image

Microsoft noodpatches voor IE en Visual Studio

zaterdag 25 juli 2009, 11:14 door Redactie, 5 reacties

Microsoft zal volgende week twee 'out-of-band' patches voor zeer ernstige beveiligingslekken in Internet Explorer en Visual Studio uitbrengen. Welke problemen de updates precies gaan verhelpen maakte de softwaregigant niet bekend. In het geval van Visual Studio lost het Security Bulletin een probleem op dat bepaalde soorten applicaties treft. Voor Internet Explorer is het een 'defense-in-depth' aanpassing, die aanvullende bescherming moet bieden voor de problemen die het Visual Studio bulletin verhelpt. Daarnaast repareert de IE-patch ook meerdere beveiligingslekken die volgens Microsoft door een onderzoeker op verantwoorde wijze zijn gemeld.

Afgelopen woensdag ging al het gerucht dat de softwaregigant met een noodpatch zou komen voor het Video ActiveX control waar het op patchdinsdag al een update voor had uitgebracht. Volgens beveiligingsexpert Tyler Reguly ging het om prutswerk, aangezien de patch alleen uit een killbit voor het kwetsbare ActiveX control bestond. Hiermee loste Microsoft het beveiligingslek niet op, maar schakelde wel de kwetsbare functionaliteit uit.

Reverse engineer expert Halvar Flake besloot het lek te onderzoeken en ontdekte waarom Microsoft zo'n probleem had met het ontwikkelen van een werkende patch. Het probleem zit namelijk veel dieper in Windows. Niet alleen Windows, maar ook software van andere ontwikkelaars gebruiken dezelfde functie. Volgens Flake is de killbit-oplossing dan ook duidelijk niet voldoende, aangezien er vast tal van andere manieren zijn om het probleem te misbruiken. Naar alle waarschijnlijkheid gaan de Security Bulletins dit probleem verhelpen.

Een woordvoerder laat weten dat de updates een ernstig lek in de code dichten die Microsoft op verschillende plekken binnen Windows gebruikt. Daarnaast zou de kwetsbare code-library ook door andere ontwikkelaars worden gebruikt, wat het probleem en potentiële gevolgen nog groter maakt.

Geen zero-day aanvallen
Vorig jaar kwam Microsoft met twee 'out-of-band' patches, eentje voor het Conficker-lek in Windows een ander voor Internet Explorer, waar de kwetsbaarheid actief misbruikt werd. De softwaregigant laat gebruikers weten dat er geen sprake van zero-day aanvallen is. "Klanten die over de laatste beveiligingsupdates beschikken zijn beschermd tegen bekende aanvallen die met deze Out of Band release samenhangen." De updates zijn vanaf 28 juli via Windows Update en de Automatische Update functie te downloaden.

Update 11:25: Opmerking Microsoft woordvoerder toegevoegd

Reacties (5)
25-07-2009, 11:45 door [Account Verwijderd]
[Verwijderd]
25-07-2009, 12:52 door Van Hoorne
O, het zijn weer "zeer ernstige" problemen. Moet de term "gapend gat" niet gebruikt worden? Ik heb nog nooit ook maar enig probleem gehad met al die zeer ernstige problemen. Zal dus wel weer loslopen. Ik heb wel last gehad met lekken in Firefox, maar die worden hier nooit zeer ernstig genoemd.
25-07-2009, 14:04 door dim
Dit is waarschijnlijk een fix voor een bug in ATL (zie http://en.wikipedia.org/wiki/Active_Template_Library), die wordt beschreven door Halvar in zijn blog (zie http://addxorrol.blogspot.com/2009/07/poking-around-msvidctldll.html). Aangezien dit een runtime library is die door heel veel programma's gebruikt wordt, vooral die in Visual Studio, is het vrij ernstig.

Bovendien lijkt het erop dat een hoop programma's niet dynamisch linken met ATL, maar statisch. Dat wil zeggen dat je niet klaar bent met gewoon ATL.dll vervangen, maar alle statisch gelinkte programma's moeten opnieuw gebouwd worden. :)

Met wat eenvoudig zoeken vond hij deze bug al in tientallen Microsoft systeembestanden, en joost mag weten in hoeveel niet-Microsoft software dit voorkomt...
27-07-2009, 00:28 door Rene V
Door Van Hoorne: O, het zijn weer "zeer ernstige" problemen. Moet de term "gapend gat" niet gebruikt worden? Ik heb nog nooit ook maar enig probleem gehad met al die zeer ernstige problemen. Zal dus wel weer loslopen. Ik heb wel last gehad met lekken in Firefox, maar die worden hier nooit zeer ernstig genoemd.

Waarom gebruik je dan Firefox? Je bent toch een Microsoft fan? Hou het dan lekker bij IE als je Firefox zo verafschuwt.
Je maakt je druk om niks. Het is gewoon een berichtgeving. Iets wat hier ook nog eens thuishoort. Maar zodra er maar ook iets over je geliefde M$ gezegd wordt ga je gelijk lopen blaten.
Maar zodra er een negatieve berichtgeving is over Linux of Firefox dan horen we je niet, of we horen je alleen met sarcastische opmerkingen als veilig hè dat FF of veilig hè dat Linux?
Flikker toch eens op man. Puber!
28-07-2009, 21:26 door Ilja. _V V
De betreffende Out-of-Band-patches zijn nu via Microsoft Update beschikbaar (10:00uur Redmond = 21:00uur Amsterdam). Automatische Updates op standaard-instelling (elke dag om 03:00uur) vinden het vanaf morgen wel.

Cumulative Security Update for Internet Explorer 8 for Windows XP (KB972260)
Security Update for Microsoft Visual C++ 2005 Service Pack 1 Redistributable Package (KB973923)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.