image

Microsoft en Mozilla zeggen DigiNotar vaarwel

woensdag 7 september 2011, 10:02 door Redactie, 17 reacties

Zowel Microsoft als Mozilla hebben updates uitgebracht die DigiNotar volledig uit de browser en het besturingssysteem verwijderen. Microsoft plaatste alle DigiNotar root-certificaten in de Untrusted Certificate Store. Het gaat in totaal om vijf certificaten. Hierdoor zullen Internet Explorer en andere Windows applicaties de certificaten niet meer vertrouwen. De update is voor alle ondersteunde Windows-versies beschikbaar.

Gebruikers van Windows Mobile en Windows Phone 7 hoeven niet te updaten, aangezien het DigiNotar certificaat niet op deze platformen aanwezig is. Op verzoek van de Nederlandse overheid zal Microsoft deze update pas volgende week onder Nederlandse Windows-gebruikers uitrollen.

Update
Mozilla publiceerde updates voor Firefox en Thunderbird, die ook het vertrouwen in DigiNotar volledig opzeggen. Gebruikers krijgen het advies om naar Firefox 6.0.2, Firefox 3.6.22 en Thunderbird 6.0.2 te upgraden.

Reacties (17)
07-09-2011, 10:19 door Anoniem
en terecht
07-09-2011, 10:32 door SirDice
Nu Apple nog maar die lijkt, zoals gebruikelijk, zich totaal niet te bekommeren om de veiligheid van haar gebruikers.
07-09-2011, 11:41 door Anoniem
De gemeente Amsterdam waarschuwt zijn gebruikers om de update niet te installeren. Hoezo slecht advies?
07-09-2011, 13:49 door Anoniem
Ze hebben toch nu al meteen Getronics?.
Maar ach certificaten op internet is alleen geldklopperij want je hebt er niets aan omdat deze nooit te vertrouwen zijn.
07-09-2011, 14:05 door Anoniem
Microsoft toont zich weer waardeloos.De update van Microsoft is alleen te downloaden als je "Genuine Windows Validation Component" ActiveX installeert. Dat doe je natuurlijk niet als IT beveiliger.

Weet iemand een normale download bron?
07-09-2011, 14:07 door Anoniem

op verzoek van de Nederlandse overheid zal Microsoft deze update pas volgende week onder Nederlandse Windows-gebruikers uitrollen.

Dit klopt niet de update is wel uitgerold maar niet als urgent.
07-09-2011, 14:49 door PeterB
Door SirDice: Nu Apple nog maar die lijkt, zoals gebruikelijk, zich totaal niet te bekommeren om de veiligheid van haar gebruikers.

Hey Dice, dat is je reinste onzin. Een beetje Apple gebruiker weet dat ie die DigiNotar ellende certificaten makkelijk kan uitschakelen .

Ga naar je Applicaties ->Hulp programmas -> Sleutelhanger. Kijk in de lijst van vertrouwde CA's en zet de DigiNotar op Niet vertrouwen. Klaar !
07-09-2011, 14:50 door PeterB
Door Anoniem: Microsoft toont zich weer waardeloos.De update van Microsoft is alleen te downloaden als je "Genuine Windows Validation Component" ActiveX installeert. Dat doe je natuurlijk niet als IT beveiliger.

Weet iemand een normale download bron?


Als IT beveiliger heb je toch M$ niet nodig en zet je toch zelf in je beveiliging het certificaat uit ?
...of denk ik nu te simpel ? ...
07-09-2011, 15:03 door eMilt
Door SirDice: Nu Apple nog maar die lijkt, zoals gebruikelijk, zich totaal niet te bekommeren om de veiligheid van haar gebruikers.
Op Windows maakt Apple gebruik van de certificate store van Windows dus een update van Microsoft werkt gelijk door voor Safari op Windows. Op OS X Lion staat de DigiNotar Root CA er inderdaad nog steeds in, dus Apple moet daarvoor inderdaad nog een update uitbrengen.
07-09-2011, 15:08 door eMilt
Door Anoniem: Microsoft toont zich weer waardeloos.De update van Microsoft is alleen te downloaden als je "Genuine Windows Validation Component" ActiveX installeert. Dat doe je natuurlijk niet als IT beveiliger.
Als IT beveiliger had je allang XP de deur uit gedaan en geupdate naar Windows 7. Die ActiveX control heb je alleen nodig als je nog via de browser update (en dus Windows XP hebt). Overigens, als je die ActiveX control van Microsoft zelf niet vertrouwt hoe kan je dan hun software updates wel vertrouwen?
07-09-2011, 15:56 door 0101
Door Anoniem: Microsoft toont zich weer waardeloos.De update van Microsoft is alleen te downloaden als je "Genuine Windows Validation Component" ActiveX installeert. Dat doe je natuurlijk niet als IT beveiliger.

Weet iemand een normale download bron?
Gewoon Windows Update? https://www.update.microsoft.com
07-09-2011, 17:12 door Anoniem
Ik heb inmiddels al een update via Windows Update binnen gekregen hiervoor, 'k gebruik Windows 7.
07-09-2011, 17:42 door Anoniem
Hallo,

Ik heb mijn SBS2003 geupdated met KB2607712

Na opstart kreeg ik een melding van een services die niet gestart is.

Event Type: Error
Event Source: SOCKS Filter
Event Category: None
Event ID: 20002
Date: 7-9-2011
Time: 17:14:02
User: N/A
Computer: mijn computer
Description:
SOCKS filter: failed to bind IP address 192.168.16.1:1080 for listening. Future SOCKS requests will be refused.

Patch ervan afgegooid, nu werkt weer alles.
Sercurity updates PRIMAAAAAAAAAAAA, echter weten is goed controleren is beter.
Nieuwsgroep van Microsoft niet bereikbaar.

Met vriendelijke groet, HWH
07-09-2011, 20:03 door Anoniem
Door eMilt:
Door Anoniem: Microsoft toont zich weer waardeloos.De update van Microsoft is alleen te downloaden als je "Genuine Windows Validation Component" ActiveX installeert. Dat doe je natuurlijk niet als IT beveiliger.
Als IT beveiliger had je allang XP de deur uit gedaan en geupdate naar Windows 7. Die ActiveX control heb je alleen nodig als je nog via de browser update (en dus Windows XP hebt). Overigens, als je die ActiveX control van Microsoft zelf niet vertrouwt hoe kan je dan hun software updates wel vertrouwen?

Als IT beveiliger heb ik liever geen enorme W7 rotzooi op mijn systeem. KISS. Ik weet zelf wel hoe ik het veilig kan maken. Jij hebt daar W7 voor nodig?

Het gaat niet om vertrouwen. Het gaat om het installeren van een onnodige ActiveX module die alleen bedoeld is om de belangen van Microsoft te beschermen en niet de mijne. Attack surface reduction enzo. Waarom moet er om de haverklap een check worden uitgevoerd of mijn systeem nog steeds niet illegaal is? Microsoft kan het duwen waar de zon niet schijnt.
07-09-2011, 20:33 door Anoniem
Door PeterB:
Door Anoniem: Microsoft toont zich weer waardeloos.De update van Microsoft is alleen te downloaden als je "Genuine Windows Validation Component" ActiveX installeert. Dat doe je natuurlijk niet als IT beveiliger.

Weet iemand een normale download bron?


Als IT beveiliger heb je toch M$ niet nodig en zet je toch zelf in je beveiliging het certificaat uit ?
...of denk ik nu te simpel ? ...

Ja, je denkt te simpel en Microsoft ook. Er is geen mogelijkheid om het uit te zetten of te verwijderen via de IE GUI, waar je die mogelijkheid zou verwachten.

Je kunt wel via certmgr.msc uitschakelen, maar het werkt niet. IE gaat vrolijk door met uitgezette certificaten.

Bovendien is het niet mijn taak om dit te doen. Microsoft dient die verantwoordelijkheid te nemen en zich niets aan te trekken van wat een belanghebbende wil die duidelijk niet de veiligheid van site bezoekers (lees: Windows gebruikers) als prioriteit heeft.
08-09-2011, 08:32 door SirDice
Door PeterB:
Door SirDice: Nu Apple nog maar die lijkt, zoals gebruikelijk, zich totaal niet te bekommeren om de veiligheid van haar gebruikers.

Hey Dice, dat is je reinste onzin. Een beetje Apple gebruiker weet dat ie die DigiNotar ellende certificaten makkelijk kan uitschakelen .
Iets wat je ook makkelijk bij IE, Firefox en Chrome kunt doen. En toch zijn ze daar al verwijdert?

Daar komt nog bij dat als je het certificaat verwijdert, deze weer netjes geïnstalleerd wordt bij de volgende update. Beter komt Apple dus met een update die het ding verwijdert. Net als alle andere browsers.
08-09-2011, 14:00 door eMilt
Door Anoniem: Ik weet zelf wel hoe ik het veilig kan maken. Jij hebt daar W7 voor nodig?
Ik heb de betere architectuur (drivers, code signing) en beveiliging (ASLR, UAC) van Windows 7 nodig als het toch even niet mee zit. Als jij denkt dat een product wat 10 jaar ouder is net zo veilig is als de opvolger dan heb je het denk ik mis. Laten ik het zo zeggen, de statistieken en experts zijn het niet met je eens.

Door Anoniem: Attack surface reduction enzo.
Maar wel bewust een OS gebruiken wat bijvoorbeeld geen ASLR ondersteunt? Over attack surface gesproken...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.