image

Microsoft verschuift blokkade oude Java-versies in IE

dinsdag 12 augustus 2014, 10:29 door Redactie, 2 reacties

Microsoft heeft besloten om de maatregel waardoor oude versies van de Java-plug-in in Internet Explorer worden geblokkeerd met 30 dagen te verschuiven, van augustus naar september. Oorspronkelijk zou de softwaregigant de blokkade, die IE-gebruikers tegen aanvallen moet beschermen, vandaag invoeren.

Verouderde plug-ins zijn namelijk een voorname oorzaak waardoor internetgebruikers met malware besmet raken. Naast Java zal Internet Explorer op termijn ook andere verouderde plug-ins blokkeren. Als gebruikers dan met IE een website bezoeken die een verouderde plug-in probeert te laden verschijnt er een melding waarin staat dat de plug-in is geblokkeerd omdat die moet worden geüpdatet.

Gebruikers kunnen er echter ook voor kiezen om de plug-in alsnog te laden. Vanwege alle klantenfeedback die Microsoft ontving is nu besloten om dertig dagen te wachten voordat de verouderde Java-versies worden geblokkeerd. De update die de blokkade mogelijk maakt wordt vandaag wel uitgerold via Windows Update, maar zal uiteindelijk op 9 september in werking treden.

Reacties (2)
12-08-2014, 10:54 door Erik van Straten - Bijgewerkt: 12-08-2014, 11:19
Ook een andere, eerder aangekondige wijziging voor vanavond, gaat niet door, zie https://technet.microsoft.com/en-us/library/security/2915720.aspx.

Het probleem is dat het mogelijk is om een bestand, dat digitaal is gesigneerd met Authenticode, aan te vullen met gegevens zonder dat dit de digitale handtekening ongeldig maakt (en daardoor tot foutmeldingen leidt bij controle). Voor zover bekend kan zo geen uitvoerbare code worden toegevoegd aan bestaande executables, tenzij die code vanuit het gesigneerde deel wordt aangeroepen (dat ben ik in de praktijk nog niet tegengekomen, maar wel heb ik gezien dat op deze manier variabele configuratiegegevens achter een gesigneerde executable werden geplakt).

Eerder heeft o.a. Didier Stevens onderzoek gedaan naar dit fenomeen (voor links zie https://www.security.nl/posting/386805/Probleem+met+certificaten#posting395440).

KB2915720 / MS13-098 stond gepland om te worden geactiveerd op 10 juni, is vervolgens uitgesteld tot 12 augustus 2014, maar komt nu te vervallen. Dat wil zeggen, zorgen dat het hierboven beschreven scenario tot een foutmelding leidt, is en blijft optioneel: dit kan door de registerwaarde "EnableCertPaddingCheck"="1" te zetten (zie https://technet.microsoft.com/en-us/library/security/2915720.aspx voor de keys, die zijn afhankelijk van 32bit/64bit windows versies).

@Redactie: wellicht een apart nieuws-item over maken?

Aanvulling 11:11: volgens https://technet.microsoft.com/library/security/ms13-098#ID0EFOAE (CVE-2013-3900) is remote code execution mogelijk. Uit die FAQ:
How could an attacker exploit the vulnerability?
Exploitation of this vulnerability requires that a user or application run or install a specially crafted, signed PE file. An attacker could modify an existing signed file to include malicious code without invalidating the signature. This code would execute in the context of the privilege in which the signed PE file was launched.
[...]
When this security bulletin was issued, had this vulnerability been publicly disclosed?
No. Microsoft received information about this vulnerability through coordinated vulnerability disclosure.

When this security bulletin was issued, had Microsoft received any reports that this vulnerability was being exploited?
Yes. Microsoft is aware of targeted attacks that attempt to exploit this vulnerability.
Scary!

Aanvulling 11:19: als je wilt beveiligen door de optionele registerwaarde(s) te zetten, check dan eerst https://support.microsoft.com/kb/2893294 voor known issues bij Windows Server 2003 (Remote Desktop Service), Vista en Server 2008 (hostname wijzigt spontaan). Google naar: EnableCertPaddingCheck issues of EnableCertPaddingCheck problems voor meer te verwachten leed.
12-08-2014, 22:50 door Spiff has left the building
@ Erik van Straten,
Hartelijk dank voor al die informatie.

Je aanvulling van 11:19 uur - als je wilt beveiligen door de optionele registerwaarde(s) te zetten, check dan eerst https://support.microsoft.com/kb/2893294 - is ook zeer relevant.
De Known issues/ Bekende problemen zijn niet mis.
Voor Windows Server 2003: de Remote Desktop Services service start mogelijk niet meer.
Voor Windows Vista en Windows Server 2008: er kan mogelijk niet meer aangemeld worden.
Voor de niet-techie Vista of 2008 gebruiker die niet weet wat er aan de hand is, zou KB2893294 nogal dramatisch zijn.
Ik kan me voorstellen dat Microsoft dan maar besloten heeft die update uit te stellen.
Maar zou het voor Microsoft dan niet mogelijk zijn om voorafgaand aan KB2893294 een aanpassing te pushen die de correcte voorwaarden schept voor het installeren van KB2893294?

De onder de Known issues/ Bekende problemen gegeven informatie deed me overigens wel even fronsen.
Er wordt gesproken over de HKEY_LOCAL_MACHINE\SCHEMA registry subkey.
HKEY_LOCAL_MACHINE\SCHEMA - Die heb ik nog nooit gezien in mijn Vista register.
Volgens de Known issues/ Bekende problemen informatie zou dat een probleem zijn.
Wel heb ik in juni toevallig net System Update Readiness uitgevoerd https://support.microsoft.com/kb/947821 (in relatie met een eigenaardigheid waarvan ik nu niet meer zeker weet wat dat was, maar dat is nu niet relevant).
Gezien de beschrijving betreffend KB2893294, onder "How to determine whether the problem is resolved"/ "Controleren of het probleem is opgelost", heeft het uitvoeren van System Update Readiness mijn Vista systeem in ieder geval wel correct voorbereid op het eventueel doorvoeren van de aanpassing van KB2893294, zelfs al is HKEY_LOCAL_MACHINE\SCHEMA afwezig, zo begrijp ik. Merkwaardig.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.