Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties
Bron: C|Net

Microsoft heeft problemen om zijn maandelijke serie 'patch Tuesday'-fixes via Automatic Updates afgeleverd te krijgen, zo meldt C|Net. Het gaat om tien patches waarvan er 6 kritiek zijn, die in totaal maar liefst 26 kwetsbaarheden aanpakken - waarmee het tot dusver de grootste patchronde van dit jaar is. De patches zijn handmatig via Microsofts Security Bulletin van deze maand binnen te hengelen. Microsofts technici zouden momenteel overuren draaien om het probleem te verhelpen. Eťn van de patches die normaliter in deze ronde zou hebben gezeten, voor het zogeheten VML-lek, werd vanwege 'zero day'-exploits vorige maand vervroegd uitgebracht.

WinBug Symantec waarschuwt ondertussen dat er voor verschillende kwetsbaarheden reeds exploits in omloop zijn, waaronder een die in juli boven kwam drijven en een Excel-lek uitbuit, en eentje die van een probleem met Word misbruik maakt en vorige maand de kop opstak. Volgens het bedrijf illustreert het grote aantal bugfixes van deze maand toegenomen activiteit onder hackers om problemen op te sporen en uit te buiten. Ook voor een Powerpoint-probleem dat in de patchronde wordt aangepak, zouden al exploits zijn gesignaleerd. C|Net heeft informatie over alle patches van deze maand op een overzichtspagina verzameld.

Update, woensdag 03:35 - Inmiddels blijkt het probleem met Automatic Updates verholpen en worden de patches normaal afgeleverd.

Moderatie-faq Wijzig weergave

Reacties (65)

Volgens het bedrijf illustreert het grote aantal bugfixes van deze maand toegenomen activiteit onder hackers om problemen op te sporen en uit te buiten.
Dit illustreert niet alleen toegenomen activiteit om ze op te sporen, dit illustreert vooral hoeveel moeite Microsoft heeft om de hoeveelheid fouten te patchen en te testen. En volgens mij neemt vooral het testen veel tijd in beslag. Men wil uiteraard voorkomen dat men geen nieuwe fouten introduceert bij patches en men wil voorkomen dat een gepatched lek niet voor problemen kan zorgen in bijvoorbeeld Word. De blob aan code is te groot geworden om snel en correct te reageren. Het moet anders... Maar dan zal microsoft overstag moeten gaan en bepaalde zaken laten varen. De tijd zal het leren..
Ik ben het met je eens dat bepaalde zaken te lang duren. Zo vind ik voornaamste reden waarom Microsoft bepaalde patches niet uitbrengt (testprocedures) niet echt een goede reden, juist omdat er een aantal kritieke lekken zijn die per direct gedicht moeten worden juist omdat er exploits van in The Wild zijn. Ook zijn er veel bugs die al maanden bekend zijn maar die dus niet zo 1,2,3 niet gepatched worden. Ik denk dat het komt dat wanneer het publiek het niet te weten komt, er ook geen exploits komen en daardoor ook de patches op de lange baan geschoven worden. Dit kun je onder andere zien op de manier hoe Microsoft kritiek uit op een beveiligingsexpert X wanneer hij aangeeft dat er een bug is, proof-of-concept heeft, aangeeft dat dit maanden terug is gemeld aan Microsoft maar dat zijn nog niks hebben uitgebracht.

Ik denk ook dat het meer laksheid en prioriteiten stellen is dan de testprocedure. Een bedrijf dat miljarden verdiend kan best wel een kan ontwikkelaars aantrekken (of eigenlijk erbij doen) die zich bezig houden met het verhelpen van de bugs. Ik denk nu dat het kwestie is van prioriteiten, Office 2007 en Windows Vista staat om het hoekje te gluren en ik dat hierdoor een grote groep ontwikkelaars binnen Microsoft zich niet meer bezig houd met het verhelpen van bugs bij de 'oudere generatie' van besturingssystemen.

Uitstellen is overigens ook geen optie, Windows is het meest gebruikte besturingssysteem ter wereld en dit brengt verantwoordelijkheden met zich mee. Zowel aan de consument als de zakelijke gebruikers. Microsoft kan het zich niet permiteren om de boel te verzetten juist omdat de meeste bugs al resulteren in exploits en omdat circa 80% van de computergebruikers in de wereld liever niet hun persoonlijke spullen op straat willen vinden ;)
Je hebt misschien gelijk betreft laksheid en het uitkomen van Vista en Office 2007.
Maar bedrijven kopen support voor een product, Microsoft heeft de taak problemen op te lossen. En ben ik ervan overtuigd dat vooral de codebase te maken heeft met het niet op tijd uitkomen van patches en het uitblijven van patches. Zelfs de vetragingen van Vista zijn grotendeels te verwijten aan het te complex opbouwen van een OS. Dat alles om de backwards compatibility te kunnen behouden. Dit moet anders en gaat anders worden. De vraag is alleen wanneer. Ik denk dat Vista het laatste OS zal zijn in de vorm zoals we windows kennen.
Voor de meeste kritieke bugs zijn vaak workarounds om de ergste schade te beperken, bv een hardware firewall gebruiken of javascript disablen. Stel je eens voor dat MS patches niet meer test op een grote hoeveelheid verschillende systemen en er word een patch uitgebracht die als bijwerking alle NTFS-volumes de ATA-controller van een VIA-chipset hangen corrupt maakt.

Leuk he, de bug is binnen een paar uur opgelost, maar duizenden mensen hebben pc's waar ze niets meer mee kunnen doen. Hoe veel van dat soort bijwerkingen zullen er nodig zijn voordat consumenten helemaal stoppen met patchen...

Misschien worden sommige bugs niet gefixt omdat de fix bepaalde windows functionaliteit breekt, of bepaalde 3rd party apps. BV ms brengt een patch uit en opeens werkt een API niet meer of anders en als gevolg daarvan werkt FF niet meer...

Het is natuurlijk heel erg fijn als je een bug binnen krijgt, een paar uurtjes code gaat kloppen, deze ff op je eigen machine test en dan de nieuwe code op het web zet. Iedereen die wil kan het gebruiken en jij kan claimen dat je binnen een paar uur een patch had. Als je echter een product levert wat door 80% van de computers ter wereld word gebruikt, en waarvan het grootste deel van je users geen tweakers is, dan kan je dat niet zomaar doen, dan moet je wel heel goed testen voordat je iets vrijgeeft.
Testen hoeft niet goed te gebeuren omdat er een kritiek lek is? Dus dan maar zoals Ubuntu het doet, niet testen en er even later achter komen dat een groot deel van de gebruikers de computer niet meer kan gebruiken?

Liever een tijdje ActiveX uitschakelen of iets dergelijks dan de computer niet meer kunnen gebruiken.
Zo zie je maar dat 3rd party software belangrijk is. Ik krijg de afgelopen dagen, soms 2 keer per dag, van Norton updates binnen.

Wat dat aangaat mag het van mij zo blijven, kan de een het niet beschermen dan kan gelukkig de ander het wel, een zogenaamde safety buffer.

En niemand is volmaakt, ook MS niet, maar door hun grote marktaandeel blijven ze kwetsbaar en zo ook de gebruikers.
nogmaals, toch wel erg snel van norton, raar he maar ik denk er het mijne van, laat ze nog wat harder zagen om kernel toegang in vista , yeah right. Virusmakers zijn anti-virusbedrijven staat in mijn boek. ;)
Dat is een sprookjesboek zeker?
10 jaar gebruik ik NIS en nergens last van, maar het lijkt me sterk dat ze continu hun eigen virussen en trojans lopen te schrijven. 1 nadeel echter, wat je over het hoofd ziet, al zou het zo zijn wat je beweerd, op voorhand weten ze niet welk progamma ik gebruik of ga gebruiken dus ze bereiken er vrij weinig mee.

In het verleden is het wel zo geweest, maar dat is wel heel lang geleden. Nu hebben de grote maatschappijen wat te verliezen, dus in deze tijd zal het niet gauw mee voorkomen, kostbaar als zoiets uit komt ;)
10 jaar gebruik ik NIS en nergens last van
Dat lijkt mij sterk, NIS werd namelijk in december 1999 voor het eerst geÔntroduceerd. Dat was Norton Internet Security 2000. Dus het bestaat nog niet eens 7 jaar....

http://www.symantec.com/press/2000/n000321.html
@ kontwolaapje: Voorlopers van NIS bestaan al langer.
@ nicetas: natuurlijk, zo zijn er overal voorlopers van, maar we hebben het hier over NIS, en niet over zijn voorlopers.
Dus geen 26 fouten maar 27 fouten, als je die in Automatische Updates meetelt :Y)
Misschien handig om patch 27 op monday te releasen zodat de 26 tuesday patches weer werken :Y)
Nee, want die 27e wordt niet aangepakt... het blijven er dus maar 26 die worden aangepakt...
Tja, voor de professionelen onder ons is dit waarschijnlijk oud nieuws en letten ze zelf ook nog wel eens op (toch? gebeurt ook vaak genoeg niet!), maar voor de thuisgebruikers kan dit wel hele vervelende gevolgen gaan hebben als er een leuk wormpje mee wordt geinjecteerd en wordt vrijgelaten.

Ben benieuwd wat dit zal doen als er echt stront aan de knikker is en in het eigen sue-happy thuisland voor dit in gebreke blijven (zo zal men het wel aanvoeren) naar gerecht wordt geroepen.

@ Little Penguin: grap zeker? Als er al 0-day exploits rond waren is het een kwestie van een korte tijd voordat er allerlei malware mee geprogrammeerd wordt... al helemaal als er steeds duidelijker is geworden om welke exploit mogelijkheden het gaat (een aantal zijn al terug te vinden).
Ben benieuwd wat dit zal doen als er echt stront aan de knikker is en in het eigen sue-happy thuisland voor dit in gebreke blijven (zo zal men het wel aanvoeren) naar gerecht wordt geroepen.
Lees de EULA maar eens een keer: (de meeste) softwarebedrijven zijn niet aansprakelijk door schade die ontstaat of kan ontstaan door fouten in de programmatuur. Ook MS heeft dat in al haar EULA's opgenomen...
Ooh in dat geval hoeven P2P-programma's niets meer te vrezen. :)
Zet gewoon in de EULA dat bij geleden schade ze niet verantwoordelijk zijn en de RIAA kan wel opdoeken. ;)

Ik vraag me af of het wel rechtsgeldig is, maar ik gok toch van niet in eerste instantie. Er staan wel vaker dingen in die EULA's die in de rechtzaal geen stand zouden houden. Waarom zou je Microsoft niet verantwoordelijk kunnen stellen voor het uitblijven van fixes voor kritieke bugs?
de wet gaat boven EULA's dus vooral in europa zijn die maar zeer ten dele geldig.
Mijn uitstel opmerking is 50% serieus en 50% grappig bedoelt: Als je patch tuesday 1 dag uitstelt dan is 't namelijk geen patch tuesday meer :).

Maar als je kritieke patches niet op tijd af hebt, dan zul je er toch voor moeten zorgen dat deze -als ze wel af zijn- zo snel mogelijk uitgerold worden. Ze pas in de update rond van de volgende maand meenemen lijkt me juist niet verstandig...
Dit is dus een nadeel van alle patches (op een paar na) op ťťn dag uit te brengen.
Als ze nou elke keer als ze een patch uit hebben deze de wereld insturen heb je niet het probleem dat als de auto-update weigert dat er geen enkle patch de deur uit gaat. Bovendien geef je kwaadwillenden minder kans om schade aan te richten.
Ja, lekker en dan elke dag rebooten zeker :>
Elke dag rebooten is enigzins overdreven. Ten eerste hoeft niet bij elk patch de pc geboot te worden. Ten tweede kun je windows zo instellen dat je pc wťl de updates download, maar dat ze pas worden geinstalleerd wanneer jij daar opdracht voor geeft. Dus jŪj hebt dan de keuze wanneer jij je updates wil instaleren. Dat kan als je dat wil ook over een week zijn.

De meeste mensen doen hun pc aan het einde van de dag nog altijd uit, dus zelfs als er gereboot moet worden hoeft het geen probleem te zijn.

En als je niet wil rebooten: Auto-update uit of een alternatief besturing systeem kiezen. :)
En als je dat dan nou zou kunnen instellen?

1. Installeer updates zodra beschikbaar.
2. Installeer updates pas wanneer ik dit aangeef.

Lijkt me perfect :)
Dat is al mogelijk.
Helaas zie je niet van te voren of je moet rebooten. Doe je de update toch dan kan je kiezen voor reboot later. Echter, dan krijg je elke <weinig> minuten een schermpje voor je snuffert die je eraan herinnert nog te moeten rebooten.
Als ze dŠt schermpje nou weglaten of uitschakelbaar maken dan heb ik geen enkel probleem meer en mag microsoft zovaak updates opp mijn pc zettne als ze wilen.

Dat is nog veiliger ook, want nu heb ik automatische updates uitstaan omdat het dan niet te voorspellen is wanneer hij gaat patchen en dus ik mogelijk moet rebooten.
Het is uitzetbaar. Hoe weet ik niet, maar het is niet bij alle windows installaties die ik gebruik. Nu ik er bij nadenk, maar dat kan toeval zijn, zijn alle Corporate/VLK installaties die ik ken zonder dat schermpje, en de paar normale retails met.
Lang niet voor elke fix moet er gereboot worden, dus je reactie is ietwat overdreven.
Of gewoon je pc uitzetten aan het eind van de dag... :Z

Of ga even koffie halen.. Of ga ff paffen buiten... Met de baas ouwehoeren... Verzin iets, je pctje heeft je niet 24/7 nodig hoor ;)

Ik blijf er bij: consumenten zijn niet gebaad bij de maandelijkse-patch-tuesday. Het zijn alleen de grotere bedrijven die er anders last van krijgen. Zelfs voor het MKB zou het geen probleem zijn... Ik blijf er voorstander van om dit dus gewoon optioneel te maken.
haha van particulieren krijgt M$ dan ook nooit een claim aan de broek, van grote bedrijven mogelijk wťl...
En weer een hoop gezeur... owee er gaat ietsje fout bij Microsoft en iedereen springt er bovenop... bij mij kwamen de patches gewoon binnen. Geen problemen dus :z
Beetje rare reactie; bij JOU gaat het goed, DUS zijn er geen problemen? De rest van de wereld had er anders wel last van - denk je dat MS's technici overuren gaan draaien en persberichten gaan sturen als er niks aan de hand is? |:(

Tevens, natuurlijk staat iedereen op z'n achterste poten als er met Microsoft's OS iets aan de hand is. Er draaien honderden miljoenen system op Windows XP - logisch dat men geinteresseerd is.
De rest van de wereld had er wel last van?

Dan zal ik wel geluk gehad hebben ;) wat ben ik toch een bofkont :+
Wat ik wel heel c00l vind is dat de patches voor Vista dapper binnen komen, sterker nog, dat ook een Beta product gewoon met het reguliere update proces meeloopt.
Je bedoeld: Vista is nog niet uit en nu al zo lek als een mandje??

In alle ernst: Vista zou een geheel nieuwe codebase krijgen en daarom duurde het allemaal zo lang. Helaas is men daar op een laat tijdstip van afgestapt en verder gegaan met de codebase van Windows 2003. Een slechte beslissing imho, daar patches voor XP en 2000 ook nodig blijken te zijn voor Vista. Dan is er dus echt (voorlopig) geen reden om over te stappen van XP naar Vista...
De helft van de patches of meer is voor Microsoft applicaties anders dan windows zoals MS Office of het .NET framework. Dergelijke patches zullen dus sowieso ook op Vista uitgerold worden.
Ook is het zo dat bepaalde patches bijvoorbeeld de functionaliteit van bijvoorbeeld een activex control veranderen. Dat zul je ook op vista die aanpassing moeten doen ook al is IE7 op Vista niet of nauwelijk gevoelig voor de vunerability omdat bijvoorbeeld IE7 sandboxed draait op vista. Het is echter wel belangrijk dat de werking van bepaalde windows functies over allerlei platforms consistent blijft.
Dus wat een kritiek lek is op XP hoeft dat onder Vista helmaal niet te zijn.
Nee het is andersom:
Vista borduurde verder op XP, dat werd uiteindelijk zo moeilijk dat ze delen van Win2003 hebben herschreven en daarop door zijn gegaan. Daarom is het zo lang uitgesteld.
is dat zo? bij mij komen er al 3 dagen geen patches binnen. vaag probleem met de updater...
niemand anders dat probleem? volgens mij is dat automatische updates gedoe nog echt niet verholpen... voor windows XP misschien wel, maar niet voor Vista
Bij mij komen juist zonet alle updates binnen... dus toch nog snel opgelost :)
Ik had ze gewoon op dinsdag nacht binnen. Misschien omdat ik een w2k machine gebruik maar daar was geen enkel probleem.
Conspiracy complot:

1. Zorg dat XP sterk onder vuur komt te liggen
2. presenteer een nieuw OS alszijnde sterk verbetert op gebied van veiligheid (zoals verbeterd onderscheid tussen gebruikers en admins, waardoor o.a. de kans op grote schade door een gebruiker wordt gelimiteerd)
3. introduceer dit product kort nadat er veel leaks in de oude OS zijn gevonden
4. het nieuwe OS maakt een jumpstart

Hetzelfde werkte ook met Win98 - WinXP. Je kunt met Win98 amper veilig op het grote WWW surfen.
Tuurlijk kan je wel veilig op Internet surfen met Windows 98. Door het 'gebrek' aan een service structuur is het zelfs minder gevoelig voor aanvallen van buitenaf dan Windows XP.

Door gebruik te maken van een eenvoudige firewall om de kwetsbare windows-poorten te blokkeren ben je voor zo goed als bijna alle gevaren goed afgeschermd :)

Oh, en gebruik een andere browser dan Internet Explorer, zoals Firefox.
Een knappe hacker die dan nog steeds je computer kan binnendringen vanachter het internet.

Geloof niet alles wat Microsoft of anderen beweren, zonder zelf getest te hebben.
Net de updates geÔnstalleerd en een korte recap;

- iTunes werkt niet meer
- Norton moet opnieuw geregistreerd worden
- Net als MailWasher, WinZip, CachemanXP
- Ik zal nog wel meer tegen komen

Let wel; het zijn allemaal legale versies van de software, ik baal hier ZO ontzettend van! Natuurlijk heb ik de keys etc. nog wel, maar Norton zegt doodleuk "graag opnieuw installeren" :(
Same here... na installeren van de patches start mijn explorer niet meer op als ik inlog geen shell dus, ook niet na 15 minuten wachten (PC staat gewoon niets te doen).

Ik moet de oude explorer instance beŽindigen (Ctrl+Shift+Esc ftw!) en een nieuwe starten om een taskbar te zien te krijgen. Als bijkomende leukigheid worden dan ook je startup dingen niet meer uitgevoerd.... grrrrr

edit: Heb trouwens geprobeerd alle newly installed windows patches + de .NET2 patch te deinstallen, maar dat lost het probleem niet meer op.
FYI: PC is pas kortgeleden geherinstalleerd en nog nooit een single issue mee gehad tot vandaag dus...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True