Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 14 reacties

Microsoft heeft na lang wachten een patch uitgebracht om het gdi-lek te dichten, dat door aanvallers misbruikt kan worden door een kwaadaardig plaatje per mail te sturen.

In totaal heeft Microsoft tijdens zijn maandelijkse patchdag negen beveiligingsupdates uitgegeven, die samen veertien lekken moeten dichten. De updates dichten onder meer lekken in Windows Media Player, Windows-VML en drie gadgets die standaard met Windows Vista worden meegeleverd.

De belangrijkste patch dicht een lek in de rendering engine van de softwaremaker. Dit gdi-lek was eenvoudig te misbruiken door een potentieel slachtoffer een speciaal geprepareerd plaatje te laten bekijken.

Het bijzondere aan dit lek is dat de kwaadaardige code verder geen aanvullende programmatuur nodig heeft, zoals andere lekken die bijvoorbeeld een gat in Word of Excel misbruiken. Voor dat laatste programma heeft Microsoft overigens ook een patch uitgebracht, die een nieuw lek in het Office-documentformaat moet dichten.

Het gdi-lek is begin dit jaar door onderzoekers van het Deense beveiligingsbedrijf eEye Digital Security ontdekt en in maart aan Microsoft gerapporteerd. De 0day-exploit heeft hiermee een levensduur van 140 dagen gehad.

Moderatie-faq Wijzig weergave

Reacties (14)

Het gdi-lek is begin dit jaar door onderzoekers van het Deense beveiligingsbedrijf eEye Digital Security ontdekt en in maart aan Microsoft gerapporteerd. De 0day-exploit heeft hiermee een levensduur van 140 dagen gehad.
Het is nog veel erger: de bug an sich is al gemeld bij Microsoft in oktober 2004 door de Argentijn Cesar Cerrudo. Welliswaar was toen nog niet bekend dat deze flaw exploitable was (ook niet door de aanmelder).

Bron: http://blogs.zdnet.com/security/?p=123
Dit lek was 'an sich' al lang gedicht. Zoals te lezen op de patch-website werd dit al opgelost in Service Pack 2 voor Windows XP x64 (en 2k3 SP2 en 2k3 x64 SP2 en 2k3 Itanium SP2 en Vista en Vista x64).

Deze patch (KB938829) staat dan ook voor veel mensen niet in het rijtje bij de automatische updates. Echter wel voor het meest gebruikte: XP x32 (SP2). Tevens in niet-up-to-date-geservicepackte andere Windows-versies.

edit: aangepast, verkeerd gekeken eerst.

[Reactie gewijzigd door Jack Flushell op 15 augustus 2007 17:11]

Welke lekken zitten er dan eigenlijk in welke gadgets van Vista? Die lijken allemaal redelijk omschuldig te zijn.
Dezelfde aangezien die net zo goed gebruik maakt van dezelfde render engine en dezelfde kernel. Dat is het leuke van Windows het is een opeenstapeling van producten maar een doorgebouwde kernel waardoor er met regelmaat nog steeds bugs uit de jaren 90 opduiken.
De kernel is vrij zwaar herschreven gedurende de jaren, maar deze bug zit nou juist niet in de kernel maar in een library die nooit zoveel aandacht kreeg. Dat zie je ook op andere platforms en applicaties, bugs in de kernel of andere 'belangrijke' onderdelen worden doorgaans behoorlijk snel gevonden en gefixed, maar libraries die prima lijken te werken en waar al jaren geen hond meer naar omkijkt (de schrijver van de code is bij wijze al met pensioen) zorgen voor de grootste verrassingen.

[Reactie gewijzigd door Dreamvoid op 15 augustus 2007 12:19]

Voor dat laatste programma heeft Microsoft overigens ook een patch uitgebracht, die een nieuw lek in het Office-documentformaat moet dichten.
Ik vermoed dat deze zin incorrect is, er kan nl (normaal gesproken) geen lek zitten in een document-formaat. Enkel in de parser hiervan. In dit geval zou het een lek met het Office-documentformaat zijn.

Echter, als deze zin correct is. En er een veiligheids-lek moest worden gedicht dat een gevolg is van een ontwerp-fout van het document-formaat... dan denk ik dat wij hier een paar hele goede redenen kunnen bedenken om de Office-pakketten van Microsoft links te laten liggen.
Beetje jammer dat ze dat lek zo lang wagenwijd open hebben laten staan... :/
Ach, die 140 dagen... Het lek zit er al in sinds de eerste Windows versie, in ieder geval Windows 3, toen GDI gebruikt werd, ofwel zo'n 15 jaar.
Maar dit was vast het lek wat in GDI+ zit, een API die toch echt later er bij gekomen is.

Dan nog, je hebt een goed punt. Dit lek zat er al heeeel lang voordat het gevonden en gerapporteerd werd :)
Zolang een bug nog niet gevonden is vormt deze geen relevant beveiligings probleem...aangezien je geen exploits kan schrijven voor een (nog) niet bekende bug :).

Al is elke aanwezige bug er natuurlijk wel één te veel.

[Reactie gewijzigd door slindenau op 15 augustus 2007 13:27]

Weet iemand toevallig de reden waarom de patch voor dit lek zo lang op zich heeft laten wachten?
Testen testen testen.. je kunt niet zo simpel even bv een APItje patchen, je zult goed na moeten gaan of dit geen gevolgen heeft voor uitstaande programma's.. Zou toch lullig zijn als je dit patched en dan blijkt het ineens dat 40% van de programma's ineens niet meer fatsoenlijk werken..
Zelfs met het degelijk testen is 140 dagen enorm lang. Das dus meer dan 4 maand. De patch zelf kan op enkele dagen geschreven worden, en dan kan je nog enkele weken testen. 4 maand testen is overkill en wss niet wat hier gebeurd is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True