Microsoft heeft moeite met grote patchronde - update

Microsoft heeft problemen om zijn maandelijke serie 'patch Tuesday'-fixes via Automatic Updates afgeleverd te krijgen, zo meldt C|Net. Het gaat om tien patches waarvan er 6 kritiek zijn, die in totaal maar liefst 26 kwetsbaarheden aanpakken - waarmee het tot dusver de grootste patchronde van dit jaar is. De patches zijn handmatig via Microsofts Security Bulletin van deze maand binnen te hengelen. Microsofts technici zouden momenteel overuren draaien om het probleem te verhelpen. Eén van de patches die normaliter in deze ronde zou hebben gezeten, voor het zogeheten VML-lek, werd vanwege 'zero day'-exploits vorige maand vervroegd uitgebracht.

WinBug Symantec waarschuwt ondertussen dat er voor verschillende kwetsbaarheden reeds exploits in omloop zijn, waaronder een die in juli boven kwam drijven en een Excel-lek uitbuit, en eentje die van een probleem met Word misbruik maakt en vorige maand de kop opstak. Volgens het bedrijf illustreert het grote aantal bugfixes van deze maand toegenomen activiteit onder hackers om problemen op te sporen en uit te buiten. Ook voor een Powerpoint-probleem dat in de patchronde wordt aangepak, zouden al exploits zijn gesignaleerd. C|Net heeft informatie over alle patches van deze maand op een overzichtspagina verzameld.

Update, woensdag 03:35 - Inmiddels blijkt het probleem met Automatic Updates verholpen en worden de patches normaal afgeleverd.

Reacties (65)

TheAnimaL 11 oktober 2006 00:30

Volgens het bedrijf illustreert het grote aantal bugfixes van deze maand toegenomen activiteit onder hackers om problemen op te sporen en uit te buiten.

Dit illustreert niet alleen toegenomen activiteit om ze op te sporen, dit illustreert vooral hoeveel moeite Microsoft heeft om de hoeveelheid fouten te patchen en te testen. En volgens mij neemt vooral het testen veel tijd in beslag. Men wil uiteraard voorkomen dat men geen nieuwe fouten introduceert bij patches en men wil voorkomen dat een gepatched lek niet voor problemen kan zorgen in bijvoorbeeld Word. De blob aan code is te groot geworden om snel en correct te reageren. Het moet anders... Maar dan zal microsoft overstag moeten gaan en bepaalde zaken laten varen. De tijd zal het leren..

nwagenaar @TheAnimaL • 11 oktober 2006 00:43

Ik ben het met je eens dat bepaalde zaken te lang duren. Zo vind ik voornaamste reden waarom Microsoft bepaalde patches niet uitbrengt (testprocedures) niet echt een goede reden, juist omdat er een aantal kritieke lekken zijn die per direct gedicht moeten worden juist omdat er exploits van in The Wild zijn. Ook zijn er veel bugs die al maanden bekend zijn maar die dus niet zo 1,2,3 niet gepatched worden. Ik denk dat het komt dat wanneer het publiek het niet te weten komt, er ook geen exploits komen en daardoor ook de patches op de lange baan geschoven worden. Dit kun je onder andere zien op de manier hoe Microsoft kritiek uit op een beveiligingsexpert X wanneer hij aangeeft dat er een bug is, proof-of-concept heeft, aangeeft dat dit maanden terug is gemeld aan Microsoft maar dat zijn nog niks hebben uitgebracht.

Ik denk ook dat het meer laksheid en prioriteiten stellen is dan de testprocedure. Een bedrijf dat miljarden verdiend kan best wel een kan ontwikkelaars aantrekken (of eigenlijk erbij doen) die zich bezig houden met het verhelpen van de bugs. Ik denk nu dat het kwestie is van prioriteiten, Office 2007 en Windows Vista staat om het hoekje te gluren en ik dat hierdoor een grote groep ontwikkelaars binnen Microsoft zich niet meer bezig houd met het verhelpen van bugs bij de 'oudere generatie' van besturingssystemen.

Uitstellen is overigens ook geen optie, Windows is het meest gebruikte besturingssysteem ter wereld en dit brengt verantwoordelijkheden met zich mee. Zowel aan de consument als de zakelijke gebruikers. Microsoft kan het zich niet permiteren om de boel te verzetten juist omdat de meeste bugs al resulteren in exploits en omdat circa 80% van de computergebruikers in de wereld liever niet hun persoonlijke spullen op straat willen vinden

TheAnimaL @nwagenaar • 11 oktober 2006 01:02

Je hebt misschien gelijk betreft laksheid en het uitkomen van Vista en Office 2007.
Maar bedrijven kopen support voor een product, Microsoft heeft de taak problemen op te lossen. En ben ik ervan overtuigd dat vooral de codebase te maken heeft met het niet op tijd uitkomen van patches en het uitblijven van patches. Zelfs de vetragingen van Vista zijn grotendeels te verwijten aan het te complex opbouwen van een OS. Dat alles om de backwards compatibility te kunnen behouden. Dit moet anders en gaat anders worden. De vraag is alleen wanneer. Ik denk dat Vista het laatste OS zal zijn in de vorm zoals we windows kennen.

SirBlade @nwagenaar • 11 oktober 2006 06:16

Voor de meeste kritieke bugs zijn vaak workarounds om de ergste schade te beperken, bv een hardware firewall gebruiken of javascript disablen. Stel je eens voor dat MS patches niet meer test op een grote hoeveelheid verschillende systemen en er word een patch uitgebracht die als bijwerking alle NTFS-volumes de ATA-controller van een VIA-chipset hangen corrupt maakt.

Leuk he, de bug is binnen een paar uur opgelost, maar duizenden mensen hebben pc's waar ze niets meer mee kunnen doen. Hoe veel van dat soort bijwerkingen zullen er nodig zijn voordat consumenten helemaal stoppen met patchen...

Misschien worden sommige bugs niet gefixt omdat de fix bepaalde windows functionaliteit breekt, of bepaalde 3rd party apps. BV ms brengt een patch uit en opeens werkt een API niet meer of anders en als gevolg daarvan werkt FF niet meer...

Het is natuurlijk heel erg fijn als je een bug binnen krijgt, een paar uurtjes code gaat kloppen, deze ff op je eigen machine test en dan de nieuwe code op het web zet. Iedereen die wil kan het gebruiken en jij kan claimen dat je binnen een paar uur een patch had. Als je echter een product levert wat door 80% van de computers ter wereld word gebruikt, en waarvan het grootste deel van je users geen tweakers is, dan kan je dat niet zomaar doen, dan moet je wel heel goed testen voordat je iets vrijgeeft.

_js_ @nwagenaar • 11 oktober 2006 11:28

Testen hoeft niet goed te gebeuren omdat er een kritiek lek is? Dus dan maar zoals Ubuntu het doet, niet testen en er even later achter komen dat een groot deel van de gebruikers de computer niet meer kan gebruiken?

Liever een tijdje ActiveX uitschakelen of iets dergelijks dan de computer niet meer kunnen gebruiken.

Verwijderd 11 oktober 2006 00:02

Zo zie je maar dat 3rd party software belangrijk is. Ik krijg de afgelopen dagen, soms 2 keer per dag, van Norton updates binnen.

Wat dat aangaat mag het van mij zo blijven, kan de een het niet beschermen dan kan gelukkig de ander het wel, een zogenaamde safety buffer.

En niemand is volmaakt, ook MS niet, maar door hun grote marktaandeel blijven ze kwetsbaar en zo ook de gebruikers.

Verwijderd @Verwijderd • 11 oktober 2006 00:45

nogmaals, toch wel erg snel van norton, raar he maar ik denk er het mijne van, laat ze nog wat harder zagen om kernel toegang in vista , yeah right. Virusmakers zijn anti-virusbedrijven staat in mijn boek.

Verwijderd @Verwijderd • 11 oktober 2006 03:10

10 jaar gebruik ik NIS en nergens last van, maar het lijkt me sterk dat ze continu hun eigen virussen en trojans lopen te schrijven. 1 nadeel echter, wat je over het hoofd ziet, al zou het zo zijn wat je beweerd, op voorhand weten ze niet welk progamma ik gebruik of ga gebruiken dus ze bereiken er vrij weinig mee.

In het verleden is het wel zo geweest, maar dat is wel heel lang geleden. Nu hebben de grote maatschappijen wat te verliezen, dus in deze tijd zal het niet gauw mee voorkomen, kostbaar als zoiets uit komt

Verwijderd @Verwijderd • 11 oktober 2006 11:08

10 jaar gebruik ik NIS en nergens last van

Dat lijkt mij sterk, NIS werd namelijk in december 1999 voor het eerst geïntroduceerd. Dat was Norton Internet Security 2000. Dus het bestaat nog niet eens 7 jaar....

http://www.symantec.com/press/2000/n000321.html

Xenan @Verwijderd • 11 oktober 2006 11:49

@ kontwolaapje: Voorlopers van NIS bestaan al langer.

Verwijderd @Verwijderd • 12 oktober 2006 09:31

@ nicetas: natuurlijk, zo zijn er overal voorlopers van, maar we hebben het hier over NIS, en niet over zijn voorlopers.

BlackOwl @Verwijderd • 11 oktober 2006 21:20

Dat is een sprookjesboek zeker?

The CarNagE Man 10 oktober 2006 23:55

Dus geen 26 fouten maar 27 fouten, als je die in Automatische Updates meetelt

ikwilhet @The CarNagE Man • 10 oktober 2006 23:57

Misschien handig om patch 27 op monday te releasen zodat de 26 tuesday patches weer werken

Verwijderd @The CarNagE Man • 11 oktober 2006 09:55

Nee, want die 27e wordt niet aangepakt... het blijven er dus maar 26 die worden aangepakt...

Venator

10 oktober 2006 23:52

Tja, voor de professionelen onder ons is dit waarschijnlijk oud nieuws en letten ze zelf ook nog wel eens op (toch? gebeurt ook vaak genoeg niet!), maar voor de thuisgebruikers kan dit wel hele vervelende gevolgen gaan hebben als er een leuk wormpje mee wordt geinjecteerd en wordt vrijgelaten.

Ben benieuwd wat dit zal doen als er echt stront aan de knikker is en in het eigen sue-happy thuisland voor dit in gebreke blijven (zo zal men het wel aanvoeren) naar gerecht wordt geroepen.

@ Little Penguin: grap zeker? Als er al 0-day exploits rond waren is het een kwestie van een korte tijd voordat er allerlei malware mee geprogrammeerd wordt... al helemaal als er steeds duidelijker is geworden om welke exploit mogelijkheden het gaat (een aantal zijn al terug te vinden).

Pietervs @Venator • 11 oktober 2006 00:37

Ben benieuwd wat dit zal doen als er echt stront aan de knikker is en in het eigen sue-happy thuisland voor dit in gebreke blijven (zo zal men het wel aanvoeren) naar gerecht wordt geroepen.
Lees de EULA maar eens een keer: (de meeste) softwarebedrijven zijn niet aansprakelijk door schade die ontstaat of kan ontstaan door fouten in de programmatuur. Ook MS heeft dat in al haar EULA's opgenomen...

Cyphax Moderator NOS @Pietervs • 11 oktober 2006 09:50

Ooh in dat geval hoeven P2P-programma's niets meer te vrezen.

Zet gewoon in de EULA dat bij geleden schade ze niet verantwoordelijk zijn en de RIAA kan wel opdoeken.

Ik vraag me af of het wel rechtsgeldig is, maar ik gok toch van niet in eerste instantie. Er staan wel vaker dingen in die EULA's die in de rechtzaal geen stand zouden houden. Waarom zou je Microsoft niet verantwoordelijk kunnen stellen voor het uitblijven van fixes voor kritieke bugs?

4VAlien @Pietervs • 11 oktober 2006 18:26

de wet gaat boven EULA's dus vooral in europa zijn die maar zeer ten dele geldig.

Little Penguin @Venator • 11 oktober 2006 00:04

Mijn uitstel opmerking is 50% serieus en 50% grappig bedoelt: Als je patch tuesday 1 dag uitstelt dan is 't namelijk geen patch tuesday meer

.

Maar als je kritieke patches niet op tijd af hebt, dan zul je er toch voor moeten zorgen dat deze -als ze wel af zijn- zo snel mogelijk uitgerold worden. Ze pas in de update rond van de volgende maand meenemen lijkt me juist niet verstandig...

Verwijderd 11 oktober 2006 00:07

Dit is dus een nadeel van alle patches (op een paar na) op één dag uit te brengen.
Als ze nou elke keer als ze een patch uit hebben deze de wereld insturen heb je niet het probleem dat als de auto-update weigert dat er geen enkle patch de deur uit gaat. Bovendien geef je kwaadwillenden minder kans om schade aan te richten.

Verwijderd @Verwijderd • 11 oktober 2006 00:19

Ja, lekker en dan elke dag rebooten zeker

Verwijderd @Verwijderd • 11 oktober 2006 00:46

Elke dag rebooten is enigzins overdreven. Ten eerste hoeft niet bij elk patch de pc geboot te worden. Ten tweede kun je windows zo instellen dat je pc wél de updates download, maar dat ze pas worden geinstalleerd wanneer jij daar opdracht voor geeft. Dus jíj hebt dan de keuze wanneer jij je updates wil instaleren. Dat kan als je dat wil ook over een week zijn.

De meeste mensen doen hun pc aan het einde van de dag nog altijd uit, dus zelfs als er gereboot moet worden hoeft het geen probleem te zijn.

En als je niet wil rebooten: Auto-update uit of een alternatief besturing systeem kiezen.

Billie @Verwijderd • 11 oktober 2006 00:33

En als je dat dan nou zou kunnen instellen?

1. Installeer updates zodra beschikbaar.
2. Installeer updates pas wanneer ik dit aangeef.

Lijkt me perfect

InFrA-WiZ @Billie • 11 oktober 2006 01:09

Dat is al mogelijk.

Madrox @Verwijderd • 11 oktober 2006 00:35

Lang niet voor elke fix moet er gereboot worden, dus je reactie is ietwat overdreven.

Titusvh @Verwijderd • 11 oktober 2006 10:01

Helaas zie je niet van te voren of je moet rebooten. Doe je de update toch dan kan je kiezen voor reboot later. Echter, dan krijg je elke <weinig> minuten een schermpje voor je snuffert die je eraan herinnert nog te moeten rebooten.
Als ze dát schermpje nou weglaten of uitschakelbaar maken dan heb ik geen enkel probleem meer en mag microsoft zovaak updates opp mijn pc zettne als ze wilen.

Dat is nog veiliger ook, want nu heb ik automatische updates uitstaan omdat het dan niet te voorspellen is wanneer hij gaat patchen en dus ik mogelijk moet rebooten.

thegve @Titusvh • 11 oktober 2006 23:07

Het is uitzetbaar. Hoe weet ik niet, maar het is niet bij alle windows installaties die ik gebruik. Nu ik er bij nadenk, maar dat kan toeval zijn, zijn alle Corporate/VLK installaties die ik ken zonder dat schermpje, en de paar normale retails met.

BramT @Verwijderd • 11 oktober 2006 00:33

Of gewoon je pc uitzetten aan het eind van de dag...

Of ga even koffie halen.. Of ga ff paffen buiten... Met de baas ouwehoeren... Verzin iets, je pctje heeft je niet 24/7 nodig hoor

Ik blijf er bij: consumenten zijn niet gebaad bij de maandelijkse-patch-tuesday. Het zijn alleen de grotere bedrijven die er anders last van krijgen. Zelfs voor het MKB zou het geen probleem zijn... Ik blijf er voorstander van om dit dus gewoon optioneel te maken.

AugmentoR @BramT • 11 oktober 2006 09:47

haha van particulieren krijgt M$ dan ook nooit een claim aan de broek, van grote bedrijven mogelijk wél...

Verwijderd 11 oktober 2006 10:11

En weer een hoop gezeur... owee er gaat ietsje fout bij Microsoft en iedereen springt er bovenop... bij mij kwamen de patches gewoon binnen. Geen problemen dus

Verwijderd @Verwijderd • 11 oktober 2006 12:07

Beetje rare reactie; bij JOU gaat het goed, DUS zijn er geen problemen? De rest van de wereld had er anders wel last van - denk je dat MS's technici overuren gaan draaien en persberichten gaan sturen als er niks aan de hand is?

Tevens, natuurlijk staat iedereen op z'n achterste poten als er met Microsoft's OS iets aan de hand is. Er draaien honderden miljoenen system op Windows XP - logisch dat men geinteresseerd is.

Verwijderd @Verwijderd • 11 oktober 2006 14:55

De rest van de wereld had er wel last van?

Dan zal ik wel geluk gehad hebben

wat ben ik toch een bofkont

Verwijderd 11 oktober 2006 08:53

Wat ik wel heel c00l vind is dat de patches voor Vista dapper binnen komen, sterker nog, dat ook een Beta product gewoon met het reguliere update proces meeloopt.

Madthijs @Verwijderd • 11 oktober 2006 09:17

Je bedoeld: Vista is nog niet uit en nu al zo lek als een mandje??

In alle ernst: Vista zou een geheel nieuwe codebase krijgen en daarom duurde het allemaal zo lang. Helaas is men daar op een laat tijdstip van afgestapt en verder gegaan met de codebase van Windows 2003. Een slechte beslissing imho, daar patches voor XP en 2000 ook nodig blijken te zijn voor Vista. Dan is er dus echt (voorlopig) geen reden om over te stappen van XP naar Vista...

Verwijderd @Madthijs • 11 oktober 2006 10:30

De helft van de patches of meer is voor Microsoft applicaties anders dan windows zoals MS Office of het .NET framework. Dergelijke patches zullen dus sowieso ook op Vista uitgerold worden.
Ook is het zo dat bepaalde patches bijvoorbeeld de functionaliteit van bijvoorbeeld een activex control veranderen. Dat zul je ook op vista die aanpassing moeten doen ook al is IE7 op Vista niet of nauwelijk gevoelig voor de vunerability omdat bijvoorbeeld IE7 sandboxed draait op vista. Het is echter wel belangrijk dat de werking van bepaalde windows functies over allerlei platforms consistent blijft.
Dus wat een kritiek lek is op XP hoeft dat onder Vista helmaal niet te zijn.

Verwijderd @Madthijs • 11 oktober 2006 13:00

Nee het is andersom:
Vista borduurde verder op XP, dat werd uiteindelijk zo moeilijk dat ze delen van Win2003 hebben herschreven en daarop door zijn gegaan. Daarom is het zo lang uitgesteld.

LuitvD @Verwijderd • 11 oktober 2006 21:24

is dat zo? bij mij komen er al 3 dagen geen patches binnen. vaag probleem met de updater...
niemand anders dat probleem? volgens mij is dat automatische updates gedoe nog echt niet verholpen... voor windows XP misschien wel, maar niet voor Vista

n00bs 10 oktober 2006 23:57

Bij mij komen juist zonet alle updates binnen... dus toch nog snel opgelost

Verwijderd @n00bs • 11 oktober 2006 07:56

Ik had ze gewoon op dinsdag nacht binnen. Misschien omdat ik een w2k machine gebruik maar daar was geen enkel probleem.

Verwijderd 11 oktober 2006 11:40

Conspiracy complot:

1. Zorg dat XP sterk onder vuur komt te liggen
2. presenteer een nieuw OS alszijnde sterk verbetert op gebied van veiligheid (zoals verbeterd onderscheid tussen gebruikers en admins, waardoor o.a. de kans op grote schade door een gebruiker wordt gelimiteerd)
3. introduceer dit product kort nadat er veel leaks in de oude OS zijn gevonden
4. het nieuwe OS maakt een jumpstart

Hetzelfde werkte ook met Win98 - WinXP. Je kunt met Win98 amper veilig op het grote WWW surfen.

Acheron @Verwijderd • 11 oktober 2006 12:11

Tuurlijk kan je wel veilig op Internet surfen met Windows 98. Door het 'gebrek' aan een service structuur is het zelfs minder gevoelig voor aanvallen van buitenaf dan Windows XP.

Door gebruik te maken van een eenvoudige firewall om de kwetsbare windows-poorten te blokkeren ben je voor zo goed als bijna alle gevaren goed afgeschermd

Oh, en gebruik een andere browser dan Internet Explorer, zoals Firefox.
Een knappe hacker die dan nog steeds je computer kan binnendringen vanachter het internet.

Geloof niet alles wat Microsoft of anderen beweren, zonder zelf getest te hebben.

Verwijderd 11 oktober 2006 12:03

Net de updates geïnstalleerd en een korte recap;

- iTunes werkt niet meer
- Norton moet opnieuw geregistreerd worden
- Net als MailWasher, WinZip, CachemanXP
- Ik zal nog wel meer tegen komen

Let wel; het zijn allemaal legale versies van de software, ik baal hier ZO ontzettend van! Natuurlijk heb ik de keys etc. nog wel, maar Norton zegt doodleuk "graag opnieuw installeren"

Verwijderd @Verwijderd • 11 oktober 2006 13:15

Same here... na installeren van de patches start mijn explorer niet meer op als ik inlog geen shell dus, ook niet na 15 minuten wachten (PC staat gewoon niets te doen).

Ik moet de oude explorer instance beëindigen (Ctrl+Shift+Esc ftw!) en een nieuwe starten om een taskbar te zien te krijgen. Als bijkomende leukigheid worden dan ook je startup dingen niet meer uitgevoerd.... grrrrr

edit: Heb trouwens geprobeerd alle newly installed windows patches + de .NET2 patch te deinstallen, maar dat lost het probleem niet meer op.
FYI: PC is pas kortgeleden geherinstalleerd en nog nooit een single issue mee gehad tot vandaag dus...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (65)

Sorteer op:

Weergave: