Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Bron: Microsoft, submitter: maxi-pilot

Op de maandelijkse 'patch tuesday' heeft Microsoft naast de patch voor het WMF-lek patches voor twee andere als kritiek bestempelde lekken beschikbaar gesteld. De eerste patch pakt een probleem aan met de wijze waarop Windows omgaat met embedded web fonts, dat lettertypen zijn die in een document kunnen worden ingepakt. Het laden van een dergelijk document kan leiden tot overname van een pc. De tweede patch dicht een lek in bepaalde versies van Outlook en Exchange Server. Deze kwetsbaarheid kan worden geŽxploiteerd met een speciale kwaadaardige e-mailattachment. Als een gebruiker daarop klikt kan opnieuw de computer worden overgenomen. De kwetsbaarheden zijn stilletjes aan het licht gebracht door respectievelijk eEye Digital Security en Next Generation Security Software, waardoor Microsoft de kans kreeg ze te patchen voordat er exploitcode opdook - wat voor zover bekend tot op heden ook nog niet gebeurd is.

Windows patch 67x67 Wat de WMF-kwetsbaarheden betreft schrijft CNet News dat die meer kritieke problemen op kunnen gaan leveren. Twee niet-kritieke kwetsbaarheden zijn al opgedoken; deze kunnen bij het laden van een kwaadaardig WMF-bestand Windows laten crashen. Microsoft zegt zich van het probleem bewust te zijn en heeft een oplossing in voorbereiding voor opname in de volgende patchronde; ondertussen geldt de workaround uit het voorgaande securitybulletin. Volgens Mike Murray van securitybedrijf nCircle is het niet verbazend dat er meer WMF-problemen aan het licht komen. 'Wanneer een onderdeel van Windows een paar kwetsbaarheden aan het licht brengt, trekt dat de aandacht en gaan kwaadaardige hackers er nauwkeuriger naar kijken', aldus Murray. Sommige experts zijn van mening dat Microsoft de problemen met het WMF-formaat grondiger en met een meer vooruitziende blik aan moet pakken; zij stellen dat de huidige manier van oplossen te weinig rekening houdt met de extra aandacht die hackers aan het onderdeel in kwestie zullen gaan geven.

Moderatie-faq Wijzig weergave

Reacties (42)

Twee niet-kritieke kwetsbaarheden zijn al opgedoken; deze kunnen bij het laden van een kwaadaardig WMF-bestand Windows laten crashen
en dat is niet kritiek?
Liever een crash dan een mafkees die probeert creditcard- en inloggegevens te bemachtigen.

En ze dachten vast dat we er al aan gewend waren :+
Ben geen microsoft voorstander, maar als experts het zo goed weten doe het zelf dan. Ik vind t al knap dat ze sowieso met n patch komen voor dat WMF probleem binnen een redelijke tijd. Vroegah deden ze dr nog wel wat langer over
als experts het zo goed weten doe het zelf dan


Hoe wil je dat doen zonder broncode? Kwetsbaarheden moeten bij de bron opgelost worden. Experts kunnen enkel adviezen geven, een work-around voorstellen bijvoorbeeld.
Dat hebben ze een tijdje geleden dan ook gedaan:
http//tweakers.net/nieuws/40576
En zij hadden de source code niet.

edit: waarom moeten URL's naar andere tweakers berichten nou weer automatisch zo gemangeld worden dat het onmogelijk is om domweg de URL zelf als tekst in het bericht te krijgen in plaats van de titel van het bericht :?
MS had de dag NA de publicatie van het lek reeds een patch gescrheven alleen moest die goed getest worden.

Ik weet niet of je zelf software ontwikkeld, maar mocht dat zo zijn dan denk ik dat je het wel begrijpt als ik zeg dat dingen gewoon grondig getest moeten worden :)
Ik vraag me af waar je die stelligheid dat MS de volgende dag al een patch had geschreven vandaan hebt.
Het grootst bewaarde geheim van MS is namelijk de manier van ontwikkelen.
Bij de patch die je gedownload hebt, stond laatst gewijzigd: 1 dag na de publicatie van het lek :Y)
ja maar die datum kan ik lekker met winhex ook wel aanpassen. Neem aan die MS ook wel over die 'techniek' besschikt.
Doordat er al de dag na publicatie onofficiele beta's van MS verschenen op dit gebied? Deze beta is ook final geworden uiteindelijk.
Dinamitci : dat lijkt me een beetje misplaatst wantrouwen jegens MS. ze volgen geen 'evil' cursus als ze bij MS binnenkomen hoor ;)
@kodak:
Het grootst bewaarde geheim van MS is namelijk de manier van ontwikkelen.
Uhmm, Microsoft publiceerd vrij gedetailleerde informatie over het ontwikkelproces dat ze gebruiken op de publieke website. Lijkt mij niet echt het grootst bewaarde geheim... ;-)
Mwah, volgens mij loste die patch het probleem niet echt op, maar schakelde die gewoon een functionaliteit uit die verder niet/nauwelijks gebruikt werd. De officiele patch van Microsoft loste het probleem vervolgens wel op.
Windows is niet open-source, dus ze kunnen het niet zelf...
@paella Beter een crashende Windows dan een figuur die je gevoelige info van je pc haalt --> zodat je opeens een bankafschrift krijgt met saldo § 0,--. Maar ik geef toe, het is zeker kritiek en vervelend. Nog een maandje wachten en dit probleem is ook alweer opgelost.
0,--? Ik denk eerder -Maxwateraftehalenvalt.. :+ ;)
Sommige experts zijn van mening dat Microsoft de problemen met het WMF-formaat grondiger en met een meer vooruitziende blik aan moet pakken; zij stellen dat de huidige manier van oplossen te weinig rekening houdt met de extra aandacht die hackers aan het onderdeel in kwestie zullen gaan geven.
Lekker is dat. De ene expert zegt, Ja het uit brengen van de patch duurt te lang de ander zegt het bovenstaande. Ga je toch denken dat ze het noooit goed kunnen doen.....
Het zou me niks verbazen als Microsoft binnekort een deal sluit met the Apache Software Foundation, al was het maar voor het gebruik van de naam. Zeg nou zelf, "Windows Apache" klinkt toch beter dan "XP" of "Vista" ;)
MIjn pc is toch al zo %%$%|:(
kan geneens een virusscan gebruiken, zelfs niet eens installeren |:(

En ik krijg geen toegang tot updates site van Microsoft (en er wordt niet auto gedownload, zelfs als die optie aan staat) |:(
User error: replace user.

press OK to shut down, or Cancel to shut down.
En ik krijg geen toegang tot updates site van Microsoft (en er wordt niet auto gedownload, zelfs als die optie aan staat)

Download Spybot Search en Destroy en voer het uit. Waarschijnlijk vindt hij iets met de naam Windows en die moet je dan verwijderen. Die ding kan door een virus maar ook door een antivirysprogramma zijn gemaakt. Die zorgt er dan voor dat je automatische updates niet werken. Heerlijk als ze weer aanstaan :Y) .
Ik blijf me verbazen. Door fonts te laden kan je PC worden overgenomen.

Ik wil MS niet bashen, maar wordt het niet eens heel dringend tijd om iets te doen aan het feit dat alles, maar dan ook alles binnen Windows te maken heeft met alles ? Ik pleit voor een modulair systeem zoals Linux dat ook gebruikt.
je mag je nog wel even verder blijven verbazen hoor, want blijkbaar zal dat bij jjou toch wel het geval zijn, jemoet nog veel leren. het is niet zo zeer dat alles afhankelijk is van alles, maar gewon dat een proces dat crasht er toe kan leiden dat een kwaadaardig persoon in de rest van de te laden code, werkende kwaadaardige code kan verpakken. vaak doordat een buffer overflow optreed.

uiteraard moet je zo programeren dat een overflow niet kan optreden, maar dat is blijkbaar niet makkelijk.
ook is het handig in zon geval om niet de broncode vrij te geven. er zal maar weer iemand zijn die net ziet dat eenbepaald stuk een oveflow op kan leveren als je rotte onformatie aan het proces voert.

het hoeft dus nergen van af te hangen. slechts 1 dll hoet maar 1 verkeerde functie te bezitten en je bent de klos in het geval van het wmf lek.
vergelijk het gewoon met een heel groot gebouw met allemaal verschillende sloten. nu heb jij voo een van die sloten een appraat gemaakt dat het slot finaal vernielt. je bent danbinnen en kunt verder doen wat je zelf wilt, met de programmas en machines die er "binnen" voor handen zijn.

bij elk OS geldt min of meer, binnen is binnen ( rechten of rechten van het gecrashte programma) daarom is het dus beter om niet als root in te loggen (of als administrator) al helpt dat ook niet in alle gevallen.
Beetje kromme redenatie. In jouw voorbeeld, laten we even aannemen dat dat gebouw windows is, zitten er weliswaar veel deuren en verschillende sloten aan de buitenkant van het gebouw maar is binnen zit niets op slot? Dat lees ik in ieder geval als je zegt 'binnen is binnen'.

Het punt wat Arfman volgens mij probeert te maken met zijn verwijzing naar een modulair systeem is dat wanneer iets echt modulair is opgebouwd de verschillende modules in principe niet in elkaars gebied mogen lopen wroeten. Stel dat het om een website gaat met de modules CHAT en RATINGS plus een onderliggende basismodule. Wanneer dit systeem goed modulair is opgebouwt kunnen de CHAT en RATING modules niet in elkaars database gaan zitten wroeten omdat daar simpelweg geen rechten toe zijn. Ik zou me kunnen voorstellen dat je zegt dat je vanuit het basissysteem weer naar CHAT kan gaan maar wanneer dit systeem goed is opgebouwd zou de basismodule op haar beurt niets mogen schrijven of wijzigen in de CHAT module, omgekeerd mag de chat module wel weer gegevens lezen en invoeren in de basismodule, maar enkel binnen bepaalde perken.

Wanneer je je systeem ťcht goed modulair opbouwt en de restricties goed instelt zou je dus een gebouw krijgen waar je voor elke afdeling een (nieuwe) andere sleutel nodig had, of je nu van buiten het gebouw kwam of er al in stond. Op die manier zou je misschien een troep kunnen maken van die afdeling, maar de andere afdelingen zouden daar niet onder hoeven te leiden omdat je daar niet bij kunt komen als troepmaker...
Volgens mij snap jij mijn punt niet.

Overigens: probeer iets aan je spelling te doen, het is nauwelijks te volgens wat je typt.
iemand ervaring met de patch op filefactory ?
de wijze waarop Windows omgaat met embedded web fonts, dat lettertypen zijn die in een document kunnen worden ingepakt
Zelfs als je Opera of Firefox gebruikt? Want in IE heb ik embedded fonts nog niet voor elkaar gekregen. Gewoon met de CSS2 @font-face rule dus.
CSS2, optimist, ze kunnen hun eigen standaarden en eigen systemen nog niet de baas.

Wanneer gaan ze eindelijk eens inzien dat Windows nog steeds gebaseerd is op een totaal verouderd concept.

Vista brengt nix van verbetering, weer een nieuwe grafische shell, wer een nieuwe patch en de volgende 10 jaar mogen we weer wekelijks kritieke fouten aanhoren.

En dan horen we enkele degene die het nieuws halen, je wilt niet weten hoeveel er zijn die het nieuws niet halen !

\[edit: troll ? face reality bende m$ neukers (nu is ie tenminste troll :+ ) (en zeggen dat tweakers niet vol met fanboys zit) ]
En Apple Patcht de Quicktime van 7.0.3 naar 7.0.4 vanwege een kritieke lek......
http://www.waarschuwingsdienst.nl/render.html?it=1319
Zou ook leuk zijn als het er zou staan ipv , Apple brengt een nieuwe Quicktime uit, bla bla bla :

meuktracker: Apple QuickTime 7.0.4 build 80

Maar goed, het wordt jullie vergeven, Microsoft vs Apple gevechtjes op Internet zullen wel altijd blijven bestaan....
;(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True