image

Microsoft dicht 236 lekken in 2011

vrijdag 9 december 2011, 10:07 door Redactie, 4 reacties

Microsoft eindigt 2011 met veertien patches voor twintig beveiligingslekken, waardoor het totaal aantal gepatchte beveiligingslekken dit jaar op 236 komt, zo becijferde Security.nl. Het totaal aantal uitgebrachte patches bedraagt 100. Vorig stopte de teller bij 266 kwetsbaarheden en 106 Security Bulletins, terwijl er in 2009 74 patches verschenen.

Het belangrijkste lek dat Microsoft aanstaande dinsdag verhelpt is het zero-day lek in de Windows-kernel, dat het zeer geavanceerde Duqu-virus gebruikte om systemen bij een select aantal organisaties te infecteren. Verder worden er kwetsbaarheden in Windows, Office, Internet Explorer, Publisher en Windows Media Player verholpen. Ook verschijnt er een update voor de BEAST SSL-aanval, waardoor het mogelijk is om versleuteld verkeer af te luisteren.

In tegenstelling tot voorgaande jaren, bracht Microsoft in 2011 geen noodpatches uit.

Reacties (4)
09-12-2011, 10:28 door [Account Verwijderd]
[Verwijderd]
09-12-2011, 11:15 door Bitwiper
Door Peter V: Dat betekent dat de FIX-it oplossing teruggedraaid moet worden voordat de patch geïnstalleerd wordt.
Ik denk niet dat het nodig is om de Fix-It terug te draaien voordat de patch geïnstalleerd wordt, daarna kan zo goed als zeker ook (en is noodzakelijk als je weer van T2Embed.dll functionaliteit gebruik wilt maken, bijv. om als PDF te kunnen exporteren vanuit Office 2007 of hoger).

Tests die ik heb uitgevoerd wijzen uit dat T2Embed.dll gewoon zal worden geupdate (eigenaar SYSTEM van het update proces heeft gewoon toegang tot het bestand, ondanks de Eveyone:Deny permissie). Diezelfde tests wijzen uit dat die blokkerende permissie vervolgens op de nieuwe DLL zal worden overgenomen waardoor deze voor gebruikers ontoegankelijk blijft. Dat geldt ook voor het "automatic updates" proces dat checkt of alle updates geïnstalleerd zijn, wuauclt.exe: deze draait gedurende enkele minuten nadat je bent ingelogd en lijkt (ik weet dit niet zeker), voor het checken (en zonodig tonen van het gele schildje), zijn privileges te verlagen van SYSTEM tot het account waarmee jij bent ingelogd. Daardoor kan dit proces de geïnstalleerde versie van T2Embed.dll niet vaststellen.

Als je tot nu toe een permament "geel schildje" had zal dit blijven staan. Als je, na het draaien van "Fix it 50792" het permanente gele schildje hebt weggekregen (*), zal deze straks na het updaten waarschijnlijk weer verschijnen (omdat automatic updates denkt dat de nieuwe update nog niet is uitgevoerd). Kwestie van de blokkerende permissie verwijderen, dat kan door "Fix it 50793" te draaien, te downloaden vanaf de URL die Peter V noemt.

(*) Dat kan door van alle 3 de oudere T2Embed.dll updates aan te geven dat je die niet meer aangeboden wilt krijgen, o.a. mogelijk door naar https://www.update.microsoft.com te surfen en "custom" / "aangepast" te kiezen.
09-12-2011, 13:02 door [Account Verwijderd]
[Verwijderd]
09-12-2011, 15:00 door Bitwiper
Door Peter V: Microsoft heeft wel vaker gevraagd de FIX-it's terug te rollen voordat de patch geïnstalleerd wordt.
Dat is altijd verstandig (ook nu), en in een deel van de gevallen waarschijnlijk noodzakelijk. Veel Fix-It's zijn workarounds die op soms brute wijze je systeem aanpassen. Zo'n Fix-It kan best tot gevolg hebben dat het update proces verstoord wordt. Dat lijkt bij deze specifieke Fix-It niet het geval.

Wat ik heb proberen aan te geven is dat het, voor zover ik het heb kunnen testen, geen kwaad kan als je de updates krijgt aangeboden en installeert terwijl je de "undo-Fix-it" (50793) nog niet gedraaid hebt. Tevens geef ik aan wat het symptoom dan waarschijnlijk zal zijn: een geel schildje dat je niet wegkrijgt, ook niet door het opnieuw draaien van de aangeboden update(s).

Als je in die situatie "Fix it 50793" draait moet het gele schildje verdwijnen (het kan zijn dat je moet uit- en inloggen). Reden: Automatic Updates zal pas na het draaien van "Fix it 50793" kunnen constateren dat de laatste versie van T2embed.dll op je systeem staat.

Aanvulling 20111213 23:58: zie http://www.security.nl/artikel/39537/1/MS11-087_en_t2embed_Fix-It_50793.html.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.