Microsoft Indeo fix NIET via Automatische Updates?!

19-12-2009,23:20 doorBitwiper

Ik vond het al stompzinnig dat Microsoft tijdens de afgelopen patchdinsdag een ernstige kwetsbaarheid (remote code execution o.a. door het bezoeken van een website) niet als een security update classificeert (zal wel weer met de achterlijke "wij zijn beter dan linux" strijd te maken hebben), maar wat ik veel ernstiger vind is dat deze update niet via automatic updates verspreid lijkt te worden, in elk geval niet voor PC's met XP-SP3.

Het gaat daarbij om "Update for Windows XP (KB955759), volgens Microsoft Update een High-priority update, en http://support.microsoft.com/kb/954157 zegt hier onder meer over:

Microsoft Security Advisory: Vulnerabilities in the Indeo codec could allow remote code execution: December 8, 2009
[...]
Microsoft has released a Microsoft security advisory about this issue for IT professionals. The security advisory contains additional security-related information. To view the security advisory, visit the following Microsoft Web site:
http://www.microsoft.com/technet/security/advisory/954157.mspx

Kortom, dit klinkt allemaal behoorlijk serieus. In http://www.microsoft.com/technet/security/advisory/954157.mspx waarnaar verwezen wordt is dit erg tweeslachtig:

Microsoft Security Advisory (954157)
Security Enhancements for the Indeo Codec
Published: December 08, 2009
Version: 1.0
[...]
The update is available through automatic updating and from the Microsoft Download Center.

Ook het US CERT (zie http://www.kb.cert.org/vuls/id/228561) meldt dat deze patch via automatic updates zou zijn verspreid. Echter, het lijkt er op (dit heb ik gezien op verschillende XP-SP3 PC's waarop automatic updates aanstaat, zie mijn vragen onderaan deze bijdrage) dat deze "patch" niet verspreid is via automatic updates.

Overigens is het geen echte patch, maar het ordinair uitschakelen (de-registreren) van de Indeo Codec. Desalniettemin een kennelijk noodzakelijke systeemwijziging die mogelijk op veel XP PC's niet wordt uitgevoerd terwijl de eigenaren braaf automatic updates aan hebben staan en daarmee veilig denken te zijn.

Verder staat in http://www.microsoft.com/technet/security/advisory/954157.mspx onder meer:

Why is this update not associated with a Security Bulletin?
This update is not associated with a security bulletin because it does not remediate specific vulnerabilities, but instead provides additional defense-in-depth mitigations to bring older operating systems closer to the same level of security protection as Windows Vista and Windows 7. Customers should apply this update to mitigate the threat in common scenarios, and evaluate deregistering the Indeo codec to remove access to the codec in any scenario.

Why is Microsoft not fixing specific vulnerabilities in this update?
The Indeo codec is an older codec that is known to have several security vulnerabilities. Instead of fixing specific vulnerabilities, Microsoft is creating defense-in-depth changes that reduce the attack surface all together for known vulnerabilities, and future similar vulnerabilities.

Nou lekker dan. Dat het niet om een obscuur nauwelijks vindbaar probleem gaat blijkt uit het aantal (6) mensen die Microsoft bedankt voor het melden van kwetsbaarheden in de Indeo Codec. POC exploits zijn ondertussen beschikbaar (zie bijv. http://www.vupen.com/exploits/Microsoft_Windows_Indeo_IV32_Codec_Memory_Corruption_PoC_KB954157_3440271.php).

Hebben anderen ook gezien dat deze KB955759 oftewel KB954157 "update" (of wat het dan ook is) niet automatisch is geïnstalleerd op PC's waarop automatic updates aanstaat? Hoe zit het met andere operating systems dan XP-SP3?

Laatst gewijzigd: 21-12-2009, 11:17

BlackBerry users hit by eight-hour outage

Forum admin staat members niit toe account te verwijderen. Mag dat zomaar?

Filter:

Reacties

19-12-2009,

23:54 door

Bitwiper

+0 Rating:

Quote deze reactie | Reactie niet OK

Overigens, als je Citrix gebruikt, kan de hier bedoelde update tot problemen leiden. In http://support.citrix.com/article/CTX123646 staat onder meer:

Symptoms
After installing the Microsoft security update 955759, the users who have installed Windows XP and the Citrix Access Gateway plug-in on the computer observe that the explorer.exe process crashes.

Cause
This issue appears to be caused by changes in the operating system made by Microsoft in the update 955759. The issue is limited to Virtual Private Network (VPN) connections initiated by using the Internet Explorer Web browser. The VPN connections started directly from the computer or by using an alternate Web browser are not affected.

Ook m.b.t. Citrix GoToMeeting worden problemen gemeld, zie http://www.fixya.com/support/t3612139-install_error_installer_could_not_locate.

De vragen uit m'n eerste bijdrage blijven natuurlijk staan, want vooral thuisgebruikers (die meestal geen Citrix gebruiken) hebben deze patch mogelijk niet gekregen via automatische updates.

20-12-2009,

13:50 door

Ilja. _\\//

+0 Rating:

Quote deze reactie | Reactie niet OK

Hééj Bitwiper!: Ik heb het even voor je nagekeken & op deze (engelse zonder au) computer heb ik het, even een andere (nederlandse met au) nagekeken & die heeft het ook:


 Het volume in station C heeft geen naam.
 Het volumenummer is 3873-250F

 Map van C:\WINDOWS

11-12-2009  00:13             8.051 KB955759.log
               1 bestand(en)            8.051 bytes

 Map van C:\WINDOWS\$hf_mig$

11-12-2009  00:13    <DIR>          KB955759
               0 bestand(en)                0 bytes

 Map van C:\WINDOWS\$hf_mig$\KB955759\update

21-11-2009  18:03            11.111 KB955759.CAT
               1 bestand(en)           11.111 bytes

 Map van C:\WINDOWS\SoftwareDistribution\Download\533c8693274f245d593846953984371b\update

21-11-2009  18:03            11.111 KB955759.CAT
               1 bestand(en)           11.111 bytes

 Map van C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}

21-11-2009  18:03            11.111 KB955759.cat
               1 bestand(en)           11.111 bytes

     Totaal aantal weergegeven bestanden:
               4 bestand(en)           41.384 bytes
               1 map(pen)  15.559.049.216 bytes beschikbaar

Net ook nog even mijn virtuele Windows 2000 nagekeken, maar die staat met een beleid op alleen waarschuwen elke woensdag om 1900uur & die heb ik een tijdje niet aan gehad, maar met een handmatige update staat het er wel bij.
Op mijn (engelse met dagelijkse au) Server 2003 staan geen van beiden vermeld, kan zijn omdat het een erg kale server is, alleen bedoeld om bestanden heen & weer te smijten tussen de andere computers...

Correctie: Op de Server 2003 word KB955759 na een handmatige update wel aangeboden...

Laatst gewijzigd: 20-12-2009, 14:14

20-12-2009,

16:59 door

Bitwiper

+0 Rating:

Quote deze reactie | Reactie niet OK

Ilja. _\\//, dank voor jouw reactie:

Door Ilja. _\\//: Ik heb het even voor je nagekeken & op deze (engelse zonder au) computer heb ik het, even een andere (nederlandse met au) nagekeken & die heeft het ook:
[knip]
Op mijn (engelse met dagelijkse au) Server 2003 staan geen van beiden vermeld, kan zijn omdat het een erg kale server is, alleen bedoeld om bestanden heen & weer te smijten tussen de andere computers...

Correctie: Op de Server 2003 word KB955759 na een handmatige update wel aangeboden...

Exact, dat zag ik ook: in elk geval PC's die zijn ingesteld om te waarschuwen als er updates zijn (schildje met geel uitroepteken rechtsonderin) en die dat gedaan hebben zoals gevraagd lijken de update niet te krijgen. Pas als je daarna handmatig Microsoft Update draait (door bijv https://www.update.microsoft.com/) te bezoeken krijg je KB955759 wel aangeboden (tevens zag ik daar in veel gevallen de -optionele- Microsoft Office Genuine Advantage Notifications bij staan).

Met handmatig draaien van Microsoft Update wordt de patch gewoon geïnstalleerd, waar het mij om gaat is dat die handeling daar kennelijk voor nodig is....

21-12-2009,

09:15 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

[ Overigens is het geen echte patch, maar het ordinair uitschakelen (de-registreren) van de Indeo Codec ]

ik snap dat je teleur gesteld bent, door het niet actief verspreiden van de update/patch.

waarom is een killbit gebruiken, geen patch ?

21-12-2009,

13:01 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

Ik heb automatische updates aanstaan en ik heb ook KB955759 op mijn pc staan dus schijnbaar komt hij wel automatisch binnen?

21-12-2009,

13:05 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

"[ Overigens is het geen echte patch, maar het ordinair uitschakelen (de-registreren) van de Indeo Codec ]"

Omdat zo de software vulnerability binnen de codec niet wordt verholpen, en enkel de codec wordt uitgeschakeld ? Dit is een mitigation measure, en geen patch om het probleem te verhelpen. Indien iemand de codec om wat voor reden weer activeert, dan is de PC weer kwestbaar. En dat is nou net niet de bedoeling van een patch die een vulnerability moet verhelpen i.p.v. verbergen.

21-12-2009,

13:13 door

Bitwiper

+0 Rating:

Quote deze reactie | Reactie niet OK

Door Anoniem: [ Overigens is het geen echte patch, maar het ordinair uitschakelen (de-registreren) van de Indeo Codec ]

ik snap dat je teleur gesteld bent, door het niet actief verspreiden van de update/patch.

waarom is een killbit gebruiken, geen patch ?

Dank voor jouw reactie! In dit geval gaat het niet om een killbit, maar om het radicaler uitschakelen van de Indeo codec's (die in nieuwere besturingsystemen zoals W7 al niet meer worden meegeleverd). Uit http://support.microsoft.com/kb/954157:

This security update disables some Indeo functionality by not letting Windows Internet Explorer or Windows Media Player use the codec.

Voor zover mij bekend kijkt Windows Media Player niet naar kill-bit settings (third party media players doen dat zeker niet).

Ik kan me aan de ene kant voorstellen dat Microsoft wat wijfelt bij het verwijderen van functionaliteit uit oudere besturingssystemen, maar aan de andere kant hebben ze dat in het verleden al meermaals gedaan, precies zoals je zegt middels het zetten van killbits.

Belangrijk aspect hierbij is dat Microsoft (en US-CERT) zeggen dat deze patch automatisch wordt verspreid, hetgeen niet het geval lijkt te zijn.

Graag hoor ik van anderen die automatische updates gebruiken (volledig, downloaden maar niet installeren, of alleen waarschuwen waarna je op het gele schildje moet klikken voor download en installatie van de updates) of ook zij zien dat KB955759 niet automatisch is geïnstalleerd, terwijl de PC verder wel up-to-date is (te checken door het bezoeken van https://www.update.microsoft.com/). Vermeld svp ook het besturingssysteem dat je gebruikt!

21-12-2009,

16:58 door

lievenme

+0 Rating:

Quote deze reactie | Reactie niet OK

bij mij is die fix ook niet aangeboden...
dank u, security.nl

Laatst gewijzigd: 21-12-2009, 16:59

21-12-2009,

18:56 door

spatieman

+0 Rating:

Quote deze reactie | Reactie niet OK

wat heeft het nu met security.nl te doen ?
het is een MS isue..

21-12-2009,

20:11 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

Op mijn pc met XP, met automatische updates op alleen waarschuwen, ook niet aangeboden gekregen.
Bedankt voor de tip.

22-12-2009,

00:10 door

Bitwiper

+0 Rating:

Quote deze reactie | Reactie niet OK

Door lievenme: bij mij is die fix ook niet aangeboden...

Dank voor de reactie!

Gezien het feit dat naast mij ook twee anderen zien dat deze security-patch (want iets anders kan ik het toch echt niet noemen) onder bepaalde omstandigheden niet automatisch geïnstalleerd wordt, ga ik ervan uit dat het automatische patchproces m.b.t. KB955759 op z'n minst onbetrouwbaar is.

22-12-2009,

13:57 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

Door Bitwiper:

Door lievenme: bij mij is die fix ook niet aangeboden...

Dank voor de reactie!
Gezien het feit dat naast mij ook twee anderen zien dat deze security-patch (want iets anders kan ik het toch echt niet noemen) onder bepaalde omstandigheden niet automatisch geïnstalleerd wordt, ga ik ervan uit dat het automatische patchproces m.b.t. KB955759 op z'n minst onbetrouwbaar is.

Hahaha... gelukkig is het bij miljoenen anderen (waaronder mijzelf) wel goedgegaan. Ik vraag me nu af wie er niet betrouwbaar is jij of Microsoft.

23-12-2009,

13:49 door

Bitwiper

+0 Rating:

Quote deze reactie | Reactie niet OK

Door Anoniem:

Door Bitwiper:

Door lievenme: bij mij is die fix ook niet aangeboden...

Dank voor de reactie!
Gezien het feit dat naast mij ook twee anderen zien dat deze security-patch (want iets anders kan ik het toch echt niet noemen) onder bepaalde omstandigheden niet automatisch geïnstalleerd wordt, ga ik ervan uit dat het automatische patchproces m.b.t. KB955759 op z'n minst onbetrouwbaar is.

Hahaha... gelukkig is het bij miljoenen anderen (waaronder mijzelf) wel goedgegaan. Ik vraag me nu af wie er niet betrouwbaar is jij of Microsoft.

Dan wens ik jou het allerbeste toe bij het oplossen van dit niet te onderschatten vraagstuk ;)

Zonder gekheid, er zijn kennelijk omstandigheden die veroorzaken dat die specifieke patch niet wordt toegepast, en de "reguliere" (d.w.z. waar een MS09-nnn bulletin voor is uitgegeven) wel. Ik maak me nauwelijks zorgen om m'n eigen PC, maar m'n voorgevoel zegt me dat binnen een paar maanden aanvallers hier exploits voor gaan uitbrengen - met als uiteindelijk gevolg weer een verse lading zombie-PC's - waar we met z'n allen last van hebben. Denk aan spam, rekening plunderen ("de bank" betaalt dat, yeah right) en DDoS attacks.

Reageer

Ondersteunde BBcodes

Security.nl ondersteunt de volgende bbcode codes:

Vet:: [b]vet[/b]
Cursief:: [i]cursief[/i]
Onderstreept:: [u]onderstrepen[/u]
Quoten:: [quote]quote[/quote]
URL:: [url]www.website.nl[/url]

Broncode:: [code]code[/code]
Config:: [config]configuratie[/config]

Het plaatsen van afbeeldingen (img tags) wordt niet ondersteund.

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login