Microsoft patcht tien kritieke bugs, Eolas-patch ook in update

Microsoft lost in zijn maandelijkse patchronde maar liefst veertien problemen op, waarvan er tien als kritiek te bestempelen zijn. De bekendste is de eind vorige maand opgedoken 'Active Scripting'-bug - waarop exploitschrijvers zich enige tijd hebben kunnen botvieren. De patch die dit lek dicht wordt in Microsofts Security Bulletin MS06-013 beschreven, waar Microsoft ook de Nederlandse webontwikkelaar Jeffrey van der Stad bedankt, die een ander lek vond dat door de patch wordt gedicht. De andere twee kritieke patches worden in de bulletins MS06-014 en MS06-015 beschreven, het betreft problemen met respectievelijk de RDS.Dataspace-ActiveX-control en de Windows Shell. Alle lekken kunnen in het ergste geval leiden tot het op afstand draaien van code.

computer bug De niet-kritieke patches betreffen allereerst een 'belangrijke' veiligheidsupdate (MS06-016) voor Outlook Express. Hier wordt een lek gedicht dat geëxploiteerd kan worden indien een gebruiker met administrator-rechten is ingelogd, en er gebruik wordt gemaakt van een .wab-bestand. De laatste patch fixt een 'gematigd' cross-site scripting-probleem (MS06-017) met Microsofts Front Page Server en SharePoint Team Services, dat content kan 'faken' en de gebruiker allerhande acties ten bate van de exploitant uit kan laten voeren.

Een belangrijke opmerking over patch MS06-013 mag niet onvermeld blijven: deze patcht niet alleen lekken in Internet Explorer, maar fixt ook Microsofts juridische probleem met het Eolas-patent. Het installeren van de patch leidt er (naar verwachting slechts tijdelijk) toe dat ActiveX-objecten op een door de browser ingeladen pagina niet meer automatisch geactiveerd worden. Het toevoegen van deze update is de softwarereus op kritiek van verscheidene IT-professionals en securitybedrijven komen te staan, zo meldt TechWeb - het gaat hier immers niet om een patch die een veiligheidsprobleem voor de gebruiker oplost maar Microsoft zelf van een juridische patch voorziet.

Reacties (61)

SirBlade 13 april 2006 00:46

Als je die eolas-patch niet installeerd, ben je dan als gebruiker in overtreding van het patent? En ben je dan (in de VS) strafbaar?

Lennie @SirBlade • 13 april 2006 01:21

Nee, want de rechter heeft niet gezegt dat Microsoft dat moest doen, Microsoft doet het uit eigen initiatief, waarschijnlijk om flash uit de markt te drukken, oid.

dtech @Lennie • 13 april 2006 01:40

nee hoor, er is een eenvoudige workaround voor beschikbaar, het is gewoon onhandig, wat zouden ze BTW tegen flash hebben?

Daenney @dtech • 13 april 2006 03:08

flash is een directe concurrent van wat microsoft met vista gaat releasen, WPF/E
Maar WPF/E heeft er hier weinig mee te maken, 't gaat em hier om de ruzie Eolas MS, niet ohjee, flash concureert met een product van ons dat nog niet op de markt is dus laten we dat al vroegtijdig uitschakelen

markvt @Lennie • 13 april 2006 07:13

Alles wat je met EMBED inlaad doet het niet dus ook een windows media player doet het niet als ze die in een pagina hebben gestopt. Niets tegen flash dus. Alles wat er 'verkeerd' ingeladen word word niet gelijk geactiveerd. En de workaround is nu ook niet ingewikkeld te noemen.

<script src="Embed.js"></script>

[embed.js]
document.write('<OBJECT classid="clsid:D27CDB6E-AE6D-11cf-96B8-444553540000"')
document.write(' codebase="http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,0,0"')
document.write(' WIDTH="493" HEIGHT="242" id="main" ALIGN="">')
document.write(' <PARAM NAME=movie VALUE="main.swf">')
document.write(' <PARAM NAME=quality VALUE=high>')
document.write(' <PARAM NAME=bgcolor VALUE=#929292>')
document.write(' <EMBED src="main.swf" quality=high bgcolor=#929292 WIDTH="493" HEIGHT="242" NAME="main" ALIGN=""')
document.write(' TYPE="application/x-shockwave-flash" PLUGINSPAGE="http://www.macromedia.com/go/getflashplayer"></EMBED> ')
document.write(' </OBJECT> ')

jurrie @markvt • 13 april 2006 08:11

Dus webdevelopers zijn sowieso altijd de klos.

Ik zou zeggen "IE gebruikers zijn de klos". Ik als devver hoef niet op een paar knopjes te drukken alvorens ik de video kan bekijken. Zij als gebruikers wel.

Verder vraag ik me af hoe het met FF/Opera/Safari en consorten zal gaan. Het is een Amerikaans patent -> Apple = USA, Mozilla Foundation = Ook USA? Opera -> Europa.
Zou je bijna denken dat alleen Opera de dans kan ontspringen..

Hier boven wordt trouwens beweerd dat het om de <EMBED> tag gaat -- geldt dit dan niet voor <OBJECT>? De laatste is nl wel approved

Verwijderd @markvt • 13 april 2006 07:41

Door alles inline met javascript uit te schrijven verknoei je de toegankelijkheid en de webstandaarden. Geweldig idee van microsoft weer, het valt me mee dat je het niet in VBscript moet uitschrijven.

aaiding @markvt • 13 april 2006 08:02

Plus, wanneer je script debugging aan hebt staan moet je alsnog "handmatig activeren".

Dus webdevelopers zijn sowieso altijd de klos.

killercow @markvt • 13 april 2006 09:40

not-for-profit organisaties (zoals mozilla) hebben een toezegging gekregen de licentie gratis te mogen gebruiken.

dit geld dus voor zowel khtml als gecko

Verwijderd @markvt • 13 april 2006 11:08

Hoe wil jij een Flash object of een Video op een textreader lezen?

Jazco2nd 12 april 2006 23:45

.
SP3 bestaat voor mij allang.. al is het niet officieel:

[MeulC] Post-SP2 Update Pack February 2006 (Windows Update)
of
RyanVM's Update Pack NL Januari Release 01/06

De eerste is, zoals de naam al zegt, een pack met de post-SP2 updates die ook in Windows Update verschijnen.
De tweede is uitgebreider en bevat meer updates.

berend_engelbrecht @Jazco2nd • 17 april 2006 10:00

Op die RyanVM site staat sinds afgelopen vrijdag een nieuwe versie die tot april is bijgewerkt:
Post-SP2 Update Pack April 2006 (Windows Update) - Dutch

nitroke @Jazco2nd • 13 april 2006 08:47

Hoewel bovenstaande zeker niet slecht zijn, ben ik eerder een fan van Autopatcher. Zeker omdat deze meer mogelijkheden biedt dan enkel patchen maar ook tweaks en dergelijke kan doen.

Ook is Autopatcher iets sneller met updaten sinds je bij autopatcher ook de updates van Maart erbij kan hebben.

http://www.autopatcher.com/

needless to say @nitroke • 13 april 2006 09:49

maar wat gaat het selecteren van updates traag bij autopatcher!!

Ik vink iets aan en mijn 3500+ doet er seconden over eer ik weer iets kan aanvinken. Zelfde met mijn PIII-800 en K6-III-400.

Erg vervelend aangezien ik er langer over doe met de gewenste updates te selecteren dan ze te installeren.

Verwijderd 13 april 2006 05:48

Een belangrijke opmerking over patch MS06-013 mag niet onvermeld blijven: deze patcht niet alleen lekken in Internet Explorer, maar fixt ook Microsofts juridische probleem met het Eolas-patent. Het installeren van de patch leidt er (naar verwachting slechts tijdelijk) toe dat ActiveX-objecten op een door de browser ingeladen pagina niet meer automatisch geactiveerd worden.

Zijn de patenten toch nog ergens goed voor

Rob @Verwijderd • 14 april 2006 19:36

Wat is hier goed aan?
Goed dat een heleboel websites aangepast moeten worden en dat alle websites die aangepast worden niet meer aan de standaarden voldoen.

Nee, Eolas mag zich op de schouder kloppen....heel hard... met een knuppel. Ik hoop dat ze blij zijn dat er een heleboel websites aangepast moeten worden.

De_Klusjesman 13 april 2006 10:32

Erg leuk die Eolas-patch, maar als er nu een pagina met ActiveX wordt geladen, vraagt IE

"Klik hier als u een ActiveX-besturingselement op deze webpagina wilt uitvoeren"

met alleen een OK knop. De leek ziet alleen de OK knop en voert het dus automatisch uit. Het had MS niet misstaan om hier ook een Annuleren knop in te zetten.

Bovendien als ik op OK druk crasht IE en als ik op het venster sluit crasht IE ook, dit gebeurde voor de patch niet. Maar dit terzijde...

nietes 12 april 2006 23:40

Draai vanaf dat servicepack 1 uitkwam al daarmee, heb nooit een update gedaan en nooit geen problemen gehad, en nu niet gaan zeggen die komen wel. Goeie firewall, virusscanner en een programma voor spy en adware en geen problemen

BramT @nietes • 13 april 2006 00:11

Zonder de aanmerkelijk vertragende 'goeie' firewall, virusscanner en anti-spy/adware software maar gewoon met de patches heb je ook geen problemen, maar wel een snellere pc.

Imho zit de beste beveiliging tussen je oren. Ook software die geinstalleerd is (antivirus/firewall) kan uitgeschakeld/omzeild worden, terwijl na een patch het gewoon echt dicht is (nemen we even aan voor de sake of argument).

it0 @BramT • 13 april 2006 08:38

Behalve als je naar pr0n aan het kijken bent dan zit het verstand tussen je benen en op die sites loop je ook het meeste risico. En het maakt niet hoe goed je verstand is of waar het zit, als je iets kan oplopen alleen maar door een site te bezoeken dan doe je daar niks tegen. En iedereen klikt dagelijks op tientallen nieuwe links.

Isnowiz @BramT • 13 april 2006 02:01

Helaas zorgen patches vaak voor nieuwe problemen...

gp500 @nietes • 13 april 2006 00:22

Die patches dichten gaten die backdoors zijn, daar doet je virusscanner of firewall weinig aan.

arjankoole @gp500 • 13 april 2006 11:51

Die patches dichten gaten die backdoors zijn, daar doet je virusscanner of firewall weinig aan.

Dat is, strikt gezien, niet helemaal waar. Een backdoor is een poortje op je PC dat open staat, en er dus een programma achter draait. Zo deed MS Blaster systemen infecteren via poort 135 (of 137/138, ik ben vergeten welke exact). Slammer pakte de MSSQL poort.

Een backdoor kan dus een legitiem ding zijn, maar het kan ook een niet legitiem ding zijn of een bug. (of iets legitiems met een bug waar bijvoorbeeld bovengenoemde wormpjes misbruik van maakten).

Een hoop van de nieuw gepatchte dingen zijn exploitable gaten, waardoor kwaadwillenden code kunnen laten uitvoeren, bijvoorbeeld in een speciaal daarvoor geproduceerd plaatje. Daar werken virusscanners inderdaad niet altijd tegen, maar een goeie firewall gaat wel even aan de gebruiker vragen of programa xyz (wat ie nog niet kent) verbinding mag maken met het netwerk, dan wel een poort mag openen. Een simpele firewall (lees: voor homeusers) deed de ergste ellende met bijvoorbeeld Blaster al gelijk tegenhouden.

RetepV @nietes • 14 april 2006 12:03

Goeie firewall,

Vertraging

virusscanner

Vertraging

en een programma voor spy en adware

Nog meer vertraging

en geen problemen

Iets wat je eigenlijk al verwachtte dat je kreeg toen je Windows XP kaal installeerde...

Amdk6II 12 april 2006 23:19

Vandaag nog een bak met WinXP sp2 home geinstalleerd voor een klant.
Het aantal patchen dat gedownload moet worden daarna is nu 41!

[Edit] Mijn reactie word ook heftig gepatched.

Beoordelingen: +1: Standaard niveau, -1: First post, -1: First post, +1: Interessant, -1: First post, +0,80: Interessant, +0,67: Informatief, +0,57: Informatief, -0,50: First post, -0,44: Overbodig, +0,40: Interessant, -0,36: First post, +0,33: Ondergewaardeerd, -0,31: First post, +0,29: Interessant, +0,27: Ondergewaardeerd, +0,25: Interessant, -0,24: First post, -0,22: Overbodig, -0,21: Off-topic, +0,20: Informatief, -0,19: Overgewaardeerd, +0,18: Informatief, +0,17: Gemodereerd, +0,17: Informatief, -0,16: First post, -0,15: Overbodig, +0,15: Informatief, 0: Gemodereerd, -0,13: Overbodig, +0,12: Informatief, +0,11: Informatief, Som: 0.77 / 32x

Verwijderd @Amdk6II • 12 april 2006 23:54

Vandaar dat deze site ook HEEL erg handig is:

http://www.msfn.org/board/index.php?showtopic=31886

Down ze allemaal, ff installen en klaar

eNaSnI @Verwijderd • 13 april 2006 06:33

Een soort handmatige AutoPatcherXP?

Diddle @Verwijderd • 14 april 2006 02:46

Ja, lijkt me ook heel handig ja, alle patches handmatig downloaden en vervolgens allemaal handmatig installeren om 1 computer met WinXP Home SP2 te patchen.

Je zou natuurlijk ook Microsoft Update alles automatisch kunnen laten doen.

PD2JK

@Amdk6II • 12 april 2006 23:33

Nog even wachten en dan komt Service Pack 3 uit. Die staat gepland voor volgend jaar tijdens of na de release van Vista.
klik

maxxware @PD2JK • 13 april 2006 07:21

Tsja... wachten tot bugs gefixt worden en tevreden zijn. Dat zegt wel weer genoeg... De Windows gebruiker berust inmiddels in het feit dat zijn of haar OS laat gepatched wordt, de 'Typoid Mary' op Internet is en geplaagd wordt door spyware.

leuk_he @PD2JK • 13 april 2006 14:32

Dat laat je pc dus nog heel lang (wellicht tot 2007) open voor gaten. Niet erg handig dus. Als je perse een servicepack achitge constuctie ipv autoupdate wilt, die zijn ook te krijgen.

Zelf heb ik ervaring met autopatcher. Die komen binnnenkort ook vast met een april update.

ironx @Amdk6II • 12 april 2006 23:28

Dat moet toch een veilig gevoel geven, als je weet dat zoveel bugjes geplet zijn?

n4m3l355 @ironx • 12 april 2006 23:32

Moet toch een veilig gevoel zijn dat het 23 dagen geduurd heeft er er 10 kritieke bugs geplat zijn die potentieel jou systeem konden overnemen door een tal van gaten. Moet mij tevens deze maandelijkse cycle zeker weer een veilig gevoel geven dat MS daadwerkelijk iets aan veiligheid doet.
Aan de ene kant kan ik het wel begrijpen dat liever grote firms die liever op hun gemak deze patches testen eer ze deze los laten en dat dan liever maandelijks doen maar aan de andere kant het idee dat zo wereldwijd miljarden systemen potentieel open blijven omdat we op de cycle moeten wachten vind ik toch eigenlijk niet meer iets van de tijd en zeker niet binnen het plaatje passen dat MS iets probeert te doen aan de veiligheid.
Leuk detail trouwens stel je gebruikt geen FF zoals menigeen, maar wel nog bv Outlook of Word het is nog steeds dat je IE gebruikt wanneer iets html bevat, weer een 'yay' gevoel

foppe-jan @n4m3l355 • 13 april 2006 14:43

ach.. installeer dan gewoon de IE7 beta.. k heb bij deze laatste patchronde geen enkele (puur) IE-related bugfix gezien, op iets kneuzigs na wat de browser-ID aanpast naar IE6 omdat sommige sites anders gaan melden dat je moet upgraden naar IE6 om er van hen op te mogen.

RetepV @ironx • 14 april 2006 12:02

Dat moet toch een veilig gevoel geven, als je weet dat zoveel bugjes geplet zijn?

Een nogal groot probleem dat nogal gedownplayed wordt is dat je wel eerst met je ongepatchte systeem het internet op moet om de patches te downloaden.

En er zitten duizenden trojans op het internet te wachten tot mensen met hun ongepatchte systeem het internet opgaan.

AugmentoR @Amdk6II • 12 april 2006 23:43

Mod deze maar weg, maar WIE zit hier toch élke first post te 'first-posten'... Amdk6ll had best een interessante opmerking.

Parasietje 13 april 2006 00:02

Ik vraag me af of we meer van die non-security patches gaan zien. Stel je voor dat MS plots juridisch gezien verplicht wordt om eerst een leeftijdscheck te doen voor je met IE op porno-sites komt. Of dat MS verplicht wordt door de Amerikaanse overheid om kiddie-porn detectiesoftware op ieders pc te installeren.

Windows Update is een vrij gevaarlijk ding! MS is machtig en kan hiermee bepalen wat op ieders computer komt.

Even de vergelijking: als zoiets plots in de portage tree van Gentoo Linux gebeurt, bekijk ik nog steeds manueel de te installeren pakketten. Het is een moeilijke afweging tussen veiligheid (automatisch updaten dus) en dingen als privacy.

Ik zie het nog gebeuren, met die machtsgeile gekken daar in de Bush-regering...

CodeCaster @Parasietje • 13 april 2006 00:06

Configuratiescherm --> Beveiligingscentrum --> Automatische Updates --> Uitschakelen.

Je bent niet verplicht om ze te downloaden. Met een goede firewall, virusscanner en andere browser ben je al zeer goed beschermd tegen aanvallen van buitenaf èn binnenuit.

Xorgye @Parasietje • 13 april 2006 00:13

Ik heb net windows update gedraait via hun site en heb gewoon die update er uit kunnen filteren en niet installeren

Trouwens, worden je pagina's er slechter op als je dat uit zet? Volgens mij is t ook al standaart uit bij FireFox of zo...

Verwijderd @Xorgye • 14 april 2006 01:23

Firefox ondersteunt geen ActiveX. Sterker nog: Internet Explorer is de enige browser waarbij ActiveX gebruikt kan worden. Andere browser dan IE kunnen dan ook nooit last hebben van juridische zaken die iets met ActiveX te maken hebben.

Abom @Parasietje • 13 april 2006 08:09

Misschien moet je even je nick veranderen in paranoidje

RetepV @Abom • 14 april 2006 12:04

Ik ben paranoide....

Maar ben ik paranoide genoeg?

markvt 13 april 2006 07:10

Die eolas patch was al tijden als niet security update te downloaden die professionals moeten dus niet zeuren microsoft heeft dit al ruime tijd aangekondigd. En je website updaten had iedereen dus al gedaan kunnen en moeten hebben.

Milt @markvt • 13 april 2006 09:39

Maar als je tientallen, zo niet honderden klanten hebt met grote websites dan wordt je er toch wat minder gelukkig van. Je moet er niet alleen de tijd voor zien te vinden, maar wie gaat dat allemaal betalen?

Verwijderd @Milt • 13 april 2006 15:02

de tijd voor vinden? Als jouw SysAdmin niet met grep overweg kan (of web developer met een simpele Find tool) om alle object/embed tags te kunnen vinden, dan heb je grotere problemen met je SysAdmin dan dat deze geen tijd zou hebben.

Wie betaald het? De werkgever, als onderdeel van het loon van de SysAdmin - die doet tenslotte zijn/haar werk.

Rare vragen... ik snap dat je niet blij bent met de 'update', ik had het ook liever anders gezien (namelijk helemaal geen rechtzaak van, danwel patent op naam van, Eolas), maar dit soort dingen horen er nu eenmaal bij.

Milt @Verwijderd • 17 april 2006 01:12

Je bent zeker met bouwen van websites niet verder gekomen dan een homepage in een paar HTML bestandjes???

Dynamisch gegeneerde websites met bijvoorbeeld een CMS zijn iets ingewikkelde van opbouw en dan kun je niet meer zo eenvoudig met een search/replace even alle object tags vervangen. De HTML wordt dynamisch gegenereerd en ook object tags worden veel dynamisch opgebouw afhankelijk van de omstandigheden en de movie (wel/niet transparency, bgcolor, wel/niet loop, width/height, etc...).

De object tags vinden zal nog wel lukken, maar de aanpassing die dan nodig is zan veelal verschillen van site tot site of zelfs van pagina tot pagina.

Wie dat betaald is helemaal geen rare vraag omdat het veelal niet een 5 minuten search en replace actie is. Een Webmaster die in loondienst is en maar 1 website hoeft te beheren/wijzigen heeft dan nog geluk. Maar webbureaus die tientallen zo niet honderden klanten hebben, hebben er veel meer werk aan. En daar is de vraag "wie gaat het betalen" wel heel relevant. Veel klanten zitten er ook niet op te wachten om die uren te betalen.

Verwijderd 13 april 2006 00:33

Wat ik niet begrijp is de grote hoeveelhied patches. Ik bedoel als je XP installeert (en dat deed ik laatst voor het eerst; ben OSX gewend) krijg je zo'n gigantische hoeveelheid updates...

Ik ben OSX gewend, en als ik daar bijvoorbeeld Tiger opzet, wordt hij direct in één keer geupdate naar de laatste versie van OSX... niet eerst 40 updates maar één update die gelijk naar de laatste versie update. Begrijp niet dat ze dit bij Windows niet doen.

Nu krijg ik de optie om updates één voor één te installeren?...

...maar wellicht zie ik iets over het hoofd...

onno2 13 april 2006 04:53

Ik heb het idee dat MS veel sneller van zijn veiligheids gaten af zijn als ze ook enige compensatie offeren voor het vinden van nieuwe gaten. Een woordje "BEDANKT!" en MS kan vrolijk verder met geld verdienen. Terwijl degene die een veiligheids lek vindt eerst ook moet betelen voor dit produkt. Op zijn minst vind ik dat MS een gratis licensie mag geven aan zo'n gat-vinder en een licensie van een komende Windows kan d'r natuurlijk ook bij.

Op dit item kan niet meer gereageerd worden.

Microsoft patcht tien kritieke bugs, Eolas-patch ook in update

Lees meer

Reacties (61)

Sorteer op:

Weergave: