MS11-087 en t2embed Fix-It 50793
13-12-2011,23:52 door
Deze bijdrage is bestemd voor diegenen die de afgelopen maand Fix-It 50792 gedraaid hebben om toegang tot T2Embed.dll te blokkeren als workaround voor de True Type Font Parsing vulnerability (misbruikt door Duqu, zie http://http:/www.security.nl/artikel/39062/1/Microsoft_%22fix%22_voor_ernstig_Windows-lek.html).
Zoals ik in http://www.security.nl/artikel/39487/1/Microsoft_dicht_236_lekken_in_2011.html aangaf maakt het niet uit of je Fix-It 50793 draait voordat of nadat je de patches van vanavond draait, inclusief de daadwerkelijke fix voor de True Type Font Parsing vulnerability (zie http://technet.microsoft.com/en-us/security/bulletin/ms11-087).
Maar ik moet eerlijk toegeven, om een andere reden dan ik dacht! De bug blijkt namelijk niet in T2Embed.dll te zitten maar in Win32k.sys (Fix-It 50792 trekt alle toegangsrechten op T2Embed.dll in, kennelijk om te voorkomen dat de buggy code in Win32k.sys bereikt kan worden).
Zoals ik uitleg in http://www.security.nl/artikel/39487/1/Microsoft_dicht_236_lekken_in_2011.html zal je, als je voor het patchen met de updates van vanavond (inclusief MS11-087) een geel schildje had, deze nog steeds zien. Als je dat schildje had weggekregen (bijv. door op https://www.update.microsoft.com/ aan te geven dat je de updates KB982132, KB972270 en KB691371 niet meer aangeboden wilt krijgen), dan zal dat nu niet opnieuw verschijnen (in tegenstelling tot wat ik eind vorige week voorspelde, toen ik er nog van uitging dat T2Embed.dll vervangen zou worden).
Probleem: Microsoft heeft http://support.microsoft.com/kb/2639658 aangepast, de Fix-It's zijn hier niet meer op terug te vinden... Lekker handig, no thanks Redmond! Gelukkig heb ik de URL's bewaard:
Enable: Microsoft Fix it 50792 -> http://go.microsoft.com/?linkid=9788941
Disable: Microsoft Fix it 50793 -> http://go.microsoft.com/?linkid=9788942
Conclusie: als je eerder Fix-It 50792 gedraaid hebt, zul je, voor of na het patchen (dat maakt dus niet uit) met MS11-087, Fix-It 50793 moeten draaien om weer volledige True Type Font support te hebben, en PDF te kunnen exporteren vanuit Office 2007.
Succes!
Zoals ik in http://www.security.nl/artikel/39487/1/Microsoft_dicht_236_lekken_in_2011.html aangaf maakt het niet uit of je Fix-It 50793 draait voordat of nadat je de patches van vanavond draait, inclusief de daadwerkelijke fix voor de True Type Font Parsing vulnerability (zie http://technet.microsoft.com/en-us/security/bulletin/ms11-087).
Maar ik moet eerlijk toegeven, om een andere reden dan ik dacht! De bug blijkt namelijk niet in T2Embed.dll te zitten maar in Win32k.sys (Fix-It 50792 trekt alle toegangsrechten op T2Embed.dll in, kennelijk om te voorkomen dat de buggy code in Win32k.sys bereikt kan worden).
Zoals ik uitleg in http://www.security.nl/artikel/39487/1/Microsoft_dicht_236_lekken_in_2011.html zal je, als je voor het patchen met de updates van vanavond (inclusief MS11-087) een geel schildje had, deze nog steeds zien. Als je dat schildje had weggekregen (bijv. door op https://www.update.microsoft.com/ aan te geven dat je de updates KB982132, KB972270 en KB691371 niet meer aangeboden wilt krijgen), dan zal dat nu niet opnieuw verschijnen (in tegenstelling tot wat ik eind vorige week voorspelde, toen ik er nog van uitging dat T2Embed.dll vervangen zou worden).
Probleem: Microsoft heeft http://support.microsoft.com/kb/2639658 aangepast, de Fix-It's zijn hier niet meer op terug te vinden... Lekker handig, no thanks Redmond! Gelukkig heb ik de URL's bewaard:
Enable: Microsoft Fix it 50792 -> http://go.microsoft.com/?linkid=9788941
Disable: Microsoft Fix it 50793 -> http://go.microsoft.com/?linkid=9788942
Conclusie: als je eerder Fix-It 50792 gedraaid hebt, zul je, voor of na het patchen (dat maakt dus niet uit) met MS11-087, Fix-It 50793 moeten draaien om weer volledige True Type Font support te hebben, en PDF te kunnen exporteren vanuit Office 2007.
Succes!
Laatst gewijzigd:
13-12-2011,
23:56
