Recente Windows-patch veroorzaakt problemen

Een patch die de kwetsbaarheid van de MSDTC-service van Windows 2000, XP en sommige versies van Windows Server 2003 moest aanpakken, veroorzaakt nu problemen. De patch, die dinsdag werd uitgebracht, kan volgens Microsoft de gebruiker buitensluiten. Ook kan de patch er onder meer de oorzaak van zijn dat de Windows Firewall niet meer wil starten, de map met netwerkverbindingen geleegd wordt en programma's niet meer geïnstalleerd kunnen worden of niet meer willen opstarten.

Patch/pleister De problemen zouden alleen ontstaan als de rechten op de Windows-directory zijn aangepast. Als de rechten voor de Windows-map en de COM+ catalog worden teruggezet naar de standaard-instellingen moeten de problemen verholpen zijn. Microsoft legt op zijn website precies uit hoe dat moet gebeuren. Overigens doet de patch ook bij die gebruikers die nu problemen ondervinden, wel zijn werk: computers die gepatched zijn, zijn beschermd tegen aanvallen van hackers die gebruik zouden willen maken van eerder genoemde kwestbaarheid.

Op internet is inmiddels ook een verzameling updates te vinden die de geuzennaam Service Pack 3 meegekregen heeft. De samensteller Ethan Allen laat weten dat hij de informatie over de updates gevonden heeft op de website van Microsoft. De softwaregigant waarschuwt consumenten voor SP3. De patches zijn niet voor het grote publiek getest en het installeren ervan zou computers instabiel maken. Installatie van het pakket wordt derhalve afgeraden. Bovendien is een officieel service pack altijd meer dan een verzameling updates en voegt het pakket vaak ook nieuwe functionaliteit toe. Het officiële Service Pack 3 voor Windows XP wordt niet voor de lancering van Windows Vista verwacht.

Lees meer

Reacties (68)

Teigetje!
18 oktober 2005 09:24

Het is dus nog niet zo slecht om altijd een paar dagen te wachten met het installeren patches en updates. Simpel en effectieve regel tegen dit soort ongein.

+2Luno
@Teigetje! • 18 oktober 2005 09:37

Tja en als iedereen dit doet, merkt niemand de bug op.

Eerlijk gezegd is het gewoon wachten totdat iemand dat patch systeem een keer hacked en de halve wereld z'n systeem update met troep.

RetepV
@Teigetje! • 18 oktober 2005 10:17

Of je zou de mensen kunnen ondersteunen die wel de patch direkt installeren. Tenslotte doen die het vuile werk voor jou. Bah, egoistische instelling.

+1BillGaetes
@Teigetje! • 18 oktober 2005 21:04

Ik wacht standaard twee weken, als alles dan bij de rest nog werkt instaleer ik de updates ook.

Nog nooit problemen mee gehad.

c00kie
@Teigetje! • 18 oktober 2005 11:25

ik patch meestal vrij direct, vooral om te zien wat de impact is... Als ik miserie heb, dan weet ik zeker dat het overgrote deel van mijn klanten ook wel eens miserie zou kunnen hebben, en tegen dat ze dan updaten kan ik meestal zeggen of het patch gerelateerd is of niet.

Nu moet ik wel zeggen dat ik door deze patch geen problemen heb ondervonden, en ik heb hem al op een pc of 15 uitgevoerd...

De problemen zouden alleen ontstaan als de rechten op de Windows-directory zijn aangepast

Dat was dus op geen enkele pc het geval, want welke thuisgebruiker gaat dit nu aanpassen ???

edit:
typo's

TrailBlazer
18 oktober 2005 09:29

Het is gewoon nooit verstandig om een patch direct op een produktie machine te draaien. Ook al heeft de leverancier het getest. Jij kan altijd een situatie hebben dat er toch nog onverwachte problemen ontstaan. Tuurlijk is patchen verstandig als er een lek mee gefixed wordt. Je moet enkel altijd relaistisch blijven wat is de impact van dit lek. Patchen om het patchen is IMHO de grootst mogelijke onzin die er is.

TD-er

@TrailBlazer • 18 oktober 2005 09:34

Het probleem in deze is echter wel dat de gemiddelde (en ook bovengemiddelde) gebruiker niet kan onderscheiden wat een patch voor een lek is en wat een patch is voor iets wat ze nooit gebruiken.

+2aaiding
@TD-er • 18 oktober 2005 09:38

Inderdaad... want moet ik nu écht gaan wikken en wegen om onderstaande te patchen?

Er is een beveiligingsprobleem vastgesteld in Server Message Block waardoor een kwaadwillende gebruiker uw Windows-systeem kan beschadigen en beheer over het systeem kan krijgen. Installeer deze update van Microsoft om uw computer hiertegen te beveiligen. Als u deze update hebt geïnstalleerd, moet u de computer wellicht opnieuw opstarten.

+1Gepetto
@TD-er • 18 oktober 2005 10:19

Dat onderscheid is heel makkelijk te maken hoor, als je naar de updatesite van microsoft gaat, staan er altijd 3 soorten updates tw:

1. Essentiele updates (dit zijn de beveiligingspatches)
2. Optionele software updates
3. Optionele hardware updates

Met auto-update worden alleen de updates uit de eerst categorie gedownload.

Mr. B.
@Gepetto • 18 oktober 2005 18:13

1. Essentiele updates (dit zijn de beveiligingspatches)

Kleine toevoeging: dat zijn o.a. beveiligingspatches. Zaken zoals die anti-spyware tool van MS ("Windows Malicious Software Removal Tool") worden ook onder de categorie "high priority" geschaard, waar ze helemaal niet thuis horen. Ik gebruik Ad-Aware en SpyBot S&D, ik wil die tool van MS helemaal niet. Dat ding hoort gewoon bij "optional software" te staan.

Als het dan al per sé bij "high priority" moet staan, zorg dan dat het daar alleen terecht komt voor Win98 of XP Home users. Die versies worden immers vaker gebruikt door de leek die last heeft van spyware. Gebruikers van Win2000/XP Pro kunnen over het algemeen zelf wel bepalen of ze die tool nodig hebben of niet.

+198889
@TrailBlazer • 18 oktober 2005 11:21

Wanneer moet je dan wel patchen ?

Als het te laat is ?

MS slaagt er nog steeds niet in haar patches optimaal te testen IMHO. 100% zekerheid kan je nooit hebben wegens 1001 exotische configuraties, maar als patches problemen geven dan zijn het vaak heel belachelijke zaken...

alt-92
@98889 • 18 oktober 2005 18:35

Inderdaad.

Zoals endusers die zelfstandig rechten op systeemfolders gaan lopen veranderen.

Oh. wacht.
Eh.

RetepV
@TrailBlazer • 18 oktober 2005 10:20

Het is gewoon nooit verstandig om een patch direct op een produktie machine te draaien.

Dus in het MKB moeten ze maar een vaste systeembeheerder aanschaffen om het patch-proces in goede banen te leiden, zoals dat in grote bedrijven gebeurt?

Dat zou een soort concurrentievervalsing zijn. Grote bedrijven zouden dan een concurrentievoordeel hebben boven midden- en kleinbedrijven, omdat de kosten van automatisering relatief gezien veel kleiner zijn. Dat werkt de innovatie tegen, starters hebben het geld niet om hun automatisering op orde te hebben. Lijkt me dus iets waar Economische Zaken achteraan zou moeten gaan.

0Olaf van der Spek
@RetepV • 18 oktober 2005 10:37

Dat zou een soort concurrentievervalsing zijn.

Nog nooit van schaalvoordelen gehoord?

0Dreamvoid

Software

@RetepV • 18 oktober 2005 10:43

Dat is inherent aan duizenden dingen - personeelsadministratie, belastingen, productie, leningen...schaalvergroting bevoordeelt altijd grotere bedrijven (als dat niet zo was had elk groot bedrijf zichzelf allang opgesplitst). De keerzijde is er ook: inflexibiliteit.

woekele
18 oktober 2005 09:07

Kan er volkomen los van staan en toeval zijn:

Ik kreeg ineens problemen met dismanagement en de defragmentatie-tool enzo. Die kon ik niet meer in, had geen rechten meer. Had vroeger ooit eens veel rechten veranderd in secpol, zodat alleen administrator dingen mocht. En de problemen begonnen echt na de laatste patches.

+1Joshua
18 oktober 2005 09:51

Daarom leer ik op school automatische updates uit te hebben, en met updates paar weken te wachten en eerst informeren op internet of er geen klachten over zijn (met namen kijken hier op tweakers.net enzo)

+3Baronekke
@Joshua • 18 oktober 2005 10:03

Ik weet niet wat ik zorgwekkender vind; dat je op school moet leren om automatische updates uit te zetten (ik neem aan dat het dan een vorm van systeembeheer ict of iets dergelijks is) of dat er gerefereerd wordt aan sites als Tweakers.net in dit geval.

Wat ik bedoel is;
- Als je op een ICT-opleiding zit mag je toch wel verwachten dat je handig bent met computers en zelf wel weet wat voor jou het beste is, Auto-update aan of uit.
(Dat was 'vroegah' tenminste wel zo)
- Als dit op school aangeleerd wordt, betekent het imho dat ze mensen die (no flame intended) niet zo 'handig' zijn dat ze voor zichzelf realiseren hoe ze in hun situatie Windows Update kunnen gebruiken, adviseren om het uit te zetten en daardoor de hele functie weten te ondermijnen
- Als het al zover zou zijn dat het niet eens een ICT-opleiding betreft, dan lijkt het me in het geheel onverstandig om dit te propaganderen, aangezien het meerendeel van de gebruikers wel WinUpdate uitzet, maar niet de moeite neemt om na verloop van tijd even te kijken hoe het nou eigenlijk met die patch voor KB34278743 is verlopen...

Ik ben dus van mening dat het sowieso niet goed kan zijn dat er op school aangeleerd wordt om automatische updates uit te zetten. Op professioneel vlak zou er immers geen stimulatie hoeven te zijn, en op amateuristisch niveau wordt je er alleen maar slechter van.

//edit//
Geheel eens dus met Telenut's comment op dit subject. Leken zullen zonder Auto-update gewoon in weinig gevallen op tijd updaten.

+1telenut
@Joshua • 18 oktober 2005 09:58

Bij leken ga ik toch altijd automatische updates aan zetten. Anders komen ze er nooit op bij die mensen. En die mensen klooien ook niet met hun systeem (met uitzondering van de spyware die ze er op los laten) waardoor er geen uitzonderlijke situaties ontstaan.
Als bij mij iets misgaat is het ook zo geen ramp, binnen de 4 uur heb ik mn systeem terug perfect in orde met alle software en instellingen zoals voorheen (en dit zonder een image te gebruiken)

+1Olaf van der Spek
@Joshua • 18 oktober 2005 10:38

Daarom leer ik op school automatische updates uit te hebben,

Dan zou ik de leraar toch eens adviseren automatische updates op download-only te zetten in plaats van helemaal uit.

0Dreamvoid

Software

@Joshua • 18 oktober 2005 14:13

Dat wordt dan op school dan hopelijk wel verduidelijkt met:

- als systeembeheerder zet je niet alle PC's op automatische update, en test je eerst voor compatibiliteits issues voordat je het automatisch over het hele netwerk uitrolt.
- als prive-gebruiker zet je automatische update wel aan (als er iets niet goed werkt kan je 1 PC nl heel eenvoudig terugrollen naar de situatie voor de patch).

+1Infected
18 oktober 2005 10:04

Diepziek word ik van die zogenaamde Microsoft security updates: Zelfs als je custom installation doet van de updates, krijg je niet te zien WAT er veranderd is (ja.. er staat zo'n cryptisch nummer achter, maar dat moet je dan weer opzoeken

).

Door deze grap van Microsoft (en okee, mijn misplaatste vertrouwen) werkt opeens m'n samba link niet meer. Fijn hoor!

Waarom zijn die fixes altijd zo ongedocumenteerd? Zoiets ben ik niet gewend van Microsoft, eerlijk gezegd. Die weten hun applicaties meestal wel aan te kleden met allerlei informatie..

Edit: Flamebait... right.

SunnieNL

@Infected • 18 oktober 2005 12:49

Samba maakt dus gebruik van een lek in windows om zijn links te leggen... Ook niet echt handig...

Meestal krijgt andere software problemen na een security update omdat ze het beveiligingslek misbruiken om zaken af te handelen..

Dat is eveneens het geval met software die er vanuit gaat dat de gebruiker admin is..

programmeurs zouden eens af moeten leren die aannames te doen. Je kunt er beter vanuit gaan dat het lek gedicht is en via een andere weg de link te leggen of er vanuit gaan dat de gebruiker sowieso weinig rechten heeft en je data netjes op de plekken wegschrijven waar het weggeschreven hoort te worden..

+1Infected
@SunnieNL • 18 oktober 2005 17:05

Samba maakt gebruik van een lek? Ik dacht altijd dat Samba (door reverse engineering) het N/SMB protocol simuleert.

Dat Samba niet meer werkt heeft waarschijnlijk te maken met een wijziging in het protocol. Als het een gestandaardiseerd en _open_ protocol was, dan hadden we minder problemen, verwacht ik (zoals HTML

)

Ik weet dat Samba simuleert en dat door een protocol update iets kapot kan gaan. Daarom juist had ik graag van te voren willen weten of het veranderd is, om zodoende die ene patch niet te installeren.

Nogmaals: Microsoft vind ik erg goed met het voorschotelen van info, maar in het update dialoog mis ik toch gewoon deze belangrijke info.

Hagar
@SunnieNL • 19 oktober 2005 05:54

Samba maakt helemaal geen gebruik van een lek...

Voor de rest van de wereld is het gewoon een computer met windows netwerk shares. Het maakt geen bal uit welke software die shares presenteert.

En het lijkt me stug dat het protocol is aangepast. Dat zou namelijk betekenen dat naast samba ook alle windows versies die niet gepatched zijn niet meer werken.

Hoogstwaarschijnlijk is het gewoon een configuratiefout van samba of windows.

0Olaf van der Spek
@Infected • 18 oktober 2005 10:39

krijg je niet te zien WAT er veranderd is

Daar hebben ze Linux voor toch?

+1Jazco2nd
18 oktober 2005 11:26

RyanVM's Post-SP2 Update Pack 09/05 NL

+1yesplease
@Jazco2nd • 18 oktober 2005 12:39

Op de RyanVM kan ik niet vinden wat de update packs precies doen. Kan best aan mij liggen, maar een duidelijke beschrijving is toch essentieel.

+2Meneer Dik
@yesplease • 18 oktober 2005 13:33

Dan kijk je toch even in de source...

Sorry, kon het niet laten..

TD-er

18 oktober 2005 09:01

Nog een probleem wat ik ervaren heb, is dat je bij het mappen van Windows-shares je niet kunt inloggen.
Ik heb thuis een aantal shares die voor iedereen leesbaar zijn en voor 1 persoon schrijfbaar, maar die kan zich dus niet met naam en passwd aanmelden.

+1BlooDbeak
@TD-er • 18 oktober 2005 14:14

Ik heb hetzelfde probleem, maar als ik via een andere netwerkverbindig toegang zoek heb ik geen probleem.
* 786562 BlooDbeak

+1WinL
@TD-er • 18 oktober 2005 18:47

Beveiligingsbeleid--> klassieke aanmelding (tov gast-account aanmelding).

0zalazar
18 oktober 2005 20:32

Het volgende kan nagekeken worden indien je er niet uitkomt met de MS site:
HKLM\Software\Microsoft\MSDTC\AllowOnlySecureRpcCalls
van 1 naar 0 te zetten (false)
en
HKLM\Software\Microsoft\MSDTC\TurnOffRpcSecurity
van 0 naar 1 te zetten (true).

%windir%\Registration Everyone =>Traverse folder
%windir%\Registration\*.clb Authenticated users => Read

Local computer policy (gpedit.msc)
Bypass traverse checking => zorg dat Authenticated users hierbij staat.

TD-er

@zalazar • 18 oktober 2005 23:09

Ik zie mezelf toch echt wel als bovengemiddelde computergebruiker, maar ik kom niet uit de aanwijzingen die je geeft.

Regedit, dat lukt uiteraard wel. (staat er niet bij, dat je regedit bedoelde, maar HKLM = HKEY_LOCAL_MACHINE, dat snapte ik wel)

%windir%\... dat meot wel in de verkenner zijn en in mijn geval C:\Windows.
Buiten de dir C:\WINDOWS\Registration staat er verder niets wat slaat op "Everyone" en Traverse folder. Waar moet ik dat zoeken?
Die clb-files (3 stuks bij mij).. wat moet je daar mee?

Bij gpedit.msc (verkregen via start=> run) kan ik de Local Computer Policy wel vinden, maar waar moet je authenticated users vinden?

Best aardig van je dat je die dingen hier post (en op de MS-site staat min of meer hetzelfde) maar wat moet de gemiddelde Windows gebruiker hiermee?
Laat MS aub een patch uitbrengen die je snel kunt runnen.
Dan kan ik ook weer mijn Samba-shares gebruiken.
Ik dacht al dat ik gek werd, gisteren.

GigaDave56
@TD-er • 19 oktober 2005 08:27

%windir%\... dat meot wel in de verkenner zijn en in mijn geval C:\Windows.

Nope, dat is volgens mij een entry in een .ini file. %windir% verwijst idd wel naar je windows installatie directory (systeem variabele).
Welk ini file weet ik niet (ben w98 user, dus gok ik op win.ini, control.ini of system.ini).

0Hoox
@TD-er • 19 oktober 2005 16:18

Inderdaad, wat de oplossing ik loop tegen hetzelfde probleem aan (mijn pc wil geen programma's meer deinstalleren).
http://support.microsoft.com/kb/909444 Hier staat toch echt:

"In the %windir%/registration folder, make sure that the Everyone group has READ permissions."

In die map tref ik alleen maar wat .clb bestanden aan waar ik verder niets mee kan. Ik doe dus iets verkeerd. Is het mogelijk dat er iets in het register moet gebeuren? Met gpedit.msc kan ik ook niet uit de voeten. Ik klooi wel ff verder.

Edit:

Hmm, het blijkt behoorlijk makkelijk te zijn. De door microsoft aangegeven oplossing gaat alleen op voor engelse windows versies (en oa daarom gaat deze jongen de volgende keer fijn een Engelse versie van XP installeren). De oplossing zit hem in cacls.exe. Op de microsoft site staat het natuurlijk in het engels en gaat het over de engelse versie van windows. Die map (%windir%/registration) hoef je helemaal niet naartoe met de verkenner, wel moeten die .clb bestanden die daar staan aangepast worden. We openen de command prompt (hoe heet ie officieel eigenlijk?)

"cacls.exe %windir%\registration\*.clbs" laat ons zien wat de huidige instellingen zijn. In de Nederlandse windows versie is "everyone" vervangen door "iedereen".

De door microsoft aangegeven oplossing...
echo y| cacls %windir%\registration /G everyone:R system:F administrators:F
echo y| cacls %windir%\registration\*.clb /G everyone:R system:F administrators:F

...passen we aan naar hetvolgende ("echo y|" betekend volgens mij niet meer dan dat er bij een y/n vraag constant yes wordt, dit is dus ook aangepast naar "echo j|"):

echo j| cacls %windir%\registration /G iedereen:R system:F administrators:F
echo j| cacls %windir%\registration\*.clb /G iedereen:R system:F administrators:F

Die twee voer je uit vanuit de command prompt en klaar is kees. Succes!

Edit2:

Hmm, nog steeds doet de installer raar (bij deinstallatie van programma's). Dit kan kloppen: punt 4 en punt 5 van de microsoftoplossing moet ik nog uitvoeren. Er moet iets aangevinkt worden, waardan? Kan iemand me een concrete suggestie geven?

+1ebx
18 oktober 2005 13:56

Leuk, krijg je de keuze van MS

een kwetsbaar systeem of een niet werkend systeem, gaan ze weer op voorruit hoor.

Zo een zaken mogen toch echt niet kunnen,er is echt wel wat verkeerd met de basis arhitectuur van WIndows .. en zeggen dat al dat geld daar naartoe gaat.

Ja srry jongens, noem het maar weer een MS flame, maar ik snap echt niet dat er zoveel knoeiwerk komt van 's werelds groottste software bedrijf, waar zowat de beste ICT mensen van de wereld zitten. Zoiets is toch ondenkbaar ?

0mm_the_matrix
@ebx • 18 oktober 2005 18:37

ahhh eindelijk een anti-microsoft gast die toegeeft dat bij microsoft goede programeurs rondlopen.... de rest wat hij schijft vind ik natuurlijk niet relevant

kon het niet laten

+1litemotiv
18 oktober 2005 09:15

ik kon xp opnieuw installeren na de (officiele) patches van dinsdag, windows wilde niet meer opstarten

0kcir0
@litemotiv • 18 oktober 2005 09:56

dan doe je blijkbaar toch iets verkeerd. ik heb sp2 al inmiddels op meer dan 50 computers geinstalleerd en nog nooit een probleem er mee gehad.

+1litemotiv
@kcir0 • 18 oktober 2005 10:09

lees eerst het artikel even netjes door, dit heeft helemaal *niks* met sp2 te maken.

RetepV
@kcir0 • 18 oktober 2005 10:15

Ik heb hier een computer Met Windows XP die in een oneindige reboot-loop terecht komt wanneer ik een bepaalde XP patch installeer (van na SP2). Die heb ik twee keer moeten herinstalleren. De eerste keer omdat ik nog niet wist dat die patch de computer onbruikbaar zou maken. De tweede keer omdat ik nog moest ontdekken dat auto-update automatisch aan staat, en hij 's nachts de patch opnieuw had gedownload.

Maar ik ben geen Premium Support gebruiker, dus ergens aan de bel trekken kan ik niet. Ja, ik kan dat wel, maar dan duurt het een week of 6 voordat ik antwoord krijg (als ik het al krijg).

Moraal van het verhaal: Microsoft vind zichzelf dan wel erg goed dat ze telkens patches uitbrengen, maar zo positief als ze het brengen is het helemaal niet. Ten eerste betekent het gewoon dat er veel bugs in Windows zitten. Ten tweede wil een patch het systeem nog wel eens instabiel maken.

Daar hoor je ze eigenlijk nooit over. En ALS je systeem instabiel wordt, dan moet je wachten op een KB entry.

Ach ja, zonder Microsoft Update was het allemaal nog veel erger geweest. Ik ken één van de projectmanagers die er aan heeft gewerkt. Gezien de onderprestaties van het test-team van Microsoft, ben ik blij dat hij er in ieder geval voor gezorgd heeft dat de auto-update er ueberhaupt IS. En aangezien het nog steeds niet gekraakt is, mag ik wel zeggen dat ze goed werk hebben afgeleverd.

ALS het een keer gekraakt wordt, dan is natuurlijk wel gelijk bijna elke computer in de hele wereld besmet met ellende

0It_was_me
@RetepV • 18 oktober 2005 15:13

ALS het een keer gekraakt wordt, dan is natuurlijk wel gelijk bijna elke computer in de hele wereld besmet met ellende .

Hee, dat is een idee...

1 2 3 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Recente Windows-patch veroorzaakt problemen

Lees meer

Reacties (68)

Sorteer op:

Weergave: