Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 72 reacties
Bron: Winnetmag.com

Er is opnieuw van de normale maandelijkse updatecyclus van Windows afgeweken, zo laat Winnetmag weten. Er zijn gisteren vijf kritieke updates voor Windows uitgegeven, die een aantal kwetsbaarheden in het OS moeten dichten. De eerste twee updates die in het artikel genoemd worden, moeten problemen met de taakplanner en HTML Help oplossen. Door gaten in beide Windows-componenten kan er op afstand kwaadaardige code gedraaid worden. Een derde update heeft met Windows NT 4.0 SP6a te maken, in dit geval met de IIS-component (Internet Information Services). Ook in dit geval zou een geslaagde exploit van de bug ervoor zorgen dat een kwaadwillende persoon het systeem kan overnemen.

Microsoft logo (bijgeknipt)De vierde update die genoemd wordt, heeft betrekking op Windows NT 4.0, 2000, XP en 2003. De bug waar de update voor is, bestaat uit het gegeven dat iemand kan inloggen als Administrator door de Windows-shell te gebruiken, waardoor de machine op afstand over te nemen is. De laatste update die genoemd wordt, is voor Internet Explorer en slaat op een probleem dat eerder nog niet opgelost was in de browser. Door het probleem met het Download.Ject-virus dat met de vorige update niet opgelost werd, adviseerden beveiligingsonderzoekers om Internet Explorer niet te gebruiken..

Moderatie-faq Wijzig weergave

Reacties (72)

Dit is maar goed ook, want de taakmanager was een behoorlijke bug! Het scheen erg makkelijk een buffer overflow te genereren via deze bug.

-edit

hier voor meer informatie

hier ook.

Wat is nou het leuke, het is dus al 7 dagen bekend. En een week later komt de patch. Ik vind dit erg netjes van microsoft om hier zo snel een goede oplossing op te vinden!
Ivm die buffer-overflows: (Bijna) elk nieuw virus bestaat omwille van zo'n nieuwe buffer-overflow, en elke keer weer moet het betreffende programma of service gepatched worden om in het hypothetische geval van die bepaalde overflow niet standaard te reageren en zich open te zetten voor willekeurige code, dus ook code van buitenaf...

Wat ik mij nu afvraag: kan MS niet gewoon het standaard-windows gedrag aanpassen in geval van een buffer-overflow? Dan moeten niet alle vulnerabilities apart aangepakt worden, me dunkt...

PS: ik ben geen programmeur, dus over de haalbaarheid hiervan heb ik helemaal geen idee...
Ja, dat kan. Mits de CPU een handje helpt door aan te kunnen geven dat bepaalde delen van het geheugen geen programma maar dat is. Deze mogelijkheid zit in de Athlon-64 en Opteron processoren en komt bij Intel beschikbaar vanaf de LGA775-pin Pentium-4 met E-0 stepping. Als naampje heeft het NX-bit of XD of Enhanced Virus Protection.

In SP2 schijnt Microsoft dit ook te gaan ondersteunen. Zie dit artikel
Eigenlijk moet het antwoord zijn: "Nee dat kan niet, dat moet via de hardware gebeuren". En dat kan dus met de Athlon-64.
Of je doet je kas even open en trekt je buffer ergoonweg uit. Dat is toch dat zwarte ding met die 16 pootjes ? toch ? |:(
Zo eenvoudig is dat niet. Helaas is het zo dat heel veel software in C is geschreven, en C is niet bepaald de beste taal om dit soort dingen in te detecteren. Waar andere talen (Pascal, .NET) een exceptie genereren bij het schrijven buiten een buffer/array schrijft C gewoon fijn verder...

Microsoft heeft al uitgebreide tools om drivers door te lichten, misschien is het ook mogelijk om dit soort dingen door tools na te laten lopen. Ik ken bedrijven die hier heel stringente regels voor hebben en waar de tooling een strcpy() of memcpy() VERBIED en vervangen zijn door functies die volledige boundary-controle doen. Sindsdien zijn hun applicaties met sprongen stabieler geworden...

En verder: daar je programma ook gewoon zelf op de stack moet kunnen schrijven, heeft hardware beveiliging geen enkel nut om te voorkomen dat het return adres (wat door deze buffer overflow mogelijk wordt) te wijzigen. Wat de hardware (het NX bit dus) WEL kan voorkomen is dat in een data gebied code wordt gezet die vervolgens geexecuteerd wordt: dit is wat het No eXecute bit doet: code in data gebied kan NIET uitgevoerd worden...
Het klopt dat C gewoon buiten array's e.d. kan schijven. Daarom is dit waarschijnlijk een zeer snelle taal. Waarschijnlijk zijn ook veel van de hedendaagse talen geschreven in C.

Maar wat betreft bufferoverflow's e.d. moet MS maar dat artikel lezen wat zij zelf hebben geschreven over hoe programeurs moeten testen ;)
Daar staat gewoon in, dat elke bewerking op een buffer eerst getest moet worden of het mag.

Dat is natuurlijk wel tijdconsumerend...
Het standaard Windows gedrag m.b.t. buffer overflows is niet zomaar aan te passen. Je moet namelijk weten welk gedeelte wel beschreven mag worden en welk gedeelte niet. Dat is nogal lastig en indien mogelijk zou het zeer veel performance kosten.

De meeste code in Windows is geschreven in C/C++ en de moderne compilers die dit in uitvoerbare code om kan zetten kunnen deze checks wel degelijk uitvoeren. Microsoft gebruikt natuurlijk zijn eigen compiler en die kan deze truc ook. Het kost echter wat performance, maar de standaard buffer overruns worden gedetecteerd en het programma wordt afgesloten. Ook niet fijn als je webserver afsterft, maar beter dan dat viruscode uitgevoerd wordt.

Waarschijnlijk is de performance impact dermate groot dat MS dit niet wil gebruiken voor de servers (dan zouden ze het minder gaan doen in de benchmarks).

Meer informatie hierover is te vinden bij Microsoft onder: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/vsdeb ug/html/vchowRuntimeChecksAPI.asp
NT 4.0 wordt uitgerangeerd en de support ervoor stopgezet, en toch wordt er nog zo'n grote bug gevonden (zie update 4) die in alle volgende versies is geslopen. Ik draai hier 2000, XP en 2003 op verschillende machines, maar dat ze allemaal op dezelfde simpele manier over te nemen zijn, baart me soms wel zorgen. Er staan wel een hardware-matige firewall tussen en een proxy, geen overbodige luxe zo blijkt
NT 4.0 wordt uitgerangeerd en de support ervoor stopgezet, en toch wordt er nog zo'n grote bug gevonden (zie update 4) die in alle volgende versies is geslopen.
Taskmanager maakt deel uit van de (nt)-shell (explorer) welke het zelfde is op alle NT-based operating systems.
Niet zo vreemd dat in 2000, XP en 2003 ook die fout zit dus :)
maar is het dan niet slordig vd programmeurs dat ze klakkeloos voorafgaande code overnemen?
het is al langer bekend dat er fouten in oude code zit.. zou je dan niet onderhand eens als je code overneemt deze code eens goed doornemen om te zien of er niet fouten in zitten. niet alleen dat de oude code fouten bevat maar in combinatie met nieuwe programma's/code ook nog eens voor problemen kan zorgen.
Reactie op n4m3l355

Het is alleen maar goed van die programmeurs dat ze "klakkeloos bestaande code overnemen". Het gaat er nou juist om dat als delen code zich bewezen hebben door al 8 jaar in de vorm van Windows NT4 te draaien, dat je dat wilt hergebruiken om bugs te voorkomen die zich in nieuw geschreven software gaan voordoen.

Elke keer als een bug in WinNT t/m Win2003 zit wordt bevestigd dat ze bij Microsoft ook weten wat code hergebruik is. Gelukkig.
Reactie op n4m3l355
Als ze elke Windows from scratch zouden schrijven zou je tien jaar op een nieuwe versie mogen wachten, kostte een nieuwe versie 15000 euro en zat ie NOG STEEDS vol bugs die tegen het einde van de levenscycls pas opgelost waren.

Ken je dat grapj e over de auto industrie die de IT sector nadoet, met vastlopende motoren bij bochten naar links, repareren door raampjes te openen en te sluiten, enzovoorts? Met jouw idee doen we het andersom.
[offtopic]
[quote]

Ken je dat grapj e over de auto industrie die de IT sector nadoet, met vastlopende motoren bij bochten naar links, repareren door raampjes te openen en te sluiten, enzovoorts?

[/quote]

Nee, vertel eens :P :+ ;)
Ik weet niet hoe jij draait, maar thuis zit ik achter een router met een firewall. Dit is ontstaan door de 'situatie' (meer dan 1 computer). Echter is er een mooie bijkomstigeid en wel dat er niets veiliger is dan een hardwarematiger firewall.

Zelfs op mijn werk hebben we voor sommige systemen een apparte router voorgezet alleen al omdat deze als firewall kan worden ingezet.

Gewoon een router met ingebouwde firewall inzetten en je enigste zwakke punt is grotendeels de inkomende mail....
Dat dezelfde bugs in alle versies van het OS zitten geeft aan dat ze XP helemaal niet geheel is herschreven, en dat bij Microsoft de kern van het os beangstigend is vastgeroest.
gek dat ik de updates nog niet tegenkom in windowsupdate V5 (gratis bij sp2 rc2)

gek dat ze het niet synchroom updaten.

zal er een rc3 uitkomen met ook deze updates erin verwerkt?
Een van de updates heb ik wel via 5 gekregen de andere echter niet.

Misschien zit een deel van de bugfixes al in sp2
Ja.. SP2 verandert veel aan je systeem. Het kan dus zijn dat niet alle updates relevant zijn voor SP2 gebruikers.

Ik draai ook beta voor de V5 versie van windows update en ik kreeg hier op een SP1 machine een melding voor 4 update's dus het zou kunnen kloppen.
zal er een rc3 uitkomen met ook deze updates erin verwerkt?
Er wordt momenteel nergens gesproken over een RC3 maar nu Sp2 (waarschijnlijk) uitgesteld wordt is dit ook mogelijk.

Het zijn echter afzondelijke programma's....
gewoon even de v5 in het URL vervangen door v4 en je kan het wel downloaden.
misschien met je nog een deel van het achterste stuk weg halen maar verder moet het zo werken.
Het maakt niet uit of je probeerd om op de v4 of v5 update site te komen.

Als je de software voor de v5 hebt geinstalleerd ga je altijd naar de v5 site. Ook al tik je heel de v4 URL over dan ga je toch naar de v5 site.
Ik denk dat ze die updates automatisch verwerken in de RTM en die is ook alleen maar vanaf RC1, RC2, SP1 te updaten en dus niet andere beta builds. Er is trouwens geen RC3.
http://www.microsoft.com/technet/security/bulletin/notify.mspx
hier kan je registreren zodat MS je mailed zodra er updates zijn, scheelt tijd, is alleen met mailen een dag laat, met laat bedoel ik in de middag download ik het van hun server maar in de avond krijg ik pas hun mail over de updates, maar dat zal wel aan de tijdzones zitten. MS = Redmond USA


tips om je netwerk safer te maken

http://www.microsoft.com/technet/security/secnews/default.mspx
Toch opvallend dat het feit dat je van de meeste van deze bugs ALLEEN last hebt als bepaalde voogaande fixes en/of SP's had geinstalleerd, maar dat dat nauwelijks aandacht krijgt.

Paar andere kritieke bugs de laatste maanden was het hetzelfde geval. Geeft toch aan dat er iets fundamenteel mis is met de "je moet zorgen dat je altijd up-to-date bent anders is het je eigen schuld" filosofie. Het is te gek voor woorden als je in sommige gevallen veiliger bent als je NIET geupdate had. Het vertrouwen dat er in de nieuwe fixes niet weer nieuwe bugs zitten is dan weg.
Het grootste probleem van IE zijn zones en activex controls.

Met de activex controls maak je het veel te gemakkelijk om software te installeren... men komt op een pagina waar staat: please press OK on the following pop-up to continue

Hele volksstammen drukken dan op OK en vervolgens begint de ellende. Je hebt dan bijvoorbeeld zo'n leuke "cool web search homepage addon" geinstalleerd oid.

De MS features/sales afdeling heeft zich gigantisch verslikt in het activex concept door er vanuit te gaan dat mensen zelf wel kunnen uitmaken of ze iets willen installeren of niet...

MS moet ActiveX zo snel mogelijk uit IE slopen want het hele concept deugt niet. Helaas kan je dat niet van de ene op de andere dag doen omdat ze dan ladingen ontwikkelaars over zich heenkrijgen die er zwaar in geinvesteerd hebben.


En ja... ik zet mijn ouders voorlopig ook maar op Firefox totdat activex verdwenen is... want uitleggen wanneer je wel en wanneer je niet op JA moet drukken is niet te doen.
Jammer dat je bij windows update niet met een knop de internet explorer en outlook updates eruit kunt halen, die zooi gebruik ik toch niet, kwil alleen de windows updates..
Probleem is dat je Internet Explorer wel gebruikt. Of in ieder geval Windows Explorer (tenzij je natuurlijk een andere shell hebt geinstalleerd maar dat lijkt me niet waarschijnlijk), en bij sommige IE patches staat vermeld dat je ze ook moet installeren als IE niet je default browser is, omdat anders je systeem nog naar de \[haaien|kloten] zou kunnen gaan.
idd.

maar bovendien: updates die je echt niet wilt, kun je gewoon uitzetten bij de opties in WU.
zoals de nieuwste directX, mediaplayer, windows messenger, etc
Dat zijn niet de critical updates. Critical Updates kan je niet uitzetten, alleen de aanbevolen...
Het wordt natuurlijk ook niet voor niets in de categorie 'Critical updates' geplaatst.

Ontopic:

ik vind het toch een beetje 'apart' dat er eens per week updates komen. (nu wijken ze daar gelukkig wel eens vanaf)
Dat kan wel, maar dan moet je automatische update uitzetten en vervolgens handmatig (via de website van MS) updaten.

Zodoende kun je aan en uitvinken welke update je wel en niet wilt
Als je Windows Update gebruikt, gebruik je ook IE, anders kom je niet op de WU-site. ;)
Zeer nice. Zo te merken neemt Microsoft beveiliging (tegenwoordig) echt serieus zoals ze eerder op persconferenties aangaven. Ik vind het alleen maar een goede zet om een patch te releasen zodra die uitkomt en deze niet pas met de maandelijkse update beschikbaar te maken. De kans dat mensen de bug exploiteren neemt daarmee af :D

Maar om nou Internet Explorer af te raden zoals Winnetmag doet vind ik nogal een bevooroordeelde en lompe opmerking. De kans dat iemand die bug op jou thuiscomputer kan misbruiken is miniem. En de overige browsers zoals FireFox bevatten ook gegarandeerd een aantal fouten B-)
Als er een fout met een auto is, dat bv. de band kan klappen op de snelweg... als die kans toch klein is, wordt toch aangeraden de band bij iedereen te laten vervangen. Jouw stelling is dus een beetje kortzichtig... natuurlijk raad je IE af als er grote gaten in zitten. En ZEKER als je het bedrijfsmatig gebruikt (al ligt het daar weer moeilijker om het hele bedrijf over te laten stappen...).
Dit bewijst voor mij dat het uitsluiten van illegale serie-nummers voor updates, straks met SP2, voor grote problemen kan gaan zorgen.

Als inderdaad zo'n vulnerability wordt uitgebuit en er zijn duizenden (zeer voorzichtig, kunnen er met pech natuurlijk miljoenen zijn) machines 'overgenomen'... maak je borst maar nat.

Dit zijn geen bugfixes die een functionaliteitje toevoegen of een irritatie wegnemen, maar zeer noodzakelijke patches. Ik denk dat Microsoft nog wel eens lelijk in z'n eigen vingers zou kunnen gaan snijden met dit systeem..
Denk het juist niet. Hoeveel geld is het jouw waard dat je gewoon ongestoord kunt internetten zonder elke x weken je PC te moeten herinstalleren of voor 45,- euro per uur te laten repareren?

Dan is de prijs van een officiele windows XP best aardig. Als je dan maar van de ellende af bent.

Zeker als je kinderen in huis hebt die langzaam maar zeker het internet gaan verkennen. Die kun je niet voor alles waarschuwen, die vinden een pagina met allemaal bewegende icoontjes en imoticons hartstikke leuk en willen dat graag op hun PC hebben. Niet wetende dat ze daarmee een hele achterwand uit de PC slopen qua beveiliging.
Het ging me niet om de mensen die niet willen betalen voor hun OS, die moeten zelf weten wat ze doen.

Echter, de gevolgen van miljoenen slecht gepatchte machines zijn niet alleen voor hen, maar voor heel het internet. Hun machines zijn de 'enablers' voor spammers, virusschrijvers etc, waardoor er onnodig verkeer wordt gegenereerd, waar iedereen last van heeft.
Vertragingen, duurdere abo's etc.

Daarom denk ik dat MS als ze het beste voor hebben met zichzelf en de rest van de wereld er goed aan doen om iedereen mee te laten patchen.
volgens mij levert microsoft support voor hun klanten... dat de proletarische gebruikers een probleem gaan vormen omdat ze kwetsbaar zijn vind ik niet het probleem van microsoft. dit is voor de verandering eens een idee van ze waar ik het wel mee eens ben: niet betalen => geen support van ons.
Ligt dit nou aan mij, of mis ik hier een updateje bij. De update die er voor zorgt dat we straks gebruik kunnen maken van het nieuwe "Automatische Update Systeem" (vermoed 'Windows Update Service' en de nieuwe versie 5 van de Windows Update Site).

Zag uhm er toch echt bij staan namelijk :)
dat kan al, gewoon naar http://v5.windowsupdate.microsoft.com gaan en dan installeert i em
Dit is wel een betasite en garandeerd dus niks. Het kan dus best zijn dat je een update mist..

De update die jij zag waren waarschijnlijk de background transfer update's. Deze hebben idd ook te maken met de nieuwe V5 update site maar worden ook gebruikt bij V4. De nieuwe background transfer onderdelen kunnen bijvoorbeeld ook downloaden resumen en zijn "slimmer" met wat ze downloaden.
Ik draai ook op v5 van windowsupdate op één van mijn systemen en alle 5 updates werden gewoon getoont, echter één update, die op v4 rond de 340KB of zo was, terwijl die op v5 op 91.6MB stond.

De installatie van de v5 versie ging echter de mis in, dus ik denk dat MS deze nu inmiddels verwijdert heeft.

Ik heb voor de zekerheid de v4 versie van de patch geinstalleerd.

De history functie van windowsupdate geeft niet al te veel details, dus kon niet gemakkelijk zijn welke update dit ook al weer was.
Als je Die ene update instaleert van de WindowsUpdatesite versie 5, komt na het herstarten van de computer, WindowsUpdate, mits je hem aan hebt staan, automatisch met de rest van de updates :)

Zo was het bij mij dan wel :)
Hier waren het zelfs 6 critical updates.

KB823353: Cumulatieve beveiligingsupdate voor Outlook Express 6 SP1
KB840315: Beveiligingsupdate voor Windows 2000
KB842526: Beveiligingsupdate voor Windows 2000
KB841873: Beveiligingsupdate voor Windows 2000
KB841872: Beveiligingsupdate voor Windows 2000
KB839645: Beveiligingsupdate voor Windows 2000

En toen ik gisteren nog keek of mijn systeem nog up tot date was, stonden die er nog niet.
Best zorgelijk eigenlijk dat er nog steeds zoveel lekken in zitten.

Ik had er eigenlijk nog niet eens bij stilgestaan hoe belachelijk het wel niet is dat spyware zomaar je startpagina kan veranderen een toolbars kan installeren.
Die Spyware kan dat net zo makkelijk als de rechten van het account waaronder je bent ingelogd... ;)
Als limited user kan je nog altijd wel je startpagina veranderen, dat is per profiel. Balken voor IE weet ik niet, ik weet wel dat bij Mozilla alle extensions per profiel kunnen.

Begrijp me niet verkeerd, ik vind het ziek dat mensen standaard als admin inloggen, maar deze dingen kan je sowieso.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True