Nieuws
image

Honderdste Microsoft patch dicht 4 Windows-lekken

vrijdag 30 december 2011, 09:20 door Redactie, 10 reacties

Zoals gisteren aangekondigd heeft Microsoft een noodpatch uitgebracht voor het ASP.NET probleem, de update verhelpt echter in totaal vier kwetsbaarheden in alle ondersteunde versies van Windows. Het gaat om het ASP.NET lek waardoor webservers eenvoudig zijn plat te leggen, dat tijdens het Chaos Communication Congres werd onthuld, en drie direct aan Microsoft gerapporteerde lekken.

Er was gisteren verwarring ontstaan omdat Microsoft aangaf dat de update een ernstig Windows-lek zou verhelpen waardoor aanvallers hun rechten op het systeem konden verhogen. Daarbij verwees het naar de advisory van het ASP.NET probleem, dat alleen een Denial of Service was. De softwaregigant baseert de beoordeling van een patch altijd op de ernstigste kwetsbaarheid als er meerdere worden verholpen. Jonathan Ness van het Microsoft Security Response Center laat weten dat het de drie privaat gerapporteerde lekken al had gepatcht, toen het vierde DoS-lek werd aangekondigd. Uiteindelijk werd besloten om de vier lekken met dezelfde noodpatch op te lossen.

Accountnaam
In dit geval is dat CVE-2011-3416, ook bekend als het "ASP.Net Forms Authentication Bypass Vulnerability". Het probleem wordt veroorzaakt door de manier waarop het ASP.NET Framework speciaal geprepareerde gebruikersnamen authenticeert. Een aanvaller kan in dit geval de rechten van de aangevallen gebruiker overnemen, waaronder het uitvoeren van willekeurige opdrachten op de site.

Om de kwetsbaarheid te misbruiken moet de aanvaller een account op de ASP.NET applicatie registreren en de accountnaam van een aan te vallen gebruiker weten. De aanvaller kan dan een speciale webrequest maken aan de hand van de eerder geregistreerde gebruikersnaam om toegang tot het account van zijn slachtoffer te krijgen.

Overige lekken
Verder worden de hash collission DoS-aanval, een spoofing-lek in .NET Form Authentication en een Forms Authentication Ticket Caching-lek verholpen. Bij de laatste kwetsbaarheid is het ook mogelijk om de rechten te verhogen. Dit lek werd net als de Denial of Service-kwetsbaarheid als "important" bestempeld, omdat er interactie met het slachtoffer nodig is. Die zou bijvoorbeeld op een link in een e-mail of Instant Messenger bericht moeten klikken, waardoor een aanvaller uiteindelijk zijn rechten op de website kan verhogen.

Updaten kan via Windows Update en de Automatische Update functie. Microsoft stelt dat consumenten niet kwetsbaar zijn, tenzij ze een webserver op hun computer draaien. In totaal publiceerde Microsoft dit jaar 100 beveiligingsupdates en dichtte het 240 lekken.

Reacties (10)
30-12-2011, 09:40 door spatieman
100e?
FELI !!!
30-12-2011, 09:56 door Anoniem
Maar twee updates gezien en die waren voor NET.Framework 4.
En die liepen echt traaaaaag binnen.
30-12-2011, 11:26 door Anoniem
En nu moet je die systeembeheerders over de lijn te krijgen om deze en andere 99 vorige updates op tijd te installeren. Hier zijn nog systeembeheerders, die deze updates over het hoofd zien.

Advies, installeer aub deze updates zo snel mogelijk, als je je netwerk of de netwerk van je klant wilt goed veilig stellen.
30-12-2011, 12:11 door Anoniem
4 updates

.Net 1.1 SP 1
.Net 2.0 SP2
.Net 3.5 SP1
.Net 4
30-12-2011, 12:25 door Anoniem
als je twee updates krijgt, dat betekent dat je in je server of WS hebt de .Net 4 of een andere nog niet geinstalleerd.

Op mijn heb ik nog geen .Net4 geinstalleerd en daar zag ik 3 updates waren beschikbaar.
30-12-2011, 12:31 door Anoniem
Een overzicht van de updates KB van vandaag:

Windows XP Beveiligingsupdate voor Microsoft .NET Framework 2.0 SP2 op Windows Server 2003 en Windows XP x86 (KB2656352) vrijdag 30 december 2011 Microsoft Update

Windows XP KB2656353: Beveiligingsupdate voor Microsoft .NET Framework 1.1 SP1 op Windows XP, Windows Vista en Windows Server 2008 x86 vrijdag 30 december 2011 Microsoft Update

Windows XP KB2657424: Beveiligingsupdate voor Microsoft .NET Framework 3.5 SP1 op Windows XP, Windows Server 2003, Windows Vista en Windows Server 2008 x86 vrijdag 30 december 2011 Microsoft Update

Windows XP KB2656351: Beveiligingsupdate voor Microsoft .NET Framework 4 op Windows XP, Windows Server 2003, Windows Vista, Windows 7 en Windows Server 2008 x86 vrijdag 30 december 2011 Microsoft Update
30-12-2011, 13:00 door Anoniem
Nou laten we eerlijk zijn mensen..Ik heb net weer een laptop van windows 7 voorzien..en vanaf ik dat ding aan heb zit ie maar te updaten..gigabytes aan updates..wat een systeem he..maar als u weet dat al die patches NIKS uitmaken , en dat je Pc nog gewoon overgenomen wordt door vreemden, dan zeg ik UPDATES is BULL en WINDOWS is DIKKE SYPWARE -beste PC is 1 zonder internet !! -

Mijn belangrijkste Studio pc is niet meer verbonden met het internet sinds 2005-en draait gewoon super geweldig en probeer die maar te hacken..gaat je niet lukken..daarnaast de pc's die wel het net opgaan, zijn zich ervan bewust dat Alles wat je doet..ooit weer tegen je gebruikt zal worden..en mensen dat is geen OKUS POKUS.
Veel plezier met uw lekke internet verbinding en een provider die danst aan de pijpen van Oplichtersbende BREIN en BUMA STEMRA -veel geluk met uw ondergang !
30-12-2011, 15:23 door Rubbertje
Door Anoniem: Maar twee updates gezien en die waren voor NET.Framework 4.
En die liepen echt traaaaaag binnen.

Ik had er ook 2 en inderdaad ging dat met een slakkentempo... Pff.
30-12-2011, 16:13 door Anoniem
Door Anoniem: Nou laten we eerlijk zijn mensen..Ik heb net weer een laptop van windows 7 voorzien..en vanaf ik dat ding aan heb zit ie maar te updaten..gigabytes aan updates..wat een systeem he..maar als u weet dat al die patches NIKS uitmaken , en dat je Pc nog gewoon overgenomen wordt door vreemden, dan zeg ik UPDATES is BULL en WINDOWS is DIKKE SYPWARE -beste PC is 1 zonder internet !! -

Mijn belangrijkste Studio pc is niet meer verbonden met het internet sinds 2005-en draait gewoon super geweldig en probeer die maar te hacken..gaat je niet lukken..daarnaast de pc's die wel het net opgaan, zijn zich ervan bewust dat Alles wat je doet..ooit weer tegen je gebruikt zal worden..en mensen dat is geen OKUS POKUS.
Veel plezier met uw lekke internet verbinding en een provider die danst aan de pijpen van Oplichtersbende BREIN en BUMA STEMRA -veel geluk met uw ondergang !

Conclusie?
Veel plezier met het leven in een bunker zonder internet! :)
30-12-2011, 22:14 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search