image

Microsoft "fix" voor ernstig Windows-lek

vrijdag 4 november 2011, 10:10 door Redactie, 29 reacties

Microsoft heeft een tijdelijke oplossing voor een ernstig Windows-lek uitgebracht, waardoor verschillende computers met het Duqu-virus besmet raakten. Via het lek in de Windows-kernel kunnen aanvallers volledige controle over systemen krijgen. Na de ontdekking van het lek liet Microsoft al weten dat het aan een beveiligingsupdate werkte, maar die zal niet in november verschijnen. zegt
Jerry Bryant van het Microsoft Security Response Center.
Risico
Het risico voor Windows-gebruikers is volgens Microsoft zeer klein. Duqu werd gericht ingezet, en tot nu toe zou het aantal besmettingen tussen de tien en twintig liggen. Voor Windows-gebruikers die zich toch tegen eventuele aanvallen willen beschermen, is er nu een Fix-it oplossing beschikbaar.

Het probleem bevindt zich in de Win32k TrueType font parsing engine van alle ondersteunde Windows-versies. Door een fout in de verwerking van TrueType font types, is het mogelijk om willekeurige code op computers uit te voeren. Als tijdelijke oplossing adviseert Microsoft om de toegang tot T2EMBED.DLL te blokkeren. Om dit op eenvoudige wijze in te stellen is er nu deze "Fix-it oplossing".

Reacties (29)
04-11-2011, 10:12 door SirDice
Het probleem bevindt zich in de Win32k TrueType font parsing engine van alle ondersteunde Windows-versies. Door een fout in de verwerking van TrueType font types, is het mogelijk om willekeurige code op computers uit te voeren.
Wat ik al dacht, een local exploit. Dat je door zo'n bug willekeurige code kunt uitvoeren lijkt me duidelijk. Maar waarom draait die font-parser handel in hemelsnaam in kernel space?!?
04-11-2011, 11:40 door Anoniem
Het risico voor Windows-gebruikers is volgens Microsoft zeer klein. Duqu werd gericht ingezet, en tot nu toe zou het aantal besmettingen tussen de tien en twintig liggen.
Maar nu is wél bekend wat de exploit is. Nu kunnen anderen dan de Duqu-bouwers de exploit gebruiken. Dus: "Het risico voor Windows-gebruikers is volgens anoniem vrij groot."
04-11-2011, 11:58 door Bitwiper
Door SirDice: Wat ik al dacht, een local exploit.
Dit is geen local maar een remote exploit. Wel is het zo dat er 2 soorten remote exploits zijn: met gebruikersinteractie en zonder (netwerkwormen).

Dit is duidelijk een gevalletje gebruikersinteractie, bezoeken van een website die zelf gecompromitteerd is (of een ad server) volstaat.

Maar waarom draait die font-parser handel in hemelsnaam in kernel space?!?
Inderdaad absurd.
04-11-2011, 12:18 door Spiff has left the building
Een kanttekening bij de "Fix-it oplossing" dan wel de manual workaround:
"Impact of Workaround. Applications that rely on embedded font technology will fail to display properly."
http://technet.microsoft.com/en-us/security/advisory/2639658

Daarnaast meldt Avira reeds:
"It is highly improbably that you will get infected by not patching this vulnerability since all antivirus solution currently detect the malicious files."
http://techblog.avira.com/2011/11/04/microsoft-publishes-a-workaround-for-duqu-malware/en/
04-11-2011, 13:04 door Bitwiper
Door Spiff: Daarnaast meldt Avira reeds:
"It is highly improbably that you will get infected by not patching this vulnerability since all antivirus solution currently detect the malicious files."
http://techblog.avira.com/2011/11/04/microsoft-publishes-a-workaround-for-duqu-malware/en/
Dat willen ze je graag doen geloven, maar als het aanvallers lukt om zo'n exploit in bijv. obfuscated javascript te verpakken, gaat geen enkele virusscanner dat detecteren - doodeenvoudig omdat de exploit niet herkenbaar in een bestand vanaf je schijf gelezen wordt. Een eventuele font-download door je webbrowser zal slechts door een beperkt aantal virusscanners worden gescand (namelijk die op http verkeer meekijken) en als e.e.a. via https aangeboden wordt daalt dit aantal bjna tot 0 (Kaspersky bijv. kan in https scannen maar default staat dit uit).

Ik ben het dus eens met Anoniem van 11:04 hierboven: reken maar dat deze exploit aan de bekende exploit packs zal worden toegevoegd.

Een alternatieve fix (voor surfen met je webbrowser) is waarschijnlijk het disablen van font downloads.

MSIE8:
- Open menu Extra | Internetopties
- Open de tab "Beveiliging"
- Kies de aarbol "Internet"
- Klik op de knop "Aangepast niveau..."
- Scroll ca. 3/4 naar beneden tot je "Gedownloade elementen" ziet
- Daaronder staat "Lettertype downloaden": wijzig de instelling naar keuze naar "Uitschakelen" of "Vragen"
04-11-2011, 13:20 door SirDice
Door Bitwiper:
Door SirDice: Wat ik al dacht, een local exploit.
Dit is geen local maar een remote exploit. Wel is het zo dat er 2 soorten remote exploits zijn: met gebruikersinteractie en zonder (netwerkwormen).
Dit is duidelijk een local, geen remote. Een remote exploit is iets wat extern wordt afgevuurd op een slachtoffer. Het Word document wordt dan wel rond gestuurd maar de feitelijke exploit wordt lokaal uitgevoerd, ergo een local exploit. Je kunt deze bug ook niet op afstand misbruiken. Je zult iemand moeten verleiden om het lokaal uit te voeren.

Dit is duidelijk een gevalletje gebruikersinteractie, bezoeken van een website die zelf gecompromitteerd is (of een ad server) volstaat.
En ook dat zijn local exploits. De betreffende pagina wordt eerst geladen en lokaal geparsed. En dus is ook dat een local exploit en geen remote.

Een remote exploit was bijv. Nimda of CodeRed. Of er wel of geen gebruikersinteractie nodig is is niet relevant v.w.b. de vraag of een exploit local of remote is.
04-11-2011, 13:22 door SirDice
-foutje-
04-11-2011, 22:01 door Anoniem
Na Fixit 50792 gedaan te hebben geeft mijn anti-virus aan dat er essentiele updates geinstalleerd moeten worden te weten KB982132 EN KB972270 is dit soms nodig of heeft de Fixit ze uitgeschakeld ? Als de Fixit op disable zet komen deze updates niet meer voor in windows update .Dus hoe nou te handelen ? iemand een idee ? want ben ik nou op andere punten weer kwetsbaar ?
04-11-2011, 23:04 door Bitwiper
In http://technet.microsoft.com/en-us/security/advisory/2639658 onderaan de FAQ staat:
How could an attacker exploit the vulnerability?
There are multiple means that could allow an attacker to exploit this vulnerability, including providing documents or convincing users to visit a Web page that embeds TrueType. The specially crafted TrueType font could then exploit the vulnerability.
@SirDice: Hoewel Microsoft de term "remote" zo te zien nog niet gebruikt in bovengenoemde pagina, is het wel gangbaar dat MS die term voor dit soort kwetsbaarheden gebruikt.
Google maar eens naar: internet explorer remote code execution site:microsoft.com

Overigens is dit niet de eerste bug in T2Embed.dll, in http://technet.microsoft.com/en-us/security/bulletin/ms06-002 lees ik:
Vulnerability in Embedded Web Fonts Could Allow Remote Code Execution (908519)
...
An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Kennelijk geen SYSTEM destijds in 2006. Nog twee uit 2010: http://www.microsoft.com/technet/security/bulletin/MS10-001.mspx:
Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (972270)
en http://technet.microsoft.com/en-us/security/bulletin/MS10-076:
Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (982132)
In dat laatste geval lees ik verder slechts:
Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Iets minder stellig dus.

Meestal heb ik het niet zo op "Zeer ernstig lek" (zie http://www.security.nl/artikel/39045/1/Zeer_ernstig_lek_in_Windows-kernel_ontdekt.html) maar in dit geval is die kwalificatie wel van toepassing. Het komt niet vaak voor dat een aanvaller meteen SYSTEM rechten kan krijgen slechts doordat een unprivileged gebruiker een kwaadaardige website bezoekt.

Daarnaast vermoed ik dat deze exploit ook via bijv. PDF en Flash te gebruiken is. Kortom ik denk dat iedereen er verstandig aan doet om de Fit-It van Microsoft te implementeren, want deze exploit gaat snel ingezet worden door aanvallers. En zoals ik eerder al schreef, vertrouw niet op je virusscanner.

Overigens kan die fix-it voor Firefox gebruikers mogelijk grotere consequenties hebben onder W7 dan oudere Windows versies (en lopen W7 gebruikers met Firefox wellicht een groter risico als ze de Fix-It niet draaien): zie https://bugzilla.mozilla.org/show_bug.cgi?format=multiple&id=510440:
patch, v.0.1, detect Windows 7 and load CFF fonts via t2embed"
Ik sluit zelfs niet uit dat sommige servers kwetsbaar zijn, bijv. indien afdrukken op zo'n server gerendered worden.
05-11-2011, 00:03 door Bitwiper
Door Anoniem: Na Fixit 50792 gedaan te hebben geeft mijn anti-virus aan dat er essentiele updates geinstalleerd moeten worden te weten KB982132 EN KB972270
Dat zijn 2 van de 3 updates die ik hierboven noem (haal KB weg dan zie je de getallen terugkomen).

Ik heb een heel sterk vermoeden dat jou virusscanner klaagt omdat hij niet kan vaststellen dat de juiste versie van t2embed.dll geïnstalleerd is. Je bent juist niet meer kwetsbaar door het niet-toegankelijk maken van t2embed.dll.

Welke virusscanner gebruik je trouwens?
05-11-2011, 08:44 door Anoniem
Ik gebruik Nod32 en ook bij automatische updates worden ze toch weer gelijk aangeboden staan nu hier weer in de wachtrij .Maar goed ik zal ze dus negeren wel verwarrend allemaal ook omdat de waarschuwingsdienst.nl deze fixit aanraad in hun sms waarschuwing !
05-11-2011, 11:05 door Anoniem
Ik gebruik Nod32 en met automatische Updates word de bovenstaande Updates ook weer aangeboden heb al automatische updates tijdelijk uitgezet .Maar kan me wel voorstellen dat er meer zijn die het zelfde hebben vooral na de sms gister van de waarschuwinngsdienst.nl en je dan na de fixit weer de updates via uitschakelen weer installeert die de fixit weer oplossen allemaal confused hoor
07-11-2011, 00:13 door Anoniem
@ Bitwiper:

Na installeren van Fix it 50792 krijg ik ook de melding om twee updates te installeren. Echter niet van de virusscanner, zoals Anoniem vrijdag jl. om 22.01 uur hierboven meldt. Ik krijg een 'gewone' Windows Update melding. Echter na installeren van de twee updates KB931125 en KB972270 blijft Windows Update steeds opnieuw meldingen geven dat deze twee updates geïnstalleerd moeten worden. Nogmaals installeren verhelpt dit probleem echter niet. Windows Update blijft identieke meldingen geven.Op http://krebsonsecurity.com kom ik bij de reacties meldingen tegen dat anderen ook dit probleem hebben.

---------------------------------------------------------------------------------------------
Quote 1 van Tim Cole aldaar:
I just got two MS monthly updates to run which came on Saturday instead of Tuesday. So, I checked the Microsoft Update site to see if they were legit and they were there too.
I installed them from the site then went and turned automatic updates back on and it started installing them again and again. I finally went in and disabled that Fix-It 50792 by running Fix-it
50793. That stopped the loop and it quit installing them. I guess that stopped them as when I went back to check MS Updates they were there and ready to install again. Those Fix-Its seem to cause issues every time there is one of them.

Quote 2 van PeterM:
Tim, my experience (XP SP3) was the same –after running the FixIt, two old updates (KB982132 – MS10-076 & KB972270 – MS10-001) kept re-installing until removed the FixIt.
---------------------------------------------------------------------------------------------

Vraag aan o.a. Bitwiper: o.b.v. jouw bovenstaand citaat "Je bent juist niet meer kwetsbaar door het niet-toegankelijk maken van t2embed.dll" deze Windows Update-meldingen gewoon maar even negeren? Of kunnen er door het toepassen van Fix it 50792 elders kwetsbaarheden ontstaan zijn?
07-11-2011, 08:06 door Anoniem
Ik gebruik Nod32 maar die updates nummers worden gewoon aangeboden weer via automatische updates Ik installeer ze niet .Maar ik kan me wel indenken dat gewoon weer geinstalled word door een leek .Want ook ik kreeg smsje via waarschuwingsdienst.nl over deze fixit en dan zullen er vele zijn die weer de aangeboden update na de Fixit installen .By the way ik heb je al eerder 3 keer eerder beantwoord Bitwiper ,maar werd niet geplaatst
07-11-2011, 08:32 door SirDice
Door Bitwiper: In http://technet.microsoft.com/en-us/security/advisory/2639658 onderaan de FAQ staat:
How could an attacker exploit the vulnerability?
There are multiple means that could allow an attacker to exploit this vulnerability, including providing documents or convincing users to visit a Web page that embeds TrueType. The specially crafted TrueType font could then exploit the vulnerability.
@SirDice: Hoewel Microsoft de term "remote" zo te zien nog niet gebruikt in bovengenoemde pagina, is het wel gangbaar dat MS die term voor dit soort kwetsbaarheden gebruikt.
Google maar eens naar: internet explorer remote code execution site:microsoft.com
Dat Microsoft het op die manier misbruikt wil nog niet zeggen dat ik het daar mee eens ben.

Overigens is dit niet de eerste bug in T2Embed.dll, in http://technet.microsoft.com/en-us/security/bulletin/ms06-002 lees ik:
Vulnerability in Embedded Web Fonts Could Allow Remote Code Execution (908519)
...
An attacker who successfully exploited this vulnerability could gain the same user rights as the local user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Kennelijk geen SYSTEM destijds in 2006. Nog twee uit 2010: http://www.microsoft.com/technet/security/bulletin/MS10-001.mspx:
Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (972270)
en http://technet.microsoft.com/en-us/security/bulletin/MS10-076:
Vulnerability in the Embedded OpenType Font Engine Could Allow Remote Code Execution (982132)
In dat laatste geval lees ik verder slechts:
Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Iets minder stellig dus.
En dat zijn ook een local exploits.

Hoe je het went of keert, je zult eerst iets lokaal moeten krijgen, een webpagina downloaden, een Word of PDF document openen. De verwerking daarvan gebeurd lokaal, de exploit dus ook. Bij een 'echte' remote exploit denk ik aan een lekke service die aan internet hangt.
07-11-2011, 21:27 door Anoniem
2011-11-07, 21.26 u.
Het verhaal van Anoniem klopt.
Na het installeren van de FixIt-update (op advies van de Waarschuwingsdienst) krijg ook ik voortdurend dat gele schildje van Windows Updates in beeld (in het vakje bij de klok), dat zeurt dat ze (KB972270 en KB982132) gedownload zijn en geïnstalleerd kunnen worden. Als ik dat doe, blijft dat schildje terugkomen. En terugkomen...
Hoe kom ik daar vanaf?
08-11-2011, 01:05 door Bitwiper
Door Anoniem: @ Bitwiper:

Na installeren van Fix it 50792 krijg ik ook de melding om twee updates te installeren. Echter niet van de virusscanner, zoals Anoniem vrijdag jl. om 22.01 uur hierboven meldt. Ik krijg een 'gewone' Windows Update melding. Echter na installeren van de twee updates KB931125 en KB972270 blijft Windows Update steeds opnieuw meldingen geven dat deze twee updates geïnstalleerd moeten worden. Nogmaals installeren verhelpt dit probleem echter niet.
Klopt, dit gedrag zie ik ook.

Fix It 50792 doet, voor zover mij bekend, niets anders dan toegang blokkeren tot t2embed.dll door er de permissie "Everyone:Full Control:Deny" aan toe te voegen, precies zoals http://technet.microsoft.com/en-us/security/advisory/2639658 in Suggested Actions - Workarounds specificeert.

Omdat het update-scan proces onder een gewoon gebruikersaccount draait kan deze daarna niet meer vaststellen of de juiste versie van t2embed.dll geïnstalleerd is en stelt een update voor. De feitelijke updater draait met SYSTEM rechten; dan worden permissies volledige genegeerd. De updater zal het bestand echter alleen vervangen als de update een DLL met later versienummer bevat.

En als dat zo is, lijkt de updater daarna de permissies van de oude versie over te nemen; iIk heb dit even getest (Engelstalige XP Pro SP3, fully patched):
- permissies op de huidige c:\windows\system32\t2embed.dll (2010-08-27) tijdelijk normaal gemaakt
- kopie gemaakt van de actuele c:\windows\system32\t2embed.dll (naar backup bestand)
- c:\windows\$NtUninstallKB982132$\t2embed.dll (2009-10-15) over c:\windows\system32\t2embed.dll heengeschreven
- "Everyone:Full Control:Deny" op c:\windows\system32\t2embed.dll gezet
- shutdown gedaan zodat de updates werden geïnstalleerd.

Daarna bleek c:\windows\system32\t2embed.dll weer door de laatste versie (2010-08-27) te zijn overschreven, met "Everyone:Full Control:Deny" gezet.

Ik verwacht dus dat zodra Microsoft hier een patch voor uitbrengt (vanavond?) de daadwerkelijke update gewoon plaats zal vinden, maar je t2embed.dll daarna nog steeds niet kunt gebruiken, om vervolgens telkens 3 updates aangeboden te krijgen (voor zover ik me herinner heeft Microsoft bij updates nog nooit rekening gehouden met eventuele Fix It's, d.w.z. deze nooit ongedaan gemaakt bij automatische updates).

Kwestie van Fix It 50793 draaien (of de Deny "ACE" handmatig verwijderen). Mogelijk zal je systeem de reeds aangemelde (en gedownloade) updates nog uit willen voeren, om vervolgens tijdens uitvoering ervan te ontdekken dat ze geen van allen meer nodig zijn.

Kortom:

- Fix It 50792 schakelt op een erg botte manier t2embed.dll uit met als resultaat dat je de functionaliteit ervan niet meer kunt gebruiken en je zinloze updates krijgt aangeboden. Ik kan hieraan niets ontdekken dat je op welke manier dan ook in gevaar zou kunnen brengen. Nou ja, dat je gele schildjes helemaal gaat negeren, da's niet goed natuurlijk!

- Zodra de echte update beschikbaar is zul je Fix It 50793 moeten draaien. Om wat extra nodeloze updates te vermijden kun je dat het beste doen op het moment dat de nieuwe updates worden aangeboden. Maar als je dat vergeet kan het vermoedelijk geen kwaad om het later/achteraf te doen.

Disclaimer: ik ben geen MVP en ik werk niet voor Microsoft, dit is wat ik op basis van ervaring, testjes en waarnemingen vermoed en waarvan ik denk dat het klopt. Er is echter maar 1 ding 100% zeker in je leven...
08-11-2011, 08:09 door Anoniem
TnX Bitwiper voor je heldere Uitleg !
08-11-2011, 10:18 door Anoniem
Dank bitwiper, maar in mijn geval: paarlen voor de zwijnen.
Als ik niks doe en het gele schildje voorlopig (tot volgende maandupdate) negeer, zou het dan vanzelf goed komen? Ik bedoel: geen geel schildje meer voor de 2 geinstalleerde en het niet verdwijnende update aanbod van deze 2?
08-11-2011, 13:51 door Spiff has left the building
Door Bitwiper: Ik verwacht dus dat zodra Microsoft hier een patch voor uitbrengt (vanavond?) [...] [...]
Heb je daar ergens een aanwijzing voor gevonden, Bitwiper?
De redactie citeerde eerder nog Jerry Bryant, die aangaf dat de update nog niet gereed zou zijn om aan te bieden:

Door Redactie: Na de ontdekking van het lek liet Microsoft al weten dat het aan een beveiligingsupdate werkte, maar die zal niet in november verschijnen, zegt Jerry Bryant van het Microsoft Security Response Center.
Jerry Bryant: At this time, we plan to release the security update through our security bulletin process, although it will not be ready for this month’s bulletin release.
08-11-2011, 14:12 door Spiff has left the building
Door Anoniem, 10:18 uur:
Dank bitwiper, maar in mijn geval: paarlen voor de zwijnen.
Wat bedoel je precies, Anoniem?
Voor het geval je bedoelde dat Bitwipers uiteenzetting te ingewikkeld voor je was, hieronder een zo simpel mogelijk antwoord op je vragen.

Als ik niks doe en het gele schildje voorlopig (tot volgende maandupdate) negeer, zou het dan vanzelf goed komen?
Ik bedoel: geen geel schildje meer voor de 2 geinstalleerde en het niet verdwijnende update aanbod van deze 2?
Wat Bitwiper aangaf was dat het wellicht het verstandigste zou zijn om de uitgevoerde Microsoft Fix it 50792 voorafgaand aan de werkelijke update ongedaan te maken (uit te schakelen) door middel van Microsoft un-Fix it 50793, die eveneens te vinden is via http://support.microsoft.com/kb/2639658
Dat is de Fix it die je daar vindt onder Uitschakelen (Disable).
Het is wellicht aan te raden die un-Fix it 50793 alvast op te slaan en te bewaren voor wanneer je die binnenkort nodig hebt.

Wanneer de werkelijke update beschikbaar komt voer je voorafgaand daaraan eerst de un-Fix it 50793 uit, en vervolgens pas de werkelijke update.
Die manier geeft de grootste kans dat alles netjes goed komt zonder verdere complicaties.
08-11-2011, 15:55 door Anoniem
@Bitwiper: dank voor de uitvoerige en heldere reactie op mijn vraag (Anononiem 07-11 00.13 uur)!
08-11-2011, 16:11 door Anoniem
Heeft iemand ook de ervaring dat na de fixit het niet meer mogelijk is om een docx als pdf op te slaan?

Ik zie dan: 'Het exporteren is vanwege een onverwachte fout mislukt.'

Ton
08-11-2011, 16:25 door Anoniem
Dag,

Reactie op mijn eigen eerdere bericht:

Via virusalert kreeg ik de melding dat mijn computer kon lopen. Zie ook hier: http://www.security.nl/artikel/39062/1/Microsoft_%2522fix%2522_voor_ernstig_Windows-lek.html.

Daarop heb ik de fixit (http://support.microsoft.com/kb/2639658) geïnstalleerd.
Vervolgens bleek ik in Word mijn documenten niet meer als pdf of xps te kunnen opslaan.
Daarna heb ik de fixit teruggedraaid (http://support.microsoft.com/kb/2639658).
Opslaan als pdf is nu weer mogelijk.
08-11-2011, 22:14 door Bitwiper
Door Spiff:
Door Bitwiper: Ik verwacht dus dat zodra Microsoft hier een patch voor uitbrengt (vanavond?) [...] [...]
Heb je daar ergens een aanwijzing voor gevonden, Bitwiper?
Nope en het gaat ook niet gebeuren heb ik zojuist gezien (http://isc.sans.edu/diary/Microsoft+November+2011+Black+Tuesday+Overview/11971).

Overigens krijg ik op XP niets van al dat nieuw leed te zien, maar krijg ik wel MS11-037 opnieuw aangeboden. Bovenaan de FAQ staat de vraag "Why was this bulletin rereleased on November 8, 2011?" maar het antwoord daaronder slaat nergens op. Ik besteed er zo wel een apart draadje aan, URL voeg ik zo toe onderaan deze post.

Door Anoniem 2011-11008 16:25: fixit (http://support.microsoft.com/kb/2639658) geïnstalleerd.
Vervolgens bleek ik in Word mijn documenten niet meer als pdf of xps te kunnen opslaan.
Dat is bij mij ook zo, zojuist gereproduceerd, met Office 2007 plus "SaveAsPDF" plugin (waarmee o.a. de inhoudsopgave clickable wordt in PDF's, overigens hier te downloaden: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=9943) kan ik niet meer als PDF of XPS saven.

FreePDF (http://freepdfxp.de/) werkt nog wel gewoon, deze maakt gebruik van GhostScript - die op haar beurt kennelijk geen gebruik maakt van t2embed.dll. Helaas kan FreePDF geen inhoudsopgaven clickable maken.

Overigens wel een geruststelling dat een eventueel op een server gedraaide GhostScript (RedMon o.i.d.) hiermee geen kwetsbaarheid op servers lijkt te introduceren (omdat deze dus geen t2embed gebruikt).

XP/W2k3 MS11-037 update: zie http://www.security.nl/artikel/39116/1/XP%2B2k3%3A_MS11-037_opnieuw_2011-11-08.html
09-11-2011, 02:46 door Keyser Soze
Ik heb Avast! Pro en Malwarebytes pro , dus alles is goed beschermd hier.
.
09-11-2011, 02:56 door Spiff has left the building
Door Keyser Söze:
Ik heb Avast! Pro en Malwarebytes pro , dus alles is goed beschermd hier.
Echter, Bitwiper antwoordde op een vergelijkbare bewering (van Avira) eerder al:
Door Bitwiper, vr.4-11, 13:04 uur:
Dat willen ze je graag doen geloven, maar als het aanvallers lukt om zo'n exploit in bijv. obfuscated javascript te verpakken, gaat geen enkele virusscanner dat detecteren - doodeenvoudig omdat de exploit niet herkenbaar in een bestand vanaf je schijf gelezen wordt. Een eventuele font-download door je webbrowser zal slechts door een beperkt aantal virusscanners worden gescand (namelijk die op http verkeer meekijken) en als e.e.a. via https aangeboden wordt daalt dit aantal bjna tot 0 (Kaspersky bijv. kan in https scannen maar default staat dit uit).
[...]
10-11-2011, 09:26 door Anoniem
Helaas is na het installeren van deze hotfix opslaan als pdf niet meer mogelijk. We hadden na het installeren van deze hotfix op vrijdag na 17:00 uur uiteraard nog geen problemen, deze begonnen echter aan het begin van deze week. Onderzoek wees uit dat de veroorzaker van dit probleem de hotfix van MS was. Na het verwijderen van de hotfix konden onze gebruikers als vanouds hun documenten als pdf opslaan. Helaas kunnen wij de hotfix dus niet gebruiken. Shame MS.

Arno Jansen
20-02-2012, 19:13 door Keyser Soze
Gewoon je pc of laptop een paar dagen uitzetten!
Nergens geen last meer van.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.