Microsoft geeft langverwacht lapmiddel voor gdi-lek vrij

Microsoft heeft na lang wachten een patch uitgebracht om het gdi-lek te dichten, dat door aanvallers misbruikt kan worden door een kwaadaardig plaatje per mail te sturen.

In totaal heeft Microsoft tijdens zijn maandelijkse patchdag negen beveiligingsupdates uitgegeven, die samen veertien lekken moeten dichten. De updates dichten onder meer lekken in Windows Media Player, Windows-VML en drie gadgets die standaard met Windows Vista worden meegeleverd.

De belangrijkste patch dicht een lek in de rendering engine van de softwaremaker. Dit gdi-lek was eenvoudig te misbruiken door een potentieel slachtoffer een speciaal geprepareerd plaatje te laten bekijken.

Het bijzondere aan dit lek is dat de kwaadaardige code verder geen aanvullende programmatuur nodig heeft, zoals andere lekken die bijvoorbeeld een gat in Word of Excel misbruiken. Voor dat laatste programma heeft Microsoft overigens ook een patch uitgebracht, die een nieuw lek in het Office-documentformaat moet dichten.

Het gdi-lek is begin dit jaar door onderzoekers van het Deense beveiligingsbedrijf eEye Digital Security ontdekt en in maart aan Microsoft gerapporteerd. De 0day-exploit heeft hiermee een levensduur van 140 dagen gehad.

Door Wilbert de Vries

Feedback • 15-08-2007 09:44 14

15-08-2007 • 09:44

14

Lees meer

Tussentijds gepatcht Windows-lek wordt al misbruikt
Tussentijds gepatcht Windows-lek wordt al misbruikt Nieuws van 24 oktober 2008
Microsoft dicht donderdag 'kritiek lek' in alle Windows-versies
Microsoft dicht donderdag 'kritiek lek' in alle Windows-versies Nieuws van 23 oktober 2008
Vijf jaar oude Windows-bug duikt opnieuw op
Vijf jaar oude Windows-bug duikt opnieuw op Nieuws van 26 november 2007
Microsoft verkoopt Office Ultimate aan studenten voor 60 dollar
Microsoft verkoopt Office Ultimate aan studenten voor 60 dollar Nieuws van 14 september 2007
Microsoft verbiedt Autopatcher
Microsoft verbiedt Autopatcher Nieuws van 29 augustus 2007
Muziekspeler van Vista vertraagt netwerksnelheid
Muziekspeler van Vista vertraagt netwerksnelheid Nieuws van 24 augustus 2007
Microsoft komt dinsdag met negen beveiligingsupdates
Microsoft komt dinsdag met negen beveiligingsupdates Nieuws van 10 augustus 2007
Lek dat opgelost werd met Windows XP SP1 duikt weer op
Lek dat opgelost werd met Windows XP SP1 duikt weer op Nieuws van 30 maart 2007
Geen veiligheidspatches voor Microsoft deze maand
Geen veiligheidspatches voor Microsoft deze maand Nieuws van 9 maart 2007
Microsoft vervroegt patch VML-lek
Microsoft vervroegt patch VML-lek Nieuws van 27 september 2006
Officieuze patch voor VML-lek in IE verschenen
Officieuze patch voor VML-lek in IE verschenen Nieuws van 24 september 2006
Derde pleister op zelfde Internet Explorer-lek
Derde pleister op zelfde Internet Explorer-lek Nieuws van 14 september 2006
Nieuwe 'zero-day exploit' in Excel ontdekt
Nieuwe 'zero-day exploit' in Excel ontdekt Nieuws van 16 juni 2006
Meer producten en artikelen
Besturingssystemen Software Officesoftware en suites Microsoft Windows Beveiliging

Reacties (14)

-Moderatie-faq
14
13
6
3
0
0
Wijzig sortering

Sorteer op:

Weergave:
sopsop 15 augustus 2007 10:28
Het gdi-lek is begin dit jaar door onderzoekers van het Deense beveiligingsbedrijf eEye Digital Security ontdekt en in maart aan Microsoft gerapporteerd. De 0day-exploit heeft hiermee een levensduur van 140 dagen gehad.
Het is nog veel erger: de bug an sich is al gemeld bij Microsoft in oktober 2004 door de Argentijn Cesar Cerrudo. Welliswaar was toen nog niet bekend dat deze flaw exploitable was (ook niet door de aanmelder).

Bron: http://blogs.zdnet.com/security/?p=123
Jack Flushell 15 augustus 2007 16:51
Dit lek was 'an sich' al lang gedicht. Zoals te lezen op de patch-website werd dit al opgelost in Service Pack 2 voor Windows XP x64 (en 2k3 SP2 en 2k3 x64 SP2 en 2k3 Itanium SP2 en Vista en Vista x64).

Deze patch (KB938829) staat dan ook voor veel mensen niet in het rijtje bij de automatische updates. Echter wel voor het meest gebruikte: XP x32 (SP2). Tevens in niet-up-to-date-geservicepackte andere Windows-versies.

edit: aangepast, verkeerd gekeken eerst.

[Reactie gewijzigd door Jack Flushell op 25 juli 2024 21:32]

Bart© 15 augustus 2007 09:53
Welke lekken zitten er dan eigenlijk in welke gadgets van Vista? Die lijken allemaal redelijk omschuldig te zijn.
n4m3l355 @Bart©15 augustus 2007 10:00
Dezelfde aangezien die net zo goed gebruik maakt van dezelfde render engine en dezelfde kernel. Dat is het leuke van Windows het is een opeenstapeling van producten maar een doorgebouwde kernel waardoor er met regelmaat nog steeds bugs uit de jaren 90 opduiken.
Dreamvoid @n4m3l35515 augustus 2007 12:13
De kernel is vrij zwaar herschreven gedurende de jaren, maar deze bug zit nou juist niet in de kernel maar in een library die nooit zoveel aandacht kreeg. Dat zie je ook op andere platforms en applicaties, bugs in de kernel of andere 'belangrijke' onderdelen worden doorgaans behoorlijk snel gevonden en gefixed, maar libraries die prima lijken te werken en waar al jaren geen hond meer naar omkijkt (de schrijver van de code is bij wijze al met pensioen) zorgen voor de grootste verrassingen.

[Reactie gewijzigd door Dreamvoid op 25 juli 2024 21:32]

psyBSD 15 augustus 2007 10:07
Voor dat laatste programma heeft Microsoft overigens ook een patch uitgebracht, die een nieuw lek in het Office-documentformaat moet dichten.
Ik vermoed dat deze zin incorrect is, er kan nl (normaal gesproken) geen lek zitten in een document-formaat. Enkel in de parser hiervan. In dit geval zou het een lek met het Office-documentformaat zijn.

Echter, als deze zin correct is. En er een veiligheids-lek moest worden gedicht dat een gevolg is van een ontwerp-fout van het document-formaat... dan denk ik dat wij hier een paar hele goede redenen kunnen bedenken om de Office-pakketten van Microsoft links te laten liggen.
Neko Koneko 15 augustus 2007 09:50
Beetje jammer dat ze dat lek zo lang wagenwijd open hebben laten staan... :/
Verwijderd @Neko Koneko15 augustus 2007 10:06
Ach, die 140 dagen... Het lek zit er al in sinds de eerste Windows versie, in ieder geval Windows 3, toen GDI gebruikt werd, ofwel zo'n 15 jaar.
dipje2 @Verwijderd15 augustus 2007 11:25
Maar dit was vast het lek wat in GDI+ zit, een API die toch echt later er bij gekomen is.

Dan nog, je hebt een goed punt. Dit lek zat er al heeeel lang voordat het gevonden en gerapporteerd werd :)
Verwijderd @Verwijderd15 augustus 2007 12:38
Zolang een bug nog niet gevonden is vormt deze geen relevant beveiligings probleem...aangezien je geen exploits kan schrijven voor een (nog) niet bekende bug :).

Al is elke aanwezige bug er natuurlijk wel één te veel.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 21:32]

STING @Neko Koneko15 augustus 2007 10:00
Weet iemand toevallig de reden waarom de patch voor dit lek zo lang op zich heeft laten wachten?
SuperDre @STING15 augustus 2007 10:59
Testen testen testen.. je kunt niet zo simpel even bv een APItje patchen, je zult goed na moeten gaan of dit geen gevolgen heeft voor uitstaande programma's.. Zou toch lullig zijn als je dit patched en dan blijkt het ineens dat 40% van de programma's ineens niet meer fatsoenlijk werken..
Blokker_1999
@SuperDre15 augustus 2007 11:53
Zelfs met het degelijk testen is 140 dagen enorm lang. Das dus meer dan 4 maand. De patch zelf kan op enkele dagen geschreven worden, en dan kan je nog enkele weken testen. 4 maand testen is overkill en wss niet wat hier gebeurd is.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq