Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 69 reacties
Bron: The Register

Bijna anderhalve maand na de introductie van Microsoft's nieuwe serverbesturingssysteem Windows Server 2003, is pas deze week de eerste veiligheidspatch verschenen. Om dit te 'vieren' heeft Microsoft speciaal een aantal journalisten opgetrommeld die dit evenement in het nieuws moeten brengen, zo lezen we op The Register. De betreffende patch lost een tweetal veiligheidsproblemen op in Internet Explorer. In tegenstelling tot de andere besturingssystemen waarvoor de patch is verschenen, zijn de gevolgen van de fouten in IE slechts 'moderate'. In Windows XP is dit veiligheidsriscio ingeschat op 'critical'. De reden voor dit onderscheid is dat onder Windows Server 2003 Internet Explorer in de zogenaamde 'Enhanced Security Configuration' werkt, waardoor het niet mogelijk is dat de bugs tot een gecompromitteerd systeem leiden. Volgens een medewerker van Microsoft, Simon Conant, is het te danken aan het veiligheidsbewuste beleid van Microsoft dat de fout in de browser nauwelijks tot een onveiliger systeem leidt. De bug is overigens ontdekt door het beveiligingsbedrijf eEye Security:

Windows Server 2003 LogoThe first security patch that needs to be applied to Windows 2003 Server validates, rather than tarnishes, the design by default approach taken in developing Microsoft's flagship server OS.

[...] Although this is an IE problem, it still gives risk to apply the first patches to Windows Server 2003 but Conant said the lesser impact of the vulnerabilities on that platform demonstrate that Microsoft's more security-conscious approach is paying off.

Be that as is may, let's not forget that the flaws addressed by the patch are potentially devastating for the vast majority of Microsoft's installed base (who are running XP, Win 2000, 98, Me and NT).
Moderatie-faq Wijzig weergave

Reacties (69)

Er draait nog bijna niks of niemand op windows 2003 dus dan is het gevaar ook niet zo groot!!

Ik dacht het hier ook te gaan instaleren maar als exchange en sms (beide van MS) er al niet op draaien heb je er voorlopig weinig aan.

Verder mag je met IE in de standaard config van windows 2003 niet brouwsen. bij elke nieuwe site die je bezoekt wordt toegang geweigerd en moet je hem eerst toevoegen aan een lijst vertrouwde sites.
Verder komt er nog bij dat het gaat om activeX object. Die worden zelf als je de securety op medium zet niet op elke sitevertoont. En win2k3 is een server en daar ga je niet mee surfen(behalve mischien windows update)
En win2k3 is een server en daar ga je niet mee surfen

Mja... waarom stoppen ze er dan een browser in :?
Hadden ze ook nooit een IE lek gehad :P
waarom stoppen ze er dan een browser in
Zodat je plaatjes kunt opslaan. Die plaatjes kun je dan daarna weer bijkleuren in paint.

Waar heb je anders een server voor. 8-)
En natuurlijk om de patches te downloaden voor Internet Explorer :Y) }:O
een browser op een server is nog wel eens handig om bv een patch of driver te downloaden.
Als we bij mij op het werk een patch of driver nodig hebben voor een server, dan download ik die met m'n workstation, en zet hem daarna op de server :)

edit:
moet een reactie zijn op: robbl
Janoz: Als ik me niet vergis is de IE zodanig in windows geintregeerd dat het halve besturingssysteem erop werkt :)

Wie kent niet het probleem dat 1 schermpje van je IE crasht en al je geopende vensters weg zijn PLUS al je geopende verkenners en je GUI..
Dat kan toch ook met wget of ftp??

Waarom moet er in godsnaam een webapp voor gebruitk worden?? Schrijf dan een standalone app die de windows update taken regelt. Gewoon een soort apt-get met gui er omheen oid. Hoef je ook niet een browser mee te leveren waarmee de mogenlijkheid word geboden om software te instaleren en aan te passen, zelfs tot op het niveau van de kernel toe!.
ja, als ze dat nou eens deden..zou indd beter zijn..
GUI eromheen? ben je gek..in elk geval een gescheiden front- en backend.
dan kun je naar die bak telnetten om je updates binnen te halen.
Als je XMLdom gebruikt in IIS is dat gewoon een ActiveX object dat onderdeel is van een browser..
De browser is geen losstaant iets.. die dll's heb je ook nodig voor IIS projecten, dus kun je ze niet er uithalen...
En dus zou het niet uitmaken als de "browser" er niet inzat en dei dll's wel omdat daarin altijd de bugs zitten..

Ga maar eens zoeken in google naar xmldom exploit of iets dergelijks
@KayJay en anderen: nooit van corporate windows update gehoord? Kun je alle updates ook als files downloaden zodat je ze via bijv. telnet kunt installen...
Dat kan toch ook met wget of ftp??

Waarom moet er in godsnaam een webapp voor gebruitk worden?? Schrijf dan een standalone app die de windows update taken regelt. Gewoon een soort apt-get met gui er omheen oid. Hoef je ook niet een browser mee te leveren waarmee de mogenlijkheid word geboden om software te instaleren en aan te passen, zelfs tot op het niveau van de kernel toe!.
Microsoft is van gedachtengang verandert. Ze gooit met Windows Server 2003 alles dicht en de systemmanager moet dingen open gaan zetten.
Ze hebben dus weer wat van *Nix/BSD afgekeken. Dit keer de goede dingen zo te zien :)
Er draait nog bijna niks of niemand op windows 2003
Dan horen wij hier bij die bijna, want ongeveer een derde van ons serverpark is ondertussen al gemigreerd naar windows 2003. Reden dat wij hier zo vroeg mee waren is het early adaptor program van microsoft (bedrijven krijgen de kans om voor de officiele release al de server te installeren met support van microsoft, beetje testkonijn spelen dus)
Dus niet onderschatten hoeveel bedrijven er reeds omgeschakeld zijn, of met de voorbereidingen ervoor bezig zijn.
hier draaien ook 15 servers bijna niks of niemand 8-)
Er draait nog bijna niks of niemand op windows 2003 dus dan is het gevaar ook niet zo groot!!
En waar maak jij dat uit op dat niets of niemand 2003 draait ?
wa dacht je van exchange 2003, vele betere OWA ook.
Het gaat over deze patch: Cumulative Patch for Internet Explorer (818529)

http://www.microsoft.com/technet/security/bulletin/MS03-020.asp

:)
Is het vinden van een bug een feestje waard?
Microsoft is toch al volwassen genoeg omt eweten dat het vaak ie is die voor bugs zorgt, nu hebben ze wel zo'n beveiling er omheen gebouwd maar wie zegt dat daar geen bug in zit

Het zou me nix verbazen als er weer verschillende beveiligings patches uitkomen voor gevaarlijke bugs.
Precies, ik dacht hetzelfde, feest vieren dat er een bug is gevonden?
Misschien is het leuk om dit artikel over 2 jaar weer te publiceren en wederom hetzelfde groepje journalisten bij elkaar te zetten.

Vraag me ook af wanneer de eerste bug in het
'Enhanced Security Configuration'
gevonden wordt :)
Het is juist een concept dat is afgekeken van open source programmatuur; Het idee is dat je bugs en patches open en duidelijk moet melden,
dat zoiets de systeembeheerders eerder aanzet tot installatie van de update, en dat dit duidelijk maakt dat de veiligheid goed in de gaten gehouden wordt.

Ook *nix-achtigen kennen veel fixes en updates, verschillende linux-distro's zelfs een langere lijst dan windows, echter juist het feit dat win-beheerders vaak patches achterwege lieten ging ten kostte van de veiligheid.

Het uitkomen van patches is doodnormaal en juist een goed teken.
In het 'Enhanced Security Configuration'-concept hoeft je echter geen bugs te verwachten, vooral aangezien dit niet een applicatie is, enkel een concept, dat uitgaat van verkeerde handelingen (of uitblijven van handelen) door de verantwoordelijke systeembeheerder; effectief overigens niet veel meer dan de verhoging van de security-levels voor verschillende internet-zones in de browser.
Elke dag een reden tot feest! :+
uhm. ik beheer oa een Software Update Services server (SUS) en daar staan al een tijdje updates in hoor :? Momenteel staan er 118 updates voor Windows 2003 Server in...(FYI: 2k heeft er momenteel ruim 1000, xp ruim 900)
beetje vreemd dus deze newspost...
update, is niet het zelfde als een patch, sercurity patch wel te verstaan.
maar er staan wel degelijk patches tussen.
Een heleboel zelfs.
Dit is wel de eerste patch met een security-kenmerk.
dat bedoel ik dus. de security
kijk een normale patch die problemen verhelp (met BV specefice hardware) heeft ieder programa, een OS destemeer. de hoeveelheid van dat sort patches zeggen niet zo veel over de Qualiteid van het programa.
Qualiteid
Het gaat om het volgende:
First up, there's a buffer overrun vulnerability that occurs because IE "does not properly determine an object type returned from a web server". In common with such buffer overflow exploits this creates a mechanism for attackers to inject hostile code onto vulnerable boxes by either tempting users to visit maliciously constructed Web sites or sending an HTML email that attempted to exploit the vulnerability.

There's also a flaw that results because IE does not implement an appropriate block on a file download dialog box. Again this vulnerability creates a possible means for an attacker to run arbitrary code on a user's system.
Normaal zijn anti Microsoft lui volop bezig, na een introductie van een nieuw besturingssysteem van Microsoft, naar het speuren van (veiligheids-)bugs.

Daarom is het inderdaad opvallend dat pas na anderhalve maand de eerste fouten ontdekt zijn die niet eens ernstig zijn...

Dit nieuws zal dan ook zeker helpen bij de verkoop van server 2003. Twijfelaars ivm veiligheid zullen zo makkelijker over de streep getrokken worden...
Wat een onzin man! Bijna geen fout in zit en dan releasen. In eerste instantie kunnen ze bij zo'n enorm systeem onmogelijk alle fouten ontdekken. Willen ze dat wel doen dan komt t misschien over 10 jaar een keer op de markt. Dat laatste lijkt me ook niet echt gewenst!
Nu moeten we zeker naar Linux kijken, omdat dat zo veilig is... Dat is dus helemaal niet waar. Voor Linux zijn misschien wel net zo veel beveiligingsfouten. Maar die van MS komen allemaal duidelijk in de media, omdat het 95% van alle gebruikers beslaat. Daarom denken de meeste mensen: Bah Microsoft! Bah allemaal bugs! Bah onveilig...

* 786562 Dope-E
helemaal mee eens, enige punt van cricite waarom linux (potencieel) iets veiliger is is omdat het opensource is en dat mensen zelf opzoek kunnen naar veiligheids fouten direct in de bron code en die dan melden (wat dus op grote schaal gebeurt) MS heeft dit voordeel niet.
de open beta van het linux kernel helpt ook.
Die mod ik dan ook altijd met -1 troll.
Het mag wel eens afgelopen zijn met het kinderachtige gedrag hier. Dat je het niet met MS eens bent vind ik prima, maar dat kun je normaal zeggen, zonder parodieen op de naam en met goede argumenten.
geen software zonder fouten.
dit foutje zit trouwens niet in server 2k3 maar in IE, niet door het zelfde team gemaakt.
ik ben impressed met win2k3 op gebied van veiligheid,
MS OS'sen worden na introductie meteen doodgemarteld op securatie, dat er nu pas iets gevonden is (wat niet eens echt van 2k3 was) is zeker goed.
[dit zal wel off-topic worden]
2k3 = 2300.
Als je 2003 wilt 'afkorten' doe het dan goed, 2k003

2k003 is langer dan 2003, dus waarom niet gewoon voluit schrijven.
[/dit zal wel off-topic worden]
Zinnig afkorten ook dan he...als je 1 character meer nodig hebt :+
Ik wil niet zeuren , maar ook linux of freebsd heeft foutjes ...
Geen enkel ! OS is helemaal perfect.

Al met al is het wel een meevaller dat MS zijn strategie heeft aangepast. Windows is nog steeds 1 van de meest gebruiksvriendelijke OS'en voor de nietswetende gebruiker (lees : moeders met een typemachine :) ).

Ik denk dat de toekomst zal leren of MS zijn updates goed kan laten verlopen en of er nog serieuze lekjes te voorschijn komen.
Ik stel voor dat je eerst eens leert programmeren (op deftige manier dan wel), als je dan een "deftig" programma hebt gemaakt zullen we eens kijken naar het aantal bugs

Voor een programma van dergelijke omvang haalt MS zeker wel hoge standaarden qua bugs hoor.
The lesser risk for Win Server 2003 arises because, by default, Internet Explorer on Windows Server 2003 runs in Enhanced Security Configuration. This default configuration of Internet Explorer blocks attacks based on the vulnerabilities which on other systems might allow an attacker to execute code on a user's system.
Eeeuuh, dus als je Enhanced Sec Config uitzet is het dus voor Win Server 2003 net zo goed een probleem? :? Dan ben ik toch weer iets minder impressed.
Waarom minder impressed? :? Het is juist mooi dat je het aan en uit kan zetten (zodat je zelf kan kiezen) EN het allerbelangrijkste: het staat per default aan, dus nietswetende server-admins hebben weer een stukje veiligheid erbij. Een heel verschil met NT 4.0, waar alles per default aan en open stond. :)
ja, maar het is ook niet de bedoeling dat je veiligheden op je server uitdoet. daarom komt er ook zo'n informatie venster dat je komt vertellen dat dat is om te zorgen dat foute scripts je server in de prak draaien.
Een patch op windows server voor IE.

Waarom zit er eigenlijk IE op een server? Dat heb je daarop toch niet nodig?
Ten eerste zit het erin omdat heel veel onderdelen werken doormiddel van Internet Explorer.
Ten tweede is het ook makkelijk om je eigen sites uit te testen, maar vooral om op Technet & MSDN te kijken als iets niet werkt e.d.
Sja, je eigen sites ga je in de regel niet testen op een server. Dat je die sites op een server laat draaien is wel logisch, maar testen doe je in de regel nooit op dezelfde machine, als waar ze op draaien.

Al is het maar, omdat je anders foute links over het hoofd kan zien, die je op een externe machine wel ziet.

Verder is het domweg niet de bedoeling om te surfen met een server. Gewoon je updates, patches, firmware en driverdownloads. En verder nix ........................kijk maar es hoeveel 'troep' een beetje surfen achterlaat op je machine.
die zit er zodat je de updates kan installeren ;)
Dat hoeft niet per se via IE. Je kunt ook SUS gebruiken of 't automatic updates tooltje dat standaard bij Windows 2003 zit (draait als service).
hoe run jij dan windowsupdate op een windows server?

;) net te laat..... dubbelpost
eigenlijk schandalig toch, dat anderen gratis werk verrichten voor microsoft ?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True