-t.net @Wouterie • 12 februari 2020 13:44

Dat zouden dan toch negativedays moeten zijn.

Jester-NL @kuurtjes • 12 februari 2020 11:47

En 29 dagen dat je niet per se met IE hebt hoeven werken

CH4OS @Jester-NL • 12 februari 2020 13:52

Genoeg applicaties (voor zakelijke gebruikers dus) die anno 2020 nog gebruikt worden en afhankelijk zijn van IE, dus nee, dit kun je zomaar niet stellen, is te kort door de bocht.

michielRB @CH4OS • 12 februari 2020 13:58

Genoeg 'devs' die anno 2020 blijkbaar nog steeds de slechtst mogelijke ontwikkel keuzes maken...

gwystyl @michielRB • 12 februari 2020 14:37

Ik heb hier helaas ook mee te maken.... een online tool van een klant van ons moet benaderd worden met IE11. Bepaalde essentiele functies werken gewoon niet in moderne browsers. Ik gebruik dit pas sinds kort, dus moest zelfs moeite doen om IE11 weer aan de gang te krijgen op Windows 10.
Blijkbaar is het lastig om die tool geschikt te maken voor Chrome/Edge/Firefox/Opera etc omdat hij al jaren geleden gebouwd en sindsdien bijgewerkt is. Het is dus niet zozeer dat ze nu nog slechte ontwikkelkeuzes maken, maar dat ze nog te maken hebben met een (toen) werkend systeem dat inmiddels verouderd is.

i-chat @gwystyl • 12 februari 2020 16:06

dan bouw je toch een nieuwe front-end voor je software. het is niet alsof je, omdat je ooit met activ-x hebt gewerkt dat maar moet blijven doen, er zijn java (en dan zonder browser) of verschillende soorten web-frameworks die nagenoeg alles beter kunnen dan wat er toen mogelijk was.

je kunt je wel achter het '(maar compatibility dan)- argument blijven verschuilen maar eens komt de dag dat je door de realiteit wordt ingehaald.

Waterbeesje @michielRB • 12 februari 2020 14:22

Scheelt weer testen op 5 andere browsers + alle reparaties die daaruit volgen + de nieuwe testrondes + daar weer uit volgende reparaties... enzovoort. Kosten hè?

(overigens ben ik het wel met je eens dat iets bij voorkeur platform onafhankelijk hoort te zijn)

-edit @i-chat hieronder:
het was ook meer cynisch bedoeld

[Reactie gewijzigd door Waterbeesje op 23 juli 2024 02:48]

i-chat @Waterbeesje • 12 februari 2020 16:03

wat een onzin, als je dan zo nodig een maar voor één bepaalde browser wilt ontwikkelen kies er dan eentje die nog ondersteund wordt. dan kan even goed chrome, (goolge chrome, chromium, edge) zijn als firefox.
zolang het maar een courante en gratis beschikbare (liefst opensource) browser is.

als je nu nog webaplicaties draait die semi-publiek (of via semi-publieke netwerken) beschikbaar zijn zou je hoe dan ook aan de schandpaal horen en waar mogelijk nog met torenhoge boetes erbij.

CH4OS @michielRB • 12 februari 2020 14:23

Eerder dat bedrijven ervoor kiezen om software uit het stenen tijdperk in de lucht te houden.

michielRB @CH4OS • 12 februari 2020 14:28

Dan heb je het over IE6 'apps'?

Jester-NL @CH4OS • 12 februari 2020 14:29

Als je na het geklootzak van IE6 nog steeds applicaties bouwt die afhankelijk zijn van éen, specifieke, browser dan heb je als ontwikkelaar een beetje onder een steen geleefd...

CH4OS @Jester-NL • 12 februari 2020 14:32

Want dat oude software nog gebruikt wordt bij bedrijven is de keuze van de ontwikkelaar?

Nee, genoeg bedrijven die er moedwillig voor kiezen om oude software ook nog up en running te houden; upgraden is vaak te duur, omdat het naast ontwikkeling en implementantie nog meer kosten meebrengt, zoals bijvoorbeeld een cursus.

CH4OS @xONet • 12 februari 2020 13:46

Sorry, maar verwachten dat software ten eerste foutloos en helemaal beveiligingslek vrij is, is gewoon een slechte aanname. Als je niet weet dat er een lek is, kun je er natuurlijk ook weinig aan doen. Gelukkig brengt Microsoft maandelijk patches uit, anders was Windows helemaal een gatenkaas.

Wellicht een impopulair antwoord, maar wel helaas de waarheid; je kunt gewoon niet zomaar vertrouwen dat software foutloos is, ook of misschien wel juist, op het gebied van beveiliging is een dergelijke gedachte gewoon zeer naïef.

Lethalis 12 februari 2020 13:37

En zo komen er elke maand meer redenen bij waarom je nu geen Windows 7 of Server 2008 meer wil draaien.

*doet schietgebedje voor klanten die nog niet (willen) upgraden en controleert de backups wat vaker dan normaal*

Hoewel een deel van mij inmiddels ook denkt "wie niet wil luisteren, voelt maar"

Vooral mensen die Linux bashen maar wel stug door blijven draaien met een antieke versie van Windows, omdat ze upgraden te duur / lastig vinden.

Guess I'll watch the world burn then.

Fluttershy 12 februari 2020 11:39

Adobe Flash

Is het weer 1997?

n9iels

@Fluttershy • 12 februari 2020 11:46

Adobe Flash wordt nog steeds ondersteund. Weliswaar is de EOL aangekondigd, 31 december 2020, maar zolang er ondersteuning is moet je er ook updates voor uitbrengen.

Arcastin @Fluttershy • 12 februari 2020 11:51

Haha je dacht toch zeker niet dat bedrijven nog met tools werken die 12 jaar geleden al discontinued zijn, voor een techniek die zeer binnenkort volledig verbannen wordt uit moderne browsers?
Oh wacht.. *huilt in Adobe Flex*

Marctraider 12 februari 2020 15:00

Kan je na gaan hoe meer meuk je uit hebt hoe minder vulnerable je bent.

Dat is ook een beetje het probleem met uit de kluiten gewassen consumer Windows 10 versies.

Daarom gebruik ik NTlite processed images, en alles wat niet aan staat of verwijderd is kan ook niet exploited worden :-)

Kan Windows 7 nog zo onveilig zijn, denk dat een stripped 7 minder exploits bevat dan een full fledged Windows 10 installatie.

[Reactie gewijzigd door Marctraider op 23 juli 2024 02:48]

T2000Nl 12 februari 2020 17:03

Heb Win7 Home zonder betaalde update. Kreeg vandaag toch updates binnen (oa. KB890830).
Is dan weliswaar niet waarover hier gesproken wordt, maar betekent dat nu dat je toch nog zo nu en dan wat krijgt op Win7 ?

alwetend 13 februari 2020 06:57

In het onderwijs, waar ik werk, is het slecht gesteld. Daar draaien ze vaak ook op oude meuk. Dit omdat de meeste ict'ers op de werkvloer gewoon leerkrachten zijn, die het erbij doen.

Natuurlijk is er een echt bedrijf dat het onderhoud doet, maar wanneer die voorstellen om alles te upgraden (qua software), dan gaat de directie in overleg met de ict'ers op school. En zij geven aan, dat het nog prima even kan wachten, want het werkt nog prima...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (52)

Sorteer op:

Weergave: