Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties
Bron: Microsoft, submitter: Spleasure

Ongeveer een week na het verschijnen van een nieuwe exploit die gebruikmaakt van een fout in de Vector Markup Language-verwerking van Internet Explorer, heeft Microsoft een patch voor dit probleem beschikbaar gesteld. Het bedrijf had vrijdag al besloten dat het probleem dermate kritiek is dat het zich niet kan veroorloven tot de volgende maandelijkse patchdag om de update te verspreiden. Bij Microsoft worden lekken overigens als 'kritiek' bestempeld als ze ervoor kunnen zorgen dat een gebruiker zonder enige interactie met zijn computer het slachtoffer wordt van een aanval middels dat lek.

VML-patch
Moderatie-faq Wijzig weergave

Reacties (50)

Op zich een goede actie. Wellicht lastig voor systeembeheerders, dat er plotseling een update doorheen komt, maar het komt de veiligheid alleen maar ten goede.

En Windows hoefde dit maal niet eens opnieuw opgestart te worden ;)
Als een systeembeheerder dit al lastig vindt moet deze beheerder meteen ontslagen worden!

Een systeembeheerder is er voor om systemen te beheren, dus ook te onderhouden en patchen, daar wordt de beheerder tenslotte voor betaald....

Een uurtje niet internetten, maar werken en de patch is uitgerold....
Tja en als systeembeheerder ga jij bij de eerste gelegenheid een patch uitrollen zeker ...
Dan werk je ook niet zo lang meer in diezelfde functie.
Patchen mag als er maar niet hoeft te worden gereboot (en aangezien elke patch tegenwoordig claimt dat er misschien moet worden gereboot) en als er wel gereboot moet worden dan mag het niet overdag vanwege verstoring, niet s'avonds vanwege allerlei batches en scripts.
s'nachts loopt er een backup en smorgens dan zijn ze der weer :-)

Je moet het eens in je botte hoofd halen wekelijks patches uit te gaan rollen naar iedereen... ze zagen de poten onder je stoel uit....

De tijd dat je als systeembeheerder wat Rrrrrrespect had is alweer lang voorbij, tegenwoordig ben je die nerd die effe een ghostimage op een nieuwe PC zet en windows update configureert , en verder alleen maar tot last bent omdat de systemen tegenwoordig (bijna te) stabiel zijn :-)

Ed denkt weemoedig terug aan de tijd dat hij IBM'etjes met windows 3.1 moest beheren en een keer in het half jaar de simvoetjes met een gum moest schoongummen om memory problemen te verhelpen bij die IBM machientjes.


3 keer HOEZEE voor MS dat ze de patches daar waar mogelijk zoveel mogelijk bundelen en toch de flexibiliteit tonen tussentijds te releases als de noodzaak dermate hoog is dat dit verantwoord is. :+
Vandaag de patch binnengekregen via WSUS.
Geen rebooten nodig om te installeren. Via group policy kun je forceren dat clients de patches automatisch installeren van de WSUS server. (Zelfs zonder de gebruiker dit te laten weten.)

Als de patch binnenkomt kan je hem automatisch in een testgroep laten zetten in WSUS. Dus je kan een paar testbakken (virtual machines in mijn geval) de patch laten runnen. Als dat goedloopt keur je de patch goed en hoogstens een dag later heeft het hele netwerk hem. Als er gereboot moet worden voor een patch kan je deze laten uitvoeren bij systeem shutdown.

MAW: Als je vooraf elke patch test en op deze manier uitrolt hebben je gebruikers niet eens door dat je constant vanalles aant het updaten bent. :Y)
Een goede systeembeheerder schat in of een patch belangrijk is of niet.

Als de patch niet kritiek is heb je dus alle tijd.

Bij een wel kritieke patch zul je zo snel mogelijk moeten handelen.

Klagen dat dat vervelend is kan best maar het is je werk, daar wordt je voor betaald. Een ander vak leren kan altijd nog als het allemaal zo zwaar is.
Een uurtje? Moet ik toch aardig doorklussen!
Momenteel doen we hier met 2 personen zo'n 150 servers, mooi dat je dan weinig tijd hebt om even tussendoor zo'n patch te testen en uit te rollen.

Beheerders die gelijk alles opzij kunnen zetten om een losse nieuwe patch uit te rollen hebben eerder te weinig te doen.

Patchen wij dan niet? Jazeker wel, maar met een ander interval.
In de boze zakelijke buitenwereld moet je wel eens concessies doen en afwijken van de theorie! ;)
@Sybesma

Iets minder agressief reageren mag best hoor...

Niet dat ik me hoef te gaan verdedigen, maar goed.
De hoeveelheid servers is 1 ding, maar ze staan ook nog in 20 landen, met gebrekkige verbindingen.
Naast serverbeheer doen we ook nog applicatiebeheer, netwerkbeheer, en hebben we een aantal grote langlopende projecten.
Phase out van een aantal hardwareplatforms, operating systems, en versie upgrades.

Momenteel zitten we even in een iets rustiger periode, maar de laatste maanden waren werkweken van 55 uur en meer redelijk standaard.
Hoor je mij klagen?
Nee hoor, ik vind het wel een uitdaging.
De arbeidsvoorwaarden zijn goed, dus de periodieke druktes neem ik zonder morren op de koop toe.

Alleen kan ik het niet verantwoorden om lopende projecten opzij te zetten om snel een tussentijdse patch uit te gaan rollen.
Komt bij dat we nog veel oudere servers met legacy applicaties hebben, nooit gedocumenteerd en zeker niet met de laatste updates.
Theoretisch moeten we dat allemaal gaan patchen ja. Heel leuk, maar dan lopen we wel gelijk maanden achter met projecten.

Projecten zoals disaster recovery zijn op dit moment voor de business veel relevanter dan zo'n patch.
Je hebt theorie en praktijk, dat is geen onwil, maar een gezonde keuze kunnen maken.
Amen to that brother ...

Zo kun je het onderscheid vrij snel zien tussen de praktische en ideologische insteek van hoe een systeembeheerder werkt/moet werken.

Een uurtje internetten is er niet bij (hooguit tweakers bijhouden omdat dat belangrijk is voor mijn functioneren) :-)
Dan mag je mij vertellen wat je een hele dag te doen hebt aan goed geconfigureerde servers.

Dat je hier op tweakers aan het reageren bent bewijst wat mij betreft al genoeg.

En heb je het met twee man echt druk.. dus elke dag minimaal een uur overwerken moet je gaan klagen bij je baas en opslag eisen of een extra medewerker.. Lukt dat niet, andere baan zoeken of niet zeuren...
Bij mij (Vier pc's) nochtans wel :?
Even voor de duidelijkheid: mensen met Internet Explorer 7 krijgen de patch niet aangezien die al niet vatbaar was voor deze exploit.

En ik hoefde ook niet te rebooten ;)
Inderdaad, met IE7beta krijg je de melding 'De versie van Internet Explorer die is geÔnstalleerd, komt niet overeen met de update die u wilt installeren.'
@tobiaz:

Het beperken tot 1x per maand is puur gedaan om het zichzelf makkelijker te maken. Dat betekent in feite dat ze maar 1x een integratie test hoeven te doen (als ie goed gaat tenminste :) )

En dat zie je ook terug in de kwaliteit van hun patches. Als ik het me goed herinner is het nog maar 1x voorgekomen dat een patch ervoor zorgde dat bepaalde applicaties niet meer draaien.

Dat ze tussendoor patches releasen siert ze alleen maar.

P.S. Ik ben geen MS medewerker en ook geen fan-boy
Hoezo maar 1x een integratietest?
Dat moeten ze echt wel per patch doen, anders gaat er straks iets missen en dan mogen ze gaan raden in welke patch de fout zit...
The patch is no longer needed and is no longer publically available for download.

Mocht je de onofficiŽle ZERT patch nog willen verwijderen voordat je de Microsoft patch installeert, hier zijn de instructies van de ZERT homepage:

Execute the following command from Start\ Run after installing the Microsoft patch:
regsvr32 "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"
[principe modus]
Wat ik zo 'jammer' vind is dat MS een tijd terug besloot geen updates te doen tot die ene update dag in de maand. En al met al gooien ze er wel steeds 'kritieke' updates tussendoor. Zeg dan niet dat je het 1x per maand gaat doen (het verhaal toen was: 1x per maand ongeacht de risico factor)
[/modus]

Maargoed, voor de user is dit natuurlijk geen probleem.

Lol @ moderaties: Mijn reactie gaat over MS strategie om patches op een patch dag uit te geven, de titel van dit bericht gaat over het vervroegt uitbrengen van een patch. Mja dat heeft verder niets met elkaar te maken nee.....
Wat wil je nou? Als je echt met 2 voeten in het beton staat dan negeer je de installatie van die kritieke patch tot de eerstvolgende patch-tuesday.

Als Microsoft hiermee wacht zetten ze veel gebruikers in de kou, als Microsoft dat niet doet krijgen ze dit soort kritiek. Wat Microsoft destijds bedoelde is dat ze proberen zoveel mogelijk problemen in 1 patch te stoppen maar gezien dit een echte kritieke exploit is die zelfs in een redelijk wijd verspreid hacktooltje is opgenomen is het in mijn optiek een goede keuze om dit nu al op te lossen. Principe of niet. Belang gaat hier voor!
Het kan soms erg vervelend zijn als je (onverwacht) moet rebooten. Als MS zou zeggen 'elke dinsdag kun je eventueel een patch verwachten' zou ik daar volledig vrede mee hebben, nu komen ze idd lukraak om je oren (ookal lijkt het idd steeds op di/woe te zijn).

Ik wil vooral weten waar ik aan toe ben, of dat elke week of elke maand is maakt me niet uit. Wat dat betreft dus vond ik de maandelijkse updates een prima initiatief van MS, wellicht moeten ze alleen de tijdspanne wat herzien.
Je wilt dit denk ik alleen weten als je over servers praat. Voor servers is een internet explorer patch mijn inziens niet echt critical.. Ik zou hem dus gewoon mee laten lopen met maandelijks SUS update o.i.d.
Ik hoefde ook niet opnieuw op te starten en had niets gedaan via DLL unreggen en toestanden. Ik draai wel een originele windows xp home sp2, misschien dat het daar iets mee te maken heeft. ;)
Er staat dan ook:

"you MAY have to" wat zoveel zou zeggen als "het KAN zijn dat" ...

Overal bouwt men (overbodige) waarschuwingen in.
Je zou als bedrijf maar eens aangeklaagd kunnen worden door een manager die met een megadeal bezig was met een mega bedrijf die vanavond moet opgeleverd worden, deze update instaleren, en POEF, je pc herstart, en je hebt het document nog niet opgeslagen.
Maar waarom weet MS niet of je PC wel of niet moet restarten?

Bij Apple Software Updates is het altijd duidelijk. Ik vind dit gek.
Apple draait op de meeste machines praktisch in een klinische omgeving. Drivers, etc... komen bijna altijd van Apple af en aan de systeembestanden kan al bijna helemaal niet gerotzooid worden.

Daarom kan Apple garanderen dat je zeker moet rebooten of zeker niet moet rebooten.

Windows is veel vrijer, (en ook veel meer een rotzooitje) waardoor bepaalde bestanden in gebruik zouden kunnen zijn of periodiek worden aangeroepen waardoor problemen zouden kunnen optreden als je per direct het bestand veranderd. Vandaar dat die melding komt.
Ik weet niet of het lag omdat ik de DLL had ge-unregd, maar ik hoefde iig niet te herstarten van de machine. Voor de zekerheid maar wel gedaan :)
Overigens met de hand weer de DLL reggen als je 'm unregd had.
De w2k machine deed bij mij een automatische reboot.
Zeker spontaan en zonder het te vragen
Dat is knap, want ik kreeg wel een dialog box met opnieuw opstarten : nu | later
ik had dat niet gedaan en hoefde op 4 machines ook niet te rebooten dusse....
waarom lees ik hier zoveel berichten over dat ze niet moesten rebooten?

er staat toch duidelijk bij de update "you may have to restart".. en niet "you need to restart".

edit: iid bartgabriels.

edit2: bartgabriels - is las barbiegirls als je nick... lol.
komt misschien ook omdat ik met 1600x1200 op een klein laptop schempje zit. en tweakers is zo lekker scalable
Owki,
ik ga nu even onder mijn bureau zitten en bekomen van het lachen :P

Is er geen spreekwoord als: Waar het hard van vol is, loopt de mond van over ? (in Vlaanderen alvast).

Of je leest wat je wil lezen ...
Is er geen spreekwoord als: Waar het hard van vol is, loopt de mond van over?
Iets over hard weet ik niet maar er is wel een soortgelijk spreekwoord over een hart ;)
Na deze patch automatisch was geinstalleerd op een W2K systeem, startte deze niet meer op. Erg fijn, zo'n vervroegede patch, maar dan moet hij wel werken.
raar toch, want ik heb nergens last van gehad na het automatisch installeren op w2k... zal toch wel een ander probleem zijn geweest...
Dat doet er niet toe. Dutchguy had een werkend systeem met een 'kritiek probleem' en toen een niet werkend systeem. En kom nou niet aan met: dan zal hij wel [invullen] geÔnstalleerd hebben en dan is het dus niet de schuld van MS. Linksom of rechtsom heeft MS in eerste instantie iets fout gedaan.
Precies om die reden heb ik automatisch installeren op w2k ook uitgezet, gaat idd erg vaak fout (in 2005 al 2x als ik goed heb geteld), idd erg lullig zo'n tussentijdse patch die de boel platgooid, vooral als je er even niet bent. Met XP lijkt dat al een stuk beter gaan (ookal heb ik automatisch installeren daar nu ook uitstaan, downloaden mag ie wel). W2k is duidelijk het stiefkindje bij MS...
Ik vraag mij altijd af... Microsoft patcht iets omdat er fouten of gebreken zijn in de programmering/beveiliging, maar van Unix/Linux hoor je nooit wat van in mijn obtiek.

Het lijkt mij onlogisch en ideaalistisch dat Unix en Linux perfekt zijn.
Mensen krijgen het gevoel alsof microsoft zo verschrikkelijk slecht is en veel patches en onderhoud nodig heeft.

Of word er alles binnen Unix/Linux in de doofpot gestopt en komt er weinig of niks naarbuiten in de media!
Nee hoor, alleen duiken nieuwssites zoals tweakers er niet bovenop. En dat heeft een reden, want zero-day exploits waarmee op afstand zonder inteactie code uit te voeren is op een Linux/Unix machine, zijn zeldzaam, als ze er ooit al geweest zijn. hangt natuurlijk ook samen met de manier hoe de verschillende operatingsystems in elkaar zitten.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True