image

Microsoft negeert zero-day lekken tijdens patchdinsdag

vrijdag 7 januari 2011, 09:17 door Redactie, 5 reacties

Microsoft zal tijdens de eerste patchdinsdag van 2011 twee patches voor drie beveiligingslekken in Windows uitbrengen, waarmee het vier openstaande en bekende kwetsbaarheden negeert. De eerste update is alleen voor Vista en heeft een "belangrijk" rating meegekregen, terwijl de tweede patch alle Windows-versies treft en "critical" is. Gebruikers krijgen van de softwaregigant het advies om de updates zo snel als mogelijk uit te rollen.

Wat betreft zero-day lekken in de Windows Graphics Rendering Engine en het CSS-lek in Internet Explorer, zullen er deze maand geen updates verschijnen. Het CSS-lek werd rond 10 december onthuld, terwijl Microsoft pas twee weken later met een advisory kwam. Daarnaast is de softwaregigant op de hoogte van gerichte aanvallen op Windows-gebruikers. "We houden het dreigingslandschap in de gaten en als de situatie verandert, zullen we hierover berichten."

Kwetsbaarheden
Naast deze twee zero-day lekken zijn er ook nog openstaande kwetsbaarheden in de Microsoft WMI Administrative Tools en nog een lek in Internet Explorer. Deze kwetsbaarheid samen met het lek in de Graphics Rendering Engine zijn pas enkele dagen bekend, waardoor het onrealistisch is om in zo'n korte tijd een goed geteste update uit te brengen.

Daarnaast zijn er verschillende workarounds voor de problemen. Voor het maand oude lek in Internet Explorer verwijst Microsoft gebruikers naar de Enhanced Mitigation Experience Toolkit. Voor het WMI ActiveX control is er een kill-bit en het lek in de Graphics Rendering Engine is tijdelijk op te lossen door het shimgvw.dll uit te schakelen, hoewel dit bijwerkingen kan hebben. Voor het recente bevestigde IE-lek heeft Microsoft nog geen advisory uitgebracht. De twee updates zijn aanstaande dinsdagavond te downloaden.

Reacties (5)
07-01-2011, 09:28 door [Account Verwijderd]
[Verwijderd]
07-01-2011, 09:37 door spatieman
terwijl de tweede patch alle Windows-versies treft en "critical" is.
-
dus ook windows 2000 xD
07-01-2011, 11:14 door Anoniem
@Peter V

Het feit dat je SP1 niet geinstalleerd krijgt staat los van een 'security beleid' lijkt me. Dat het bij duizenden niet lukt is niet prettig, maar bij miljoenen (!) lukt het wel.....dus lijkt me dat je dat gewoon even als apart probleem moet behandelen en oplossen en daarna kun je ook meegenieten van het maandelijkse security fix patch gebeuren.

@spatieman
Waarschijnlijk gewoon een kwestie van 'te kort' dag om het goed te kunnen testen. Het wel uitrollen zonder testen wat het voor effecten geeft (de patch) en vervolgens andere problemen (mogelijk ) veroorzaken bij gebruikers is toch ook niet goed ? Volgende maand zal hij er heus wel bij zitten...

Ga ik nu even de tientallen patches installeren op mijn Ubuntu machine....want daar loop ik 2 weken achter....
07-01-2011, 11:59 door [Account Verwijderd]
[Verwijderd]
07-01-2011, 13:42 door Toero Mentol
niet bewust negeren denk ik, maar meer in de trant van "ik weet niet hoe ik dat moet oplossen"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.