Microsoft vervroegt reparatie WMF-gat

Wie Windows XP draait en 'automatisch updaten' aan heeft staan, kan elk moment een verzoek om te herstarten verwachten: Microsoft heeft een officiële patch voor het inmiddels beruchte WMF-lek uitgebracht. De softwaregigant geeft hiermee gehoor aan de wijdverspreide ongerustheid die het beveiligingsgat de afgelopen week heeft veroorzaakt. Er zouden de afgelopen dagen honderen verschillende aanvallers de kop op hebben gestoken, niet in het minst door de verspreiding van een programmaatje waarmee automatisch malware in een WMF-bestand kon worden verstopt. Voor Redmond was dat reden genoeg om terug te komen op het oorspronkelijke besluit om het lek pas volgende week dinsdag te repareren.

Rebootknop Volgens diverse meldingen is de officiële release van Microsofts pleister identiek aan de eerder uitgelekte bèta van de herstelsoftware, ondanks de waarschuwingen van het softwarebedrijf om die proefversie links te laten liggen. Uiteraard verdient het aanbeveling om de nieuwe patch hoe dan ook te installeren. De herstelsoftware is inmiddels voor diverse Windows-versies in zowel het Nederlands als het Engels gepubliceerd. De niet-officiële patch die door Ilfak Guilfanov werd gedistribueerd, kan na de installatie van Microsofts oplossing gedeïnstalleerd worden; dat mag zowel voor als na het aanbrengen van de officiële patch gebeuren.

MS-patch 912919: installatiescherm patch

Reacties (60)

kodak 6 januari 2006 02:41

Geschiedenis van het MS beleid rond dit gat tot op heden:
- ondanks waarschuwingen van derden dat het een groot gat is het gat laag inschatten;
- Na steeds groter wordend misbruik nog dagen vol blijven houden dat het wel mee valt;
- Vol blijven houden dat het gat meevalt maar met vasthouden aan duidelijke release tijdstippen toch 'snel' een hotfix willen leveren.
- Vol blijven houden dat het gat meevalt maar toch de hotfix maar vele dagen eerder vrijgeven.

Iets zegt me dat ze bij MS langzaam door kregen een behoorlijke inschattingsfout gemaakt te hebben maar dat ze het niet officieel willen toegeven.

Verwijderd @kodak • 6 januari 2006 09:02

- ondanks waarschuwingen van derden dat het een groot gat is het gat laag inschatten;

Wat dacht je dan? Dat ze een paniek golf zouden veroorzaken?

- Na steeds groter wordend misbruik nog dagen vol blijven houden dat het wel mee valt;

Is dat steeds groter wordend misbruik dan zo indrukwekkend? Volgens mij is er helemaal niet zoveel misbruik van gemaakt. Alleen al maar omdat er tot op heden geen beestje misbruik van maakt dat niet door virusscanner/antispyware software ontdekt werd.

- Vol blijven houden dat het gat meevalt maar met vasthouden aan duidelijke release tijdstippen toch 'snel' een hotfix willen leveren.

Je haalt 2 termen door mekaar. Men beweerde nooit dat het gat wel meeviel. Wel dat de gevolgen nogal meevallen.

- Vol blijven houden dat het gat meevalt maar toch de hotfix maar vele dagen eerder vrijgeven.

Is er een reden om dat niet te blijven volhouden? Tot op heden is er geen berichtgeving over erstige misbruiken of grootschalige besmettingen door uitbuiting van dit lek. Dus ja....
En dat die patch nu sneller vrij gegeven is dan gepland hangt af van veel meer factoren hoor. Bij Microsoft is het niet zo dat er 1 lunatic aan de knopjes staat en met een druk op de knop de aanval al dan niet inzet.

Iets zegt me dat ze bij MS langzaam door kregen een behoorlijke inschattingsfout gemaakt te hebben maar dat ze het niet officieel willen toegeven.

Je kan evengoed stellen dat dit door sommige mensen behoorlijk overroepen was. Veel mensen hebben enkel gekeken naar de aard van het lek en de eenvoud van het uitbuiten. En dan was er idd een enorm probleem. Echter het verschil tussen het potentiële gevaar en de werkelijke bedreigin zat zich op het niveau van allerhande 3th party software. Mensen met een beetje gezond verstand draaien immers nog allerhande andere beveiligingssoftware die wel zijn werk deed.
Als Microsoft met een patch was gekomen waardoor Office niet meer goed werkte, of websites met wmf bestanden die niet malafide waren plots niet meer goed werkte, of een patch die elders lekken veroorzaakte,.... dan was het allemaal veel erger geweest. Nu loopt iedereen maar te blaren maar er zijn geen noemenswaardige problemen opgedoken.
Of heb jij toevallig ergens rapporten die aangeven dat dit lek voor grote problemen gezorgd heeft? En ik bedoel dan niet de pc van tante truus en oom willem die geen virusscanner draaiden...

Nu ik weet al op voorhand dat ik ga weggemod worden. Want ik verdedig Microsoft en dat lijkt hier soms per definitie verboden.
Ik weet ook op voorhand dat 1 of andere admin wel een opmerking in mijn post gaat plaatsen. Hoewel sommigen zich naar mijn mening beter bezig zouden houden met scheef modden tegen te gaan.

c00kie @Verwijderd • 6 januari 2006 09:29

Ik begrijp wat je wil zeggen...

Er wordt een lek ontdekt.
Microsoft moet voor iedereen opeens een oplossing geven, en liever gisteren dan vandaag.
Microsoft beslist om te wachten, en goed te testen... Boe boe @ microsoft.

Testen zijn afgerond, en tegen hun eigen policy in, publiceren ze de patch vroeger. Boe boe @ microsoft, waarom doe je dat nu maar pas. Ze kunnen precies nooit goed doen... Ik ben zelf misschien niet de grootste microsoftfan, maar windows xp is in mijn ogen gewoon goed. Zij die het beter kunnen, be my guest, en dan zal ik ook eens een kritische blik werpen op je werk.

Ik kan alleen maar zeggen, nice work MS

Verwijderd @c00kie • 6 januari 2006 11:29

@Blokker:
Waar haal jij vandaan dan de Patch al een week getest en al was?
Jij heeft aan dat het om een kleine patch gaan, maar wat als deze aanpassing toch niet helemaal goed werkt met bv applicatie XZY? En daar kom je achter nadat je hem hebt uitgerold op 1500 machines. Wat dan, kan ik jouw dan bellen om alle machines even af te lopen?
Alle beveiligingsfirmas waren het erover eens dat dit een groot en zeer gevaarlijk gat was en toch besliste MS om de update uit te stellen tot patch tuesday.
. O, ik lees bij de meeste antivirus leveranciers juist iets anders. Alle virusscanner leveranciers detecteren momenteel de exploit. Dus echt groot?
geptacht moet worden in feite taal onafhankelijk is dan weet je dat er iets niet klopt.. Waar haal jij deze wijsheid vandaan. Wat denk je dat er gebeurt met microsoft als het bij een paar multinationals het netwerk plat gaat, doordat er toch iets niet lekker werkt in een bepaalde taal?

Blokker_1999

@c00kie • 6 januari 2006 10:59

Aangezien de patch al een week af en getest was wil dit zeggen dat deze gewoon een week op een harde schijf is blijven staan. Het gaat om een zeer kleine patch die niet taal specifiek is (uiteraard zijn de installars wel taalspecifiek maar deze dienen niet getest te worden). Het lek is al bekend van in November en er is dus meer dan een maand overheengegaan. Alle beveiligingsfirmas waren het erover eens dat dit een groot en zeer gevaarlijk gat was en toch besliste MS om de update uit te stellen tot patch tuesday.

De zogenaamde prerelease versie was waarschijnlijk de finale versie die een overijverige MS medewerker te vroeg had vrijgegeven en het verhaaltje dat men deze patch nog uitvoerig moest testen was gewoon een cover-up om te voorkomen dat mensen deze zouden installeren.

Als een MS woordvoerder hier in België op TV zegt dat men de patch goed moet testen omdat deze op 23 verschillende talen moet werken terwijl de code die geptacht moet worden in feite taal onafhankelijk is dan weet je dat er iets niet klopt.

ppl @Verwijderd • 6 januari 2006 15:29

Je kan evengoed stellen dat dit door sommige mensen behoorlijk overroepen was. Veel mensen hebben enkel gekeken naar de aard van het lek en de eenvoud van het uitbuiten. En dan was er idd een enorm probleem. Echter het verschil tussen het potentiële gevaar en de werkelijke bedreigin zat zich op het niveau van allerhande 3th party software. Mensen met een beetje gezond verstand draaien immers nog allerhande andere beveiligingssoftware die wel zijn werk deed.

En volgens het SANS werken die beveiligingstools dus niet: http://isc.sans.org/diary.php?storyid=994 zie de diverse vragen daar, met name de volgende vraag doet het 'm:

* If I get hit by the exploit, what can I do?

Not much . It very much depends on the exact exploit you are hit with. Most of them will download additional components. It can be very hard, or even impossible, to find all the pieces. Microsoft offers free support for issues like that at 866-727-2389 (866 PC SAFETY).

Als Microsoft met een patch was gekomen waardoor Office niet meer goed werkte, of websites met wmf bestanden die niet malafide waren plots niet meer goed werkte, of een patch die elders lekken veroorzaakte,.... dan was het allemaal veel erger geweest. Nu loopt iedereen maar te blaren maar er zijn geen noemenswaardige problemen opgedoken.
Of heb jij toevallig ergens rapporten die aangeven dat dit lek voor grote problemen gezorgd heeft? En ik bedoel dan niet de pc van tante truus en oom willem die geen virusscanner draaiden...

Zie de rapporten van het SANS, US-CERT, F-Secure, etc.
Kennelijk vond men de dreiging van een simpele klik-maar-raak tool om een virus o.i.d. te creeeren die misbruik van de exploit kon maken en het feit dat er inmiddels al een paar honderd van die virussen door diverse security en antivirusbedrijven/organisaties gevonden werden dusdanig groot genoeg om moord en brand te schreeuwen. Het leek er kennelijk op dat er een enorme virusstorm in op komst was en in zo'n geval is het beter om hard te schreeuwen. Op die wijze is iedereen enigzins voorbereid op wat komen gaat en krijg je niet de taferelen als bij sasser e.d.
Zo waren er nog meer factoren waardoor men besloten heeft om groot alarm te slaan. Dat er achteraf netzoals met het millenniumprobleem niks is gebeurd heeft wellicht te maken met de voorzorgsmaatregelen die men daardoor heeft getroffen, maar het zou ook zo maar kunnen dat er inderdaad weinig tot niks aan de hand was. Wie zal het zeggen?

Verwijderd @kodak • 6 januari 2006 03:17

Dat heet PR, en is niet Microsoft-specifiek. Je kan er vanop aan dat onder de programmeurs wel degelijk het risico hoog werd ingeschat en men enkele zeer stressvolle dagen en nachten beleeft...

PR heeft als taak in zo'n situatie om de paniek te bedwingen onder de eindgebruikers, en zo te voorkomen dat het bedrijf ten onder gaat aan iets waar we binnen enkele dagen al lang niet meer over spreken.

mjtdevries @kodak • 6 januari 2006 09:39

@kodak

Wil je wellicht je stellingen wat onderbouwen?

- ondanks waarschuwingen van derden dat het een groot gat is het gat laag inschatten;

Volgens mij heeft Microsoft er dezelfde impact aan gegeven als derden.

- Na steeds groter wordend misbruik nog dagen vol blijven houden dat het wel mee valt;

Daarin was Microsoft zeker niet alleen. McAfee heeft ook continu aangegeven dat het "low risk" is.

- Vol blijven houden dat het gat meevalt maar met vasthouden aan duidelijke release tijdstippen toch 'snel' een hotfix willen leveren.

Hoe bedoel je??
Microsoft ging het gewoon meenemen in de normale cycle. Dat komt toch overeen met de mening dat het wel meevalt en dus niet vervroegt uit hoeft te komen? Ik zie de tegenstelling niet.

- Vol blijven houden dat het gat meevalt maar toch de hotfix maar vele dagen eerder vrijgeven.

Dat kan ook zuiver een PR kwestie zijn. En als iedereen die gelekte fix toch al allemaal gaat installeren, dan heeft het ook geen zin meer om de officiele patch achter te houden om 'm beter te testen. Als er nog een bug in zit, dan is het kwaad toch al geschied met die gelekte fix.
Daarmee veranderen dus de overwegingen die geleid hebben tot het oorspronkelijke besluit om de patch niet vervroegd uit te brengen. En als die overwegingen veranderen, dan kan dat uiteraard ook betekenen dat je besluit verandert.

Iets zegt me dat je zoekt naar een stok om MS mee te slaan. En ja die is altijd wel te vinden.

drZymo

@kodak • 6 januari 2006 07:30

Ik vind het nog steeds netjes dat ze het zo snel gefixed hebben. Als je een van de vorige berichten leest, dan zie je

Het digitaal ondertekende bestand zou vorige week woensdag gemaakt zijn, wat aantoont dat het bedrijf het gat intern vrijwel direct na de publicatie gedicht heeft.

Binnen een dag nar de publicatie een lek al gedicht kunnen hebben is mijn inziens erg snel. Het nadeel is alleen dat deze eerst getest moet worden voor je hem los kan laten.

TD-er

@drZymo • 6 januari 2006 14:56

Het zou maar zo kunnen zijn dat MS al een veel langere tijd op de hoogte was van het lek en toen ze dus volgens de ontdekker van het lek niet snel genoeg een patch gemaakt hadden, dat 'ie het daarna bekend gemaakt heeft.
Zou niet de eerste keer zijn dat zoiets gebeurd.

Verwijderd @drZymo • 6 januari 2006 14:40

Ik denk dat Microsoft hun patchbeleid is moet herzien. Als er zo'n ernstig lek wordt ontdekt wordt er wel een patch geschreven maar niet gepubliceerd, daar zie ik de logica niet van. Tuurlijk begrijp ik dat het getest moet worden enzo, maar dat het zolang moet duren, daar kom ik niet bij.

Blokker_1999

@drZymo • 6 januari 2006 10:02

Het gaat dan ook om een zeer klein foutje. Het is zelfs geen lek dat misbruikt word maar een functie in de dll.

Verder is het onlogisch dat een onofficiële patch die door iemand zonder toegang tot de broncode sneller gemaakt zou zijn dan een exemplaar van MS zelf.

MS hield de patch achter, officiëel om hem te kunnen testen onder de 23 verschillende talen waarin Windows bestaat (zo heeft een MS woordvoerder het hier op TV zelfs gezegd) terwijl de bibliotheek taal onafhankelijk is.

Als men de situatie snel had willen oplossen dan had men het bestand direct vrijgegeven van toen men het getest had, en niet meer dan een week later. Men wist goed genoeg dat het achterhouden gevaarlijk is. Er is niet snel gehandeld, het kon vele malen sneller en ik hoop dat men nu eens gaat nadenken over het slechte concept dat patch-tuesday is.

kimborntobewild @Blokker_1999 • 6 januari 2006 12:11

Technisch gezien (het oplossen) misschien een klein foutje.
Ontwerptechnisch natuurlijk een gapend gat
Typisch een voorbeeld van 'feature boven veiligheid'.
Marketingtechnisch (in 't algemeen) werkt dit goed: eerst de markt veroveren met features, daarna pas vuur blussen (dat komt meestal toch pas véél later).

Pietervs @Blokker_1999 • 6 januari 2006 13:29

Typisch een voorbeeld van 'feature boven veiligheid'.
Onzin. Typisch een voorbeeld van een fout die in het verleden is gemaakt (toen veiligheid nog geen issue was) en nu nog doorwerkt...

maxxware @kodak • 6 januari 2006 08:16

Ach, da's standaard bij Microsoft. Een kritiek lek wordt op Microsoft's site altijd (te) laag ingeschat. En op de dag dat de patch beschikbaar is zie je plotseling dat het lek 'kritiek' is.
En zo kan MS de klanten weer een rad voor ogen draaien en zeggen dat ze patches voor kritieke lekken heel snel klaar hebben...

Verwijderd @kodak • 6 januari 2006 05:28

Misschien hadden ze bij dag 1 al wel het idee om de patch zo vlug als mogelijk te releasen maar hielden ze zich aan de 'afspraak' van "het komt bij de maandelijkse update" om zich in te dekken mochten er zich problemen voordoen met de patch. Niets is vervelender dan beloftes maken die je niet na kunt komen.

Ik verwacht btw pas een restart button als IK besluit mijn PC te updaten

gelukkig is het nog steeds mogelijk die automatisch rotzooi, waar ik niks van moet hebben, uit te schakelen

Martien @kodak • 6 januari 2006 20:42

Lekker mee lopen in de polonaize der dwazen he? heb jij al een virus gezien die gebruik maakt van deze bug? dinsdag was naar mij mening ook genoeg op tijd, maar omdat iedereen zegt dat dit een mega gat is, wordt er maar zo paniekering over gedaan... zucht doe normaal! een gat is een gat!

Freee!!

6 januari 2006 02:23

Voor W2K krijg je hem niet door te wachten (ik heb er althans niet op gewacht), maar met handmatig ophalen is die patch te verkrijgen.

BramT @Freee!! • 6 januari 2006 09:08

W2K haalde 'm hier in ieder geval meteen binnen met auto-update. (9 uur 's ochtends)

felixk @BramT • 6 januari 2006 09:44

XP-prof 09.42. ook via auto update binnengekomen.

Verwijderd @Freee!! • 6 januari 2006 08:38

bij xp pro krijg ik hem nu nog steeds niet, ook niet als ik via windows update een check laat uitvoeren op te installeren patches.

RRRobert @Verwijderd • 6 januari 2006 08:55

Vreemd. Bij mij thuis begon de pc gisteravond in ene met het binnenhalen van de update. Maar via de in de tekst hierboven aangegeven link zou je deze patch handmatig moeten kunnen binnenhalen.

Hier op m'n werk is dat door IT 'gescheduled' om twaalf uur.

Verwijderd @RRRobert • 6 januari 2006 12:33

hier is de checker:
http://castlecops.com/files/hexblog/wmf_checker_hexblog.exe

geez @Freee!! • 6 januari 2006 09:50

Zet zojuist mijn pc aan (Win2k Pro), en kreeg hem auto binnen via update.

Had alleen de hexblog patch nog installed, dus die deinstall ik nu even.. en daarna gooi ik de MS patch er nog eens overheen..

donderklik 6 januari 2006 07:32

Kan het kwaad om de niet-officiële patch van Ilfak Guilfanov gewoon te laten zitten?

djek @donderklik • 6 januari 2006 09:14

Nee, maar het is niet meer nodig.

[Yellow] 6 januari 2006 08:10

Precies daarom heb ik die patch ook links laten liggen.......Dat, plus het feit dat het niet duidelijk was wat er uitgeschakeld werd.

Kun je die patch niet gewoon uninstallen?

Verwijderd @[Yellow] • 6 januari 2006 08:16

Heel verstanding. Bij ons op het werk hebben we ook besloten om de patch links te laten liggen. Ik heb liever een goed geteste patch, dan een patch die sh*t veroorzaakt. Immers dan kan je je hele netwerk na gaan lopen. Remote beheer is dan niet zo gemakkelijk meer.
Met een goede virusscanner heb je bijna niet eens een probleem. Gewoon een virusscanner op je proxy installeren, en er komt niets meer doorheen. Dus waarom dan zoveel extra werk er van maken....
Het enige waar we nu mee zitten, we moeten nu en volgende week patches uitrollen. Waarschijnlijk wachten we gewoon tot volgende week hiermee. We zijn beveiligd genoeg.

kimborntobewild @Verwijderd • 6 januari 2006 12:49

Een schot voor open doel maar je zou helemaal geen virusscanner nodig moeten hebben!
Het blijft symptoonbestrijding. Voorkomen (een veiliger OS) is beter dan genezen.
Krijg je natuurlijk weer van die bla-bla verhalen hoe ingewikkeld 't wel niet is en dat iedereen zulke fouten maakt, etc...
De oorzaak is echter verkeerde uitgangspunten (feature boven veiligheid, marktpenitratie boven veiligheid, geen open standaarden willen gebruiken, zelfgenoegzaamheid, etc.). Juist daardoor wordt 't zo ingewikkeld, onoverzichtelijk, en zouden virussen vrij spel hebben als er geen virusscanner was.
Een voorbeeldje: bij het 'bedenken/uitvinden/ontwerpen' van de welbekende exe-bestanden had destijds zeer eenvoudig een geïntegreerde controle kunnen worden ingebouwd zodat exe-virussen geen enkele kans hadden. Vanwege een extreem minieme feature die dan niet meer mogelijk was, zag men (ik meen IBM?) daar maar van af. Die feature was zo oninteressant dat ik niet eens meer weet wat 't was.

YaPP 6 januari 2006 09:27

Volgens diverse meldingen is de officiële release van Microsofts pleister identiek aan de eerder uitgelekte bèta van de herstelsoftware, ondanks de waarschuwingen van het softwarebedrijf om die proefversie links te laten liggen.

Nee, het zit net iets anders. De fout zat in de aanroep naar Escape() / SetAbortProc(). De onofficiele fix haalde de functie compleet weg uit de DLL, wat voor meer consequenties had.

Microsoft heeft de aanroep vanuit de WMF-renderer weggehaald, zodat de rest van de programma's blijft werken. Als iemand op een andere manier alsnog een weg weet te vinden naar de onveilige SetAbortProc() functie, zijn we dus weer terug bij af

Verwijderd @YaPP • 6 januari 2006 10:11

Volgens mij hebben ze het over de Microsoft versie van de patch die uitgelekt is.

thegve @YaPP • 6 januari 2006 10:40

Bedoel jij met je "haalde compleet weg" niet de hexblog patch?

giMoz 6 januari 2006 08:10

Het schijnt dat de datum van de dll al de dag na het ontdekken van het lek was.
Ze hebben het blijkbaar dus in 1 dag gepatched maar daarna nog 2 weken getest..

lijkt me goede zaak..

gill 6 januari 2006 09:17

Bravo Microsoft, is net goed om de kritiek eens goed de kop in te drukken. Een goeie patch en goede testing is net wat er moest gedaan worden, en dat hebben ze ook gedaan.

Precies zoals het moet.

Verwijderd 6 januari 2006 11:43

F*ck klanten willen nu ook al dat we deze gaan uitrollen. Dat wordt weer een hoop extra werk om te patches.

Microsoft Bedankt

riffey#4 @Verwijderd • 6 januari 2006 12:08

Ah, een systeembeheerder die een gat liever nog even laat zitten na alle kritiek die er geweest is dat Microsoft niet eerder met een patch kwam

Verwijderd @Verwijderd • 6 januari 2006 11:52

Het is ook nooit goed.

Mizitras @Verwijderd • 6 januari 2006 16:58

Betalen de klanten jou dan niet? En als dat jou klanten zijn, ...werk jij dan niet voor hen?

Verwijderd 6 januari 2006 12:20

Na het installeren van deze update kon ik nog steeds geen thumbnails zien, maar het bleek dat ik het bestand shimgvw.dll opnieuw moest registeren. Op de site van SANS (http://isc.sans.org/diary.php?storyid=1019) staat hoe je dit kunt doen, maar voor het gemak kopieer/plak ik het hieronder:

regsvr32 %windir%\\system32\\shimgvw.dll

Je hoeft niet de computer opnieuw te starten, want het werkt meteen

Proxy @Verwijderd • 6 januari 2006 19:55

Dat is ook vrij logisch, dat DLL-bestand is juist nodig om thumbnails in verkenner te kunnen zien.

alt-92 @Verwijderd • 6 januari 2006 20:55

Plak er dan ook even een /s achter voor je scripted oplossing, dan krijgen je users tenminste geen popup [registered] voor hun neus waardoor ze allemaal weer in paniek raken

McChouffe 6 januari 2006 10:39

Goed zo. "Patch Tuesday" is immers toch veel spannender als je niet weet wat eraan gaat komen

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (60)

Sorteer op:

Weergave: