Microsoft dicht zero day-xml-lek

Microsoft heeft een patch uitgebracht voor een kritiek veiligheidslek in de XML Core Services met versienummers 3.0 tot en met 6.0. Dit veiligheidslek werd actief benut door hackers om toegang te krijgen tot Gmail-accounts.

Google tipte Microsoft volgens ZDNet op 30 mei dat het lek actief werd benut om Gmail-accounts te hacken. Het bedrijf begon daarna ook gebruikers te waarschuwen als het vermoedde dat zij het doelwit waren van hacks van overheden, die het lek misbruikten. Microsoft maakte het bestaan van de kwetsbaarheid vervolgens op 13 juni wereldkundig en stelde toen een workaround beschikbaar die het xml-component uitschakelde. Gebruikers konden hun toevlucht tot deze methode nemen, totdat er een patch beschikbaar was. Hoewel Microsoft normaal slechts eens per twee maanden updates voor Internet Explorer uitbrengt en er vorige maand nog een update voor de browser beschikbaar werd gesteld, was het betreffende lek zo kritiek dat het toch dinsdag als onderdeel van 'patch tuesday' werd uitgerold.

Het lek betreft een kwetsbaarheid in de Microsoft XML Core Services met versienummers 3.0, 4.0, 5.0 en 6.0, die standaard onderdeel uitmaken van Windows en Office 2003 en 2007. Office 2010 bevat de kwetsbaarheid niet, beschrijft Microsoft. Het lek stelde aanvallers in staat om op afstand code uit te voeren op een systeem zonder dat er toestemming van de gebruiker nodig was. Het was voldoende om de gebruiker met Internet Explorer een aangepaste website te laten bezoeken die de code dan kon uitvoeren.

Door Eric Scheers

Nieuwsposter

Feedback • 11-07-2012 10:01 24

11-07-2012 • 10:01

24

Lees meer

Microsoft stopt met details geven over gedichte lekken in Windows
Microsoft stopt met details geven over gedichte lekken in Windows Nieuws van 9 januari 2015
Red Hat komt met fix voor lek in Libxml2
Red Hat komt met fix voor lek in Libxml2 Nieuws van 17 oktober 2014
Google-engineers achter ruim helft bugmeldingen bij laatste patchronde Microsoft
Google-engineers achter ruim helft bugmeldingen bij laatste patchronde Microsoft Nieuws van 13 februari 2013
Foutieve Windows-patch levert problemen op met OpenType-fonts
Foutieve Windows-patch levert problemen op met OpenType-fonts Nieuws van 17 december 2012
Kwetsbaarheid in Internet Explorer maakt volgen muiscursor mogelijk
Kwetsbaarheid in Internet Explorer maakt volgen muiscursor mogelijk Nieuws van 12 december 2012
Zero day raakt ook recentere versie Internet Explorer
Zero day raakt ook recentere versie Internet Explorer Nieuws van 18 september 2012
'Nieuw lek in oude Internet Explorer-versies wordt actief misbruikt'
'Nieuw lek in oude Internet Explorer-versies wordt actief misbruikt' Nieuws van 17 september 2012
Microsoft waarschuwt voor zero day-xml-lek
Microsoft waarschuwt voor zero day-xml-lek Nieuws van 13 juni 2012
Google gaat Gmail-gebruikers waarschuwen voor hackende overheden
Google gaat Gmail-gebruikers waarschuwen voor hackende overheden Nieuws van 6 juni 2012
Meer producten en artikelen
Besturingssystemen Officesoftware en suites Microsoft Windows Beveiliging Xml

Reacties (24)

-Moderatie-faq
24
22
21
5
0
0
Wijzig sortering
Verwijderd 11 juli 2012 11:16
Nou ben ik maar een simpele gebruiker en weet het fijne er niet van af. maar wat ik niet helemaal volg. Er is een fix sinds 17 juni laten we zeggen sinds 3 weken. Maar toch duurt het ruim 3 weken voordat iedereen deze fix bezit? Kan microsoft niet geforceerd deze patch naar alle gebruikers updaten? Of zijn er redenen voor waarom dit niet gebeurt?
CMD-Snake @Verwijderd11 juli 2012 12:01
Zoals eerder gezegd was die fix een tijdelijke oplossing. Er is nou eenmaal wat meer tijd nodig om de fix verder te ontwikkelen en te testen.

De vroege fixes van Microsoft worden ook vaak "as-is" geleverd en zijn op eigen risico om te installeren. Ze zijn dan nog niet volledig getest en kunnen mogelijk problemen leveren. Bij de patch die nu uitgegeven wordt krijg je volledige support van Microsoft als er iets niet klopt.
CMG @Verwijderd11 juli 2012 13:25
Op http://eromang.zataz.com/...rability-metasploit-demo/ kun je zien hoe men misbruik kan maken van de fout.

De reden dat Microsoft security updates verzameld en dan op de eerste dinsdag van de maand uitbrengt, is zodat het makkelijker wordt voor bijvoorbeeld bedrijven zonder WUS en ook dat consumenten een keer een update moment voorgeschoteld krijgen in plaats van 10x per maand
SuperDre @mcDavid11 juli 2012 14:00
Pff, alsof andere OSsen geen lekken hebben.. Ook linux en MacOS hebben gewoon lekken, dus je moet niet zo naief doen.. een echt veilig OS bestaat gewoon niet.
MadEgg
@SuperDre11 juli 2012 15:22
Jawel, maar op Linux duurt het niet zo lang om dergelijke kritieke lekken op te lossen; over het algemeen is de patch al beschikbaar op het moment dat het nieuws naar buiten komt.
Taghorn @mcDavid11 juli 2012 10:42
Dat is niet helemaal waar, ze hebben op 13 juni al een FixIt pakket uitgebracht om zelf het lek te dichten door de getroffen XML component uit te schakelen:
http://support.microsoft.com/kb/2719615

Deze patch lost het probleem in de code zelf op, maar blijkbaar gebeurd dat vrij "dirty" gezien de langere IE opstart tijd. De "echtte" patch zal dat netter doen.

Al met al een vrij snelle response voor een monster van een software pakket genaamd IE.
TDeK
@mcDavid11 juli 2012 10:49
Nee, dat doet Apple veel beter met de Java patch die 7 maanden in beslag nam. Of Linux wat betreft de uitrol van driver patches (zitten vaak hard in de kernel gebakken waardoor updaten vaak gebeurt bij de update van de hele distro).
Conclusie: het is overal wat.
humbug @TDeK11 juli 2012 10:53
De java patch duurde geen 7 maanden. Het koste Apple 7 maanden om de java patch in hun eigen aangepaste Java versie te verwerken.
Neko Koneko @humbug11 juli 2012 11:40
Dus het duurde 7 maanden voordat Apple een gepatchte versie gereed had. Het orginele statement staat nog steeds.
Loller1
@humbug11 juli 2012 13:59
Java was dan wel gepatcht, maar wat heb je eraan als deze niet bij de gebruikers komt?
hiostu @mcDavid11 juli 2012 11:22
Het is inderdaad veel beter om heel snel een patch uit te brengen. Een patch die daardoor niet getest is op alle verschillende software en hardware configuraties en waardoor na de installatie computers en servers niet meer functioneren. Of waarin een nieuw lek wordt geintroduceerd wat opnieuw misbruikt kan worden.

Nee het is inderdaad alleen maar belangrijk om een patch snel uit te brengen...
sjongenelen @hiostu11 juli 2012 16:16
Testen moet je zelf doen natuurlijk.
TDeK
11 juli 2012 10:05
Als je deze update uitrolt, gaat deze dan over de eerder vrijgegeven 'tijdelijke patch' heen?
remco8264 @TDeK11 juli 2012 10:25
Op de TechNet-pagina (http://blogs.technet.com/...-it-before-fixing-it.aspx) lees ik het volgende:

''Applying this workaround will not interfere with the installation of the final security update that will address this issue. However, applying the workaround will have a small effect on the startup time of Internet Explorer. Therefore, as you are applying the final security update, you should uninstall the workaround as it will no longer be needed.''

Je hoeft de tijdelijke patch dus niet te verwijderen, maar het wordt wel aangeraden. De uninstaller kun je ook op de bovengenoemde pagina vinden.

[Reactie gewijzigd door remco8264 op 27 juli 2024 00:33]

Blokker_1999
11 juli 2012 10:14
blijkbaar toch niet zo kritiek omdat men nog kon wachten op patch tuesday.
Loller1
@Blokker_199911 juli 2012 13:58
Zo makkelijk is het niet om van een schema af te stappen zoals Patch Tuesday, er is een reden dat een patch niet wordt uitgebracht als deze klaar maar pas de eerst volgende 2de dinsdag van de maand. Je weet toch dat we het hier hebben over miljoenen computers, toch?
sjongenelen @Loller111 juli 2012 16:16
yup. Dat, en duizenden systeembeheerders die patches moeten goedkeuren in het bedrijf. Middels WSUS wil je ze toch wel eerst testen en accepteren.
com2,1ghz @Blokker_199911 juli 2012 10:31
Updates uitrollen doe je niet zomaar maar op basis van een methode. Het lijkt heel simpel allemaal maar om alles gestructureerd uit te voeren doen ze dit ook volgens hun eigen cyclus.
Apache @Blokker_199911 juli 2012 10:19
Waarschijnlijk omdat het niet misbruikt werd om toegang te krijgen tot windows live mail accounts :P
DieterVDW 11 juli 2012 12:54
Aangezien dit lek vanaf 30 mei bekend is bij Microsoft, en vanaf 13 juni algemeen bekend is, dan is het toch per definitie GEEN zero-day lek?
Ieder lek was ooit een zero-day lek tot het bekend werd niet?
SuperDre @DieterVDW11 juli 2012 14:03
Nee, niet helemaal, want er is vaak genoeg een lek ontdekt die nog niet gebruikt werd. Een zero-day lek is een lek die al misbruikt werd voordat het lek bekend was (ofwel het lek was wel bekend bij de hacker(s), maar nog niet bij de rest).
Loller1
11 juli 2012 14:03
En dat brengt Internet Explorer op versie 9.0.8. Ik wist dat er gisteren een patch zou komen voor IE buiten de cycle van 2 maanden om. Maar werd er niet gezegd dat dit gat onbekend was en alleen bij Microsoft was gemeld? Of hebben we het hier over een andere kwetsbaarheid?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq