Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 80 reacties
Bron: Security.nl, submitter: Yezz

De vorige week ontdekte fout in Windows' wmf-implementatie blijft onderwerp van gesprek, en het aantal sites dat er misbruik van probeert te maken groeit snel: onder andere dankzij kant-en-klare toolkits om exploits te produceren zijn er al meer dan honderd nare beestjes die het lek proberen te misbruiken. Vandaag werd bekend dat Microsoft de patch voor het probleem op 10 januari zal uitbrengen, precies volgens zijn gebruikelijke maandelijkse cyclus. Het SANS had gebruikers daarom al opgeroepen om intussen de onofficiŽle patch te installeren, maar blijkbaar is de update van Microsoft zelf nu ook al op internet verschenen. Het digitaal ondertekende bestand zou vorige week woensdag gemaakt zijn, wat aantoont dat het bedrijf het gat intern vrijwel direct na de publicatie gedicht heeft. Op grc.com wordt gemeld dat de gelekte patch goed werkt, maar de site durft niet te garanderen dat het ook de uiteindelijke versie is die volgende week via Windows Update wordt verspreid.

Update (19:02): Microsoft heeft verklaard dat de patch een pre-release status heeft en raadt consumenten aan om hem links te laten liggen. Het bestand zou per ongeluk zijn uitgelekt via een beveiligingssite.

Moderatie-faq Wijzig weergave

Reacties (80)

Dit onderstreept nogmaals het probleem dat bij het overgrote deel van de computergebruikers de beveiligingseigenschappen van het besturingssysteem onvoldoende bekend zijn. Uiteraard zijn er ook mensen die deze bewust (bijv. ontwikkelaars) negeren.

Het wordt mijn inzien toch echt wel tijd dat hier meer aandacht aan wordt besteed, aangezien het gebruik van deze eigenschappen heel veel ellende van de afgelopen jaren had kunnen voorkomen. Ook bij deze exploit geldt weer dat het virus/programma hoogstens de rechten van de lokale gebruiker kan verkrijgen. Indien een gebruiker onder een account werkt met guest / user rechten, dan is de schade zeker te overzien. De risico's op __virusbesmettingen/inbraken/spyware/etc__. kunnen nog verder teruggedrongen worden indien, naast het werken onder een account met beperkte rechten, ook gebruik gemaakt wordt van goede antivirus/firewall software.

Ik werk zelf al vanaf Windows NT (daarna Windows 2000 en nu Windows XP, trouwens ook onder Linux) onder een account met user rechten. Vooral in de periode van Windows NT leverde dit regelmatig problemen op, omdat programma's die destijds ontwikkeld werden nog onvoldoende rekening hielden met het security-subsystem. Daar is de afgelopen jaren gelukkig veel verandering in gekomen en dit zal alleen maar meer gaan worden. Als ontwikkelaar ben ik wel genoodzaakt om onder een account te werken met meer rechten. Hiervoor heb ik dan ook een apart computersysteem op een klein afgescheiden duplicaat netwerk staan.

Ik raad mensen echt aan om te werken/internet/e-mail/games/MSN'en/Office/etc. onder een account met beperkte rechten (bijv. gebruiker/user). Het onderhouden van je systeem, bijv. : windows-, antivirus-, firewall-updates dient wel te gebeuren onder een account met beheerder/administrator rechten. En daar moet men het bij houden, dit voorkomt heel veel (en dus niet alle) ellende (verregaande virusbesmettingen, spyware / malware, rootkit installaties, verregaande inbraken(pogingen) ).
Het onderhouden van je systeem, bijv. : windows-, antivirus-, firewall-updates dient wel te gebeuren onder een account met beheerder/administrator rechten.
Misschien een beetje 'n noob-vraagje hoor (ik werk weinig met Windows): heeft Windows een 'su' of 'sudo' equivalent, d.w.z. dat je vanuit de useraccount een taak kan uitvoeren met admin-rechten door het wachtwoord erbij op te geven, zodat je niet heel omslachtig je admin-account hoeft te openen?
Windows heeft inderdaad een mogelijk om, op ongeveer vergelijkbaar als met Linux, een programma/taak onder een ander account te laten uitvoeren. Het installeren van software onder een account met beperkte rechten kan ook op de volgende manier gedaan worden:

1. Druk met de rechtermuisknop (evt. SHIFT ingedrukt houden) op een executable (laten we even uitgaan van setup.exe)
2. Vervolgens verschijnt een contextmenu (popup-menu) waarin de optie 'Uitvoeren als' of 'Run as' verschijnt.
3. Kies voor deze optie en Windows zal een scherm tonen waarin gevraagd wordt om de gebruikersnaam (standaard 'administrator') en wachtwoord van het account waaronder de executable zal gaan draaien.


Daarnaast is er ook een programma vanaf een command-prompt te starten en dat heet: runas.exe .
Dan kunnen Windows gebruikers eigenlijk zonder veel moeite in een beperkte account werken... als je een programma hebt dat echt niet zonder admin-rechten kan maak je er een wrapper voor (.pif, .bat? of is dat van vroegah?) die netjes een wachtwoord-dialoog presenteert...
(wordt wel 'n beetje offtopic dit, meer iets voor GoT)
Addit: daarom maar even gezocht: GoT draadjes met programma 'TqcRunas'. Dank, Primal!
En wat als tijdens de installatie een programma toch nog wat moet doen (registerstuff, iets webschrijven in system32 map, ik zeg zo maar wat) dat eigenlijk onder de gewone rechten niet kan, 'dekt' dat Run As voor die setup.exe DAT ook nog? Ik zie daar eerder snel een probleem en ergernis opkomen, dat je TOCH moetinloggen zodat je hťťl die tijd die rechten daarvoor geeft aan dat programma.
Het lijkt op de Unix-systemen: Als vanuit een proces een ander wordt gestart ( d.m.v. fork() of exec...() ) dan krijgt het nieuwe proces de attributen van de parent mee, dus ook de toegangsrechten.
Inderdaad zou werkt het _standaard_ ook onder Windows. Als ontwikkelaar heb je hier wel invloed op (indien jouw programma bijvoorbeeld een ander programma opstart).
//offtopic

Om even je vraag te beantwoorden: dat kan inderdaad. Veelal gebruik ik het ook op die manier.
Ook bij deze exploit geldt weer dat het virus/programma hoogstens de rechten van de lokale gebruiker kan verkrijgen. Indien een gebruiker onder een account werkt met guest / user rechten, dan is de schade zeker te overzien.
Komkom, zoals jij het nu voorschoteld komt het op mij over dat jij meer bezig bent met puinruimen dan met het voorkomen. Je moet toch zowiezo niet willen dat er ook maar iets op je computer komt?
De risico's op __virusbesmettingen/inbraken/spyware/etc__. kunnen nog verder teruggedrongen worden indien, naast het werken onder een account met beperkte rechten, ook gebruik gemaakt wordt van goede antivirus/firewall software.
Nee, dit is juist de hoofdzaak! Dit is preventie, niet de aanvullende maatregel om schade te beperken! Het met beperkte rechten werken, dat als er toch iets gebeurd, de (laten we het maar even noemen) hacker weinig kan met de verkregen toegang is juist de repressieve maatregel tegen schade. Maar hoofdpunt moet IMHO zijn dat je zowiezo al voorkomt dat die gast binnen komt, dus preventieve maatregelen!

Dit zal ook de reden zijn dat hier minder aandacht aan geschonken wordt, omdat de (thuis)gebruikers al meer dan genoeg doodgegooid worden met preventieve maatregelen. Die hebben het na een virusscanner, spywareblocker en firewall wel gehad en gaan niet nog eens bezig met de derde! (dedectieve maatregelen zitten er nog tussen) lijn van verdediging, zoals data op ee D-schijf, met midner rechten werken of noem er nog maar wat op.
De 'domme' gebruiker heeft echt geen zin om dit alles te leren (begrijpen?) en toe te passen. Daarom is het in mijn ogen ook beter om ze naast vooral! de 1e lijn alleen de 4e lijn te geven, de correctieve maatregelen zoals het back-uppen.

Uit beveiligingsoogpunt geef ik je echt wel gelijk, die derde lijn kan veel vervolgschade (vaak richting anderen - spam) voorkomen, maar uit (thuis)gebruikersoogpunt sta ik hier lijnrecht tegenover.
Ik zou je willen verzoeken mijn post nogmaals goed door te lezen, want het is duidelijk dat je er ůf niets van begrepen hebt ůf verkeerd gelezen hebt.
Komkom, zoals jij het nu voorschoteld komt het op mij over dat jij meer bezig bent met puinruimen dan met het voorkomen.
Ik stel duidelijk dat bij het correct gebruiken van het aanwezige beveiligingssysteem in Windows en in combinatie met een goede firewall + antivirus oplossing er heel veel ellende gewoonweg voorkomen wordt. Een rootkit zal bijvoorbeeld niet geÔnstalleerd kunnen worden in je werkt onder een account met beperkte rechten. Dit is dus wel degelijk preventief werken. Het vergt een andere manier van werken (en mogelijk iets meer inzicht).

Ik zal mezelf even quoten:
Het wordt mijn inzien toch echt wel tijd dat hier meer aandacht aan wordt besteed, aangezien het gebruik van deze eigenschappen heel veel ellende van de afgelopen jaren had kunnen voorkomen. Ook bij deze exploit geldt weer dat het virus/programma hoogstens de rechten van de lokale gebruiker kan verkrijgen. Indien een gebruiker onder een account werkt met guest / user rechten, dan is de schade zeker te overzien. De risico's op __virusbesmettingen/inbraken/spyware/etc__. kunnen nog verder teruggedrongen worden indien, naast het werken onder een account met beperkte rechten, ook gebruik gemaakt wordt van goede antivirus/firewall software.
Vertel mij nou eens waarom ik niet preventief werk en alleen maar bezig ben met "puinruimen". :?
De risico's op __virusbesmettingen/inbraken/spyware/etc__. kunnen nog verder teruggedrongen worden indien, naast het werken onder een account met beperkte rechten, ook gebruik gemaakt wordt van goede antivirus/firewall software.
De zin zoals je hem nu stelt impliceert dat je beperkte rechten boven de antivirus / firewall zet.

Dat ik het anders interpreteerde dan je het bedoelde.... sja.. c'est la vie...
Goede zaak, ik snap uberhaubt niet waarom ze patches achter houden. Het doel van een patch is toch een kritieke lek te dichten? Die is niet voor niets kritiek lijkt me.

"Hallo, met de 112 alarmcentrale, hoe kan ik u helpen?"
"Ja, ik lig op sterven"
"Ok, is het kritiek?"
"Ja"
"Ok, dan komen we er over twee weken aan"

:+
volgens mij willen ze voorkomen dat er geen groter lek komt door de patch. Je weet nooit dat de pacht nieuwe deuren opend voor hackers...
Dat zou 100x erger zijn dan het huidige lek dat ontdekt is
dat niet alleen maar met een klein beetje verkeerd geschreven patch kan je alle prograamma's die wfm functionalteit hebben op hun gat laten gaan...
dat willen ze uiteraard ook voorkomen, en dat zal niet simpel zijn...
Zijn jullie al zover in de Nerd-dom verzonken dat je een software patch gaat vergelijken met een dringende medische ingreep?
Hello reality check?
Testen is altijd goed. Beter een paar dagen een potentieel risico lopen dat je bv door goed op te letten of niet te internetten kunt beperken dan een patch installeren waarmee je bijvoorbeeld niet meer KUNT internetten.
ik snap uberhaubt niet waarom ze patches achter houden.
Kijk maar eens naar de "patch" om de DRM-rootkit van Sony te verwijderen. Dat was ook een haastklus, waardoor de schade voor Sony nog veel groter werd dan die al was...
Dokter: we hebben een nieuwe hartklep voor u.. net ontwikkeld
Patient: Doe maar

1 dag later:
Patient: Dokter, volgens mij werkt er iets nog niet goed..
Dokter: Klopt, hij lijkt sneller te slijten.. maarja.. we hebben hem ook nog niet goed kunnen testen. U wilde graag de hartklep nu al hebben..
Microsoft heeft deze pre-release zelf gepost op een security site. Dit om het gereedkomen van de "fix" te versnellen.

Zie:
http://www.microsoft.com/...rity/advisory/912840.mspx

FAQ --> onderaan
heard that Microsoft’s security update for the WMF issue has been posted on the Internet. What’s Microsoft’s response to these postings?
In our effort to put this security fix on a fast track, a pre-release version of the update was briefly and inadvertently posted on a security community site. There has been some discussion and pointers on subsequent sites to the pre-release security update. Microsoft recommends that customers disregard the postings.
Bedankt, ik zal de post even aanvullen met deze informatie :).
Over werken als niet admin in windows:

http://support.microsoft....aspx?scid=kb;en-us;307091
http://pluralsight.com/wiki/default.aspx/Keith.HallOfShame

Het probleem is niet de gebruiker, het probleem is de onveiligheid van Windows.

Ik vind dat mensen hier de ernstigheid van het WMF exploit erg onderschatten.

Geen firewall houdt het tegen, en de kans is ook vrij groot dat er een uitbraak komt met een variant die niet op tijd door virusscanners wordt herkend.

Dat Microsoft tot 10 januari wacht is onverantwoordelijk.
Waarom brengen ze niet een beta patch uit voor Admins, en mensen die meer verstand hebben van computers en bieden ze het via Windows update aan als er genoeg getest is?
Wel toevallig dat het eind van de testfase precies samenvalt met de 2e dinsdag van de maand...
Het probleem is niet de gebruiker, het probleem is de onveiligheid van Windows.
Sorry maar dat is niet helemaal correct;
Als de ontwikkelaar zijn/haar software netjes schrijft zodat het voldoet aan de 'ontworpen voor Microsoft Windows (XP)' logo richtlijnen zal er echt geen probleem zijn om software gewoon als user te draaien.

Helaas 'programmeren' veel ontwikkelaars software die bijvoorbeeld in %programfiles% schrijfrechten nodig hebben om de instellingen op te slaan. En dan spreek ik nog niet over de .ini bestanden in de Windows map :(

Zo zal de gebruiker dus nooit overstappen om als user aan te melden omdat simpelweg de software niet lekker kan werken. Dit is dus niet Microsoft haar schuld.

Ik denk dat Microsoft moet schipperen tussen compabiliteit en stabiliteit.

Als de programmeurs eens echt netjes software gaan schrijven dan zou het vťťl makkelijker zijn om gewoon als 'user' je werkzaamheden te kunnen doen.
(admin taken daar buitengelaten)
Bij het stagebedrijf waar ik gewerkt heb moesten ze ook de grootste moeite doen om de gebruikers onder een user account te laten functioneren. Vaak gaat het idd om schrijfrechten in een windows of programfiles directory dan wel het register. Hoop dat met de komst van 64bit en Vista ook de programmeurs meer rekening gaan houden met de beperkte rechten die een gebruiker zou moeten hebben.

Daarnaast vraag ik me af of er ook gekeken zal worden naar de personen die de virussen (varianten) verspreiden. Nu het makkelijk gemaakt is om zelf deze exploid te gebruiken zullen veel mensen die voor de lol doen. Een mooi moment om er een paar van deze honderderd aan te houden en een punt te maken dat dit geen lolletje is!!
Het is onverantwoord dat als die Admins een beta patch installeren waar toevallig, of een bug in zit, of de patch veroorzaakt ergens anders een probleem zodat microsoft met allemaal klagende admins zit.
.edit : Ik zie dat grimson me net iets voor is en hij in zijn post enkele waarheden vermeld. Neemt niet weg dat mijn post niet het lezen waard is ;) ;)

Ik denk persoonlijk dat jij e.e.a. niet geheel in het juiste daglicht ziet. Zoals ik in mijn post iets boven die van jou al zei, is dat er nog applicaties zijn die ontwikkeld zijn zonder rekening te houden met beveiligingsmodel van Windows 2000/XP en niet voldoen aan bepaalde richtlijnen hiervoor. Om maar een simpel voorbeeld te noemen:

Opslaan van gebruikersinstellingen in het register. Er zijn gewoon applicaties die dit in HKEY_LOCAL_MACHINE doen! Terwijl er juist daarvoor een sectie in het leven is geroepen, nl.: HKEY_CURRENT_USER. Een applicatie die draait onder een account met beperkte rechten zal onder Windows XP in het eerste geval problemen gaan krijgen.
Dat Microsoft tot 10 januari wacht is onverantwoordelijk.
Waarom brengen ze niet een beta patch uit voor Admins, en mensen die meer verstand hebben van computers en bieden ze het via Windows update aan als er genoeg getest is?
No flame intended (!!) : Mag ik vragen of je zelf ontwikkelaar bent? Het patchen van complexe systemen als Windows is, kan ontzettend nare gevolgen hebben indien e.e.a. onvoldoende getest is. In sommige gevallen kunnen er onverwachte bijverschijnselen (bijv. een lek, fout) ontstaan door het 'dichten' van een 'gat'. Er zijn zoveel programma's/modulen die (veel) afhankelijkheden in zich hebben en dat maakt het zo moeilijk om iets grondig te testen.

Ik ga de bal even terug stuiteren naar jou :) ;) Wat nu als er een lek ontstaan door de patch? Stel nu dat dit lek nog veel groter is en daarnaast het systeem nog veel ernstiger in gevaar brengt? Wat dan? Ik zie de volgende teksten al weer verschijnen: "Kunnen ze nou ook nooit eens iets goed doen?!", "Waarom hebben ze dit niet beter getest?!", "Hoe moeilijk kan het dichten van een lek zijn?!". Wat zou dit voor goed doen voor Microsoft op de markt?
Ik snap er niks van... Pleur dat ding aub in de Windows Update. Dat er een handjevol systeembeheerders zijn die het misschien makkelijker vinden als de patches op dezelfde dag komen weegt imho niet op tegen de duizenden (miljoenen?) mensen die serieus risico lopen.

Ik wil dezelfde systeembeheerders overigens nog wel 's horen als ze het halve bedrijf af kunnen omdat tig pc's besmet zijn....
Stel dat Microsoft de patch ongetest uitbrengt en dat blijkt dat de patch ervoor zorgt dat MS Office niet meer werkt. Ook kan je per ongeluk de patch niet meer uninstallen. De enige oplossing blijkt een complete herinstallatie van Windows.

Als enkele miljoenen mensen door zo'n foute patch getroffen worden, is de schade die de foute patch aanbrengt vele malen groter dan de potentiele schade van het veiligheidslek. Testen lijkt mij dan wel zo prettig.
Pietje Puk;

Er zijn twee dingen waar ik het niet mee eens ben. Het voorbeeld wat jij aan haalt wil zeggen dat ze wel code hebben geschreven maar het niet eens op de eigen computer hebben getest.
Er zit een verschil tussen het testen op 100 configuratie en het proberen te testen op allen 100 miljoen verschillende mogelijkheden. En dat doen ze ook niet want het gebeurt regelmatig dat patch in het wild nog voor onverziene dingen leid, maar nooit zo ernstig als jij doet geloven.

Daarnaast geloof ik er niets van dat ze nog druk aan het testen zijn het is namelijk niet een bijzonder gecompliceerde test en de patch die nu gelekt is, is ook al digitaal ondertekend. Volgens de officele windows verklaring betekent dat dat het getest is door MS en goed bevonden!
:Z

Maar als je veiligheid een beetje serieus neemt als thuis gebriuker moet je zorgen voor een hardware firewall/router! En als bedrijf ook :Y)
Ronny:

Een beetje router/firewall houd de die lek niet tegen hoor geloof ik. Als jij een foute .wmf file opent kunnen de porten alsnog open en heb je er nog niets aan. Een firewall/router houd kwaadwillegen wel redelijk buiten de deur als je computer niet van binnenuit de porten opent.

Als je je browser opstart gaat port 80 open. Je computer stuurt dat door naar je router/firewall. De router/firewall ziet dit en geeft dat door naar het internet. Het internet stuurt je router een antwoord die je router accepteerd (omdat je webbrowser die pagina wil weergeven) en vervolgens naar je computer waar je de webbrowser heb draaien.

Het enige wat echt de boel zou tegenhouden is de porten dichttimmeren waar die wmf bug gebruikt van maakt. Maarja, met Windows kun je beter meteen je hele port range dichtimmeren, of geen admin account gebruiken. (En hetzelfde geld ook voor andere OSen volgens mij).
@babyxl:
Als je je browser opstart gaat port 80 open. Je computer stuurt dat door naar je router/firewall. De router/firewall ziet dit en geeft dat door naar het internet.
Volgens mij snap je het niet helemaal. Je bezoek een site (b.v. tweakers.net) op poort 80 aan de kant van een van de liever servertjes van t.net. Jij gebruikt een poort die >1024 is. Of je moet zelf al een leuke implementatie van TCP/IP hebben geschreven. :+
Als je eens goed kijkt bij Windows update, kun je bij de instellingen aangeven dat je ook beta-updates wilt downloaden/installeren... Kan ook zijn dat dat alleen bij dat nieuwe Microsoft Update is, maar het kan wel als je het graag wilt!!
Systeembeheerders hoeven geen tig pc's af die door het lek geinfecteerd zijn met spyware en virussen omdat deze actieve virusscanners and spyware scanner hebben draaien die de exploits alsnog weet tegen te houden. Iedere open poort op een firewall is kan potentieel misbruikt worden. Iedere window is in te slaan gelukkig hebben we de actieve bewaking om vervelende mannetjes buiten de deur te laten.
Het had zelfs minder gevaarlijk geweest als het nieuws niet verspreid was dat deze WMF-exploit er is dan dat nu iedereen weet dat er tot 10 januari niks aangedaan wordt en dan er dus een heleboel mensen nog ff snel geÔnfecteerd kunnen worden...
valt wel mee, de crackers weten al van de exploit en op deze manier geeft je de gebruikers iig de kans om zich te beschermen.

security through obscurity zorgt imho altijd voor meer risico
Jullie hebben wat mij betreft allebei wel gelijk.

Als de bug stilhoudt en uiteindelijk stilletjes gaat patchen (aangenomen dat dat laatste ook echt zou gebeuren in die situatie), dan is het inderdaad zo dat de "echte" crackers van de bug op de hoogte zijn.
Het publiek weet niks en de crackers kunnen zogezegd hun gang gaan tot de patch op de meeste systemen is uitgevoerd.

Tegelijkertijd is het zo dat als je publiekelijk toegeeft dat de bug er is, je wannabe-crackers op het idee kunt brengen om naar de manier te gaan zoeken waarop de bug uitgebuit kan worden, waardoor dit dan ook vaker zal gebeuren dan wanneer het stil was gehouden.
Het publiek is dan geinformeerd waardoor ze misschien maatregelen kunnen treffen, maar "kwaadwillenden", zoals MS ze zo graag noemt, zijn dat ook en gaan met des te meer verve en mogelijk met meer aggressie aan de slag.

Bovenstaande scenarios gelden voor elke kritieke bug, lek, exploit etc. en wat mij betreft niet uitsluitend voor de WMF-bug.

Ik denk dat ik liever had gezien dat er stilletjes gepatched werd, toch wel. Maar het is een keuze tussen twee kwaden voor mij want ik word aan de andere kant wel weer graag op de hoogte gehouden van dit soort dingen...
Tegelijkertijd is het zo dat als je publiekelijk toegeeft dat de bug er is, je wannabe-crackers op het idee kunt brengen om naar de manier te gaan zoeken waarop de bug uitgebuit kan worden, waardoor dit dan ook vaker zal gebeuren dan wanneer het stil was gehouden.
Het publiek is dan geinformeerd waardoor ze misschien maatregelen kunnen treffen, maar "kwaadwillenden", zoals MS ze zo graag noemt, zijn dat ook en gaan met des te meer verve en mogelijk met meer aggressie aan de slag.
Dat klopt, probleem is primair echter dat MS simpelweg te traag is met het reageren op zulke problemen, daardoor hebben eventuele crackers de tijd om het lek optimaal uit te buiten, dat kan te maken hebben met de slechte opbouw van windows (tot nu toe, ik doe gene uitspraken over vista, dat schijnt meer de unix kant op te gaan) maar dat laat niet onverlet dat het probleem primair ligt bij de procedure die MS gebruikt om een patch uit te brengen.
@ blouweKip : Zoals later op de dag verschenen is neemt het testen een vrij grote tijd in beslag. Niet het ontwikkelen van de patch zelf....
Nu je ziet hier steeds vergelijkingen met *nix machines. OK *nix machines hebben een beter ontwikkeld gebruikers systeem (nu een zogenaamde makkelijke distro -Linspire- laat je wel default als root inloggen. Stel, er wordt een lek ontdekt waardoor het alsnog mogelijk wordt beheerder of zelfs root rechten te verkrijgen. Wat theoretisch niet onmogelijk is natuurlijk. Dan kom je in een soortgelijke situatie terecht. De broncode van de kernel is ondertussen ook zodanig uitgebreid en complex geworden dan het niet even in 5 minuten te patchen valt. Er moet grondig getest worden om te voorkomen dat een heel aantal systemen niet goed meer zouden functioneren.
Een 2de niet te verwaarlozen punt : Er zijn een massa Microsoft haters en script kiddy's die van ieder lek gebruik proberen te maken om malafide dingen te doen. De uitbuiting van exploits met *nix systemen is een heel pak kleiner.
Het is in het algemeen een probleem met de patch cultuur. Als je een verandering aan een library maakt bij MS dan krijg je van plant 23 (interne build afdeling) een versie van windows met jouw verandering. Die moet je dan gaan testen. Daarna wordt hij door "The intergrators" samengevoegd en dan weer getest. Die testen moet je dan voor elke Servicepack een hotpatch senario doorvoeren.
Je zou ook kunnen stellen dat dankzij de waarschuwing gebruikers zelf kunnen beslissen om een alternatief te nemen tot dat de goede patch uit is? Terwijl het verzwijgen alleen maar meer infecties tot gevolg heeft, laat staan dat verzijgen het bedrijf blootlegt aan mogelijke juridische consequenties jegens de klant.
'regsvr32 -u %windir%\system32\shimgvw.dll' schijnt voldoende te zijn als workaround om het lek te dichten.
Wanneer de patch geinstalleerd is de dll weer te registreren met 'regsvr32 windir%\system32\shimgvw.dll'
Dit schijnt dus niet afdoende te zijn.
Het verkleint alleen de kans dat je besmet raakt. Zie topic http://gathering.tweakers.net/forum/list_message/24908424.
Nog daarvan afgezien.... hoe ga je een manual de-registratie doen op 250 PC's waar gebruikers minimale rechten op hebben... allemaal handmatig nalopen?

(om het na de fix nog even dunnetjes over te doen, zoals gesuggerereerd wordt)

die WMF hotfix is een veel betere oplossing - wanneer in MSI form - , maar daar zijn ook foute re-packs van geweest die je niet via GPO's uit kan rollen.... tsja...

Corporate Firewall met antivirus, en en bovenop blijven zitten dat echt *alle* pc's zijn voorzien van de allerlaatste virus definities.
ehh, als je denkt dat manueel te moeten doen, moet je eens goed bekijken of je je netwerk niet beter kan inrichten....
Ik vind de heisa rond dit lek echt zwaar overdreven. Tuurlijk is het een kritische fout, maar dat neemt niet het PEBKAC element weg (Problem Exists Between Keyboard And Chair).
Uhm, juist.

Deze bug is al te expoiteren als een file die op je schijf staat zelfs maar benaderd wordt. Je hoeft nergens meer op te klikken, niets uit te voeren. Als je browser een file naar de cache schrijft en hem daar weer ophaalt ben je al het haasje.

En op zo'n site zit je zomaar. Als je in een forum op een verkeerde link klikt kun je al geinfecteerd zijn. Auto refresh in javascript en hopla.

Dat is juist waarom deze bug zo gevaarlijk is. Het is geen geval van PEBKAC. Juist normaal gebruik kan al leiden tot een compromised machientje.
Als je in een forum op een verkeerde link klikt

^^

Oeh, user interaction!
Al jouw problemen zijn zeker PEBKAC :+
M.a.w. Microsoft wil dat we het ff testen. :+
Juist niet, Microsoft wil de patch graag eerst testen voordat er miljoenen systemen mee worden geupdate.

Daarnaast vindt Microsoft het lek niet zo gevaarlijk dat het de patch eerder moet uitbrengen.

Voor beide punten is wat te zeggen.
Juist wel. Door de patch naar het illegale circuit te lekken kunnen wij Tweakers en andere geinteresseerden hem gebruiken, zonder dat Microsoft het risico loopt dat ze beschuldigd worden van het uitbrengen van patches die onvoldoende getest zijn.
Super, andere doen dat ook, die geen Tweakers lezen of zijn en gaan hier zitten zeiken dat de patch klote is...
Nee, dat schiet op...
Beta patches of zelfs Alpha patches moet je links laten liggen, ook als Tweaker zijnde...
Want er zijn er altijd een paar die Ms weer gaan zitten bashen omdat de patch niet goed werkt of hun systeem instabiel maakt...
Ondanks dat ze donders goed weten dat het een alpha of beta patch is...
Waarom zou ik hem niet installeren :? Als ik nu graag wil kijken of die patch problemen geeft is het juist goed om hem te installeren, mij hoor je niet klagen als ik moet herinstalleren.
Ik denk dat wanneer alleen IE kwetsbaar zou zijn geweest voor dit lek, en Firefox bijvoorbeeld niet, de patch toch eerder gereleased zou zijn.
Microsoft vindt het wel een kritiek lek maar wil er zeker van zijn een goed werkende patch te ontwikkelen. Waarschijnlijk omdat er voor professionele gebruikers een workaround beschikbaar is zodat deze zich koest houden en de doorsnee gebruikers zullen als ze besmet worden gewoon denken dat ze weer ergens een of ander virus hebben opgelopen zonder de oorzaak (willen) weten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True