image

Microsoft patcht 111 beveiligingslekken in Windows, Edge en Office

woensdag 13 mei 2020, 10:39 door Redactie, 21 reacties
Laatst bijgewerkt: 13-05-2020, 11:01

Microsoft heeft tijdens de patchdinsdag van mei 111 beveiligingslekken in onder andere Windows, Edge, Internet Explorer, Office, Windows Defender, SharePoint, Visual Studio en verschillende andere programma's gepatcht. Zestien van de kwetsbaarheden zijn als kritiek aangemerkt, wat inhoudt dat een aanvaller zonder al teveel interactie van een gebruiker willekeurige code op het systeem kan uitvoeren.

Geen van de kwetsbaarheden is voor zover bekend voor het uitkomen van de beveiligingsupdates aangevallen. Ook was er voor zover bekend van geen van de beveiligingslekken informatie openbaar voor het verschijnen van de patches. Cisco wijst organisaties met name op de kritieke kwetsbaarheden in SharePoint en Internet Explorer waardoor een aanvaller op afstand code op systemen kan uitvoeren. Het Zero Day Initiative (ZDI) gaat dieper in op vier als "belangrijk" beoordeelde kwetsbaarheden in Windows.

Op een schaal van 1 tot en met 10 wat betreft de impact van de nu verholpen kwetsbaarheden is een beveiligingslek in Microsoft Color Management met een 8,8 als hoogste beoordeeld. De beveiligingsupdates zullen op de meeste systemen automatisch worden geïnstalleerd. De volgende patchronde staat voor dinsdag 9 juni gepland.

Reacties (21)
13-05-2020, 11:39 door The FOSS
Zestien van de kwetsbaarheden zijn als kritiek aangemerkt, wat inhoudt dat een aanvaller zonder al teveel interactie van een gebruiker willekeurige code op het systeem kan uitvoeren.[/quote

En die zaten er al bijna een maand in? Lekker dan weer...
13-05-2020, 12:28 door Anoniem
Door The FOSS:
Zestien van de kwetsbaarheden zijn als kritiek aangemerkt, wat inhoudt dat een aanvaller zonder al teveel interactie van een gebruiker willekeurige code op het systeem kan uitvoeren.[/quote

En die zaten er al bijna een maand in? Lekker dan weer...
Dat is nog niks als je dit leest (als linux-gebruiker krijg je dan het zweet op je handen)
https://tweakers.net/nieuws/167132/ubuntu-server-2004-installer-toonde-plaintext-encryptiewachtwoord-in-logboek.html
13-05-2020, 14:31 door Anoniem
Door Anoniem:
Door The FOSS:
Zestien van de kwetsbaarheden zijn als kritiek aangemerkt, wat inhoudt dat een aanvaller zonder al teveel interactie van een gebruiker willekeurige code op het systeem kan uitvoeren.[/quote

En die zaten er al bijna een maand in? Lekker dan weer...
Dat is nog niks als je dit leest (als linux-gebruiker krijg je dan het zweet op je handen)
https://tweakers.net/nieuws/167132/ubuntu-server-2004-installer-toonde-plaintext-encryptiewachtwoord-in-logboek.html
Als je daar al het zweet op je handen van krijgt raad ik je aan voortaan even door te lezen, dit betreft de LUKS key voor de schijfversleuteling: je moet dus fysieke toegang hebben + een lokale gebruiker om hier misbruik van te maken, de betreffende kwestbaarheden in Windows zijn van een compleet andere orde (en als je adobe reader op een dergelijk systeem hebt geinstalleerd dan is het pas echt feest).
13-05-2020, 14:36 door The FOSS
Door Anoniem:
Door The FOSS:
Zestien van de kwetsbaarheden zijn als kritiek aangemerkt, wat inhoudt dat een aanvaller zonder al teveel interactie van een gebruiker willekeurige code op het systeem kan uitvoeren.[/quote

En die zaten er al bijna een maand in? Lekker dan weer...
Dat is nog niks als je dit leest (als linux-gebruiker krijg je dan het zweet op je handen)
https://tweakers.net/nieuws/167132/ubuntu-server-2004-installer-toonde-plaintext-encryptiewachtwoord-in-logboek.html

Dat probleem is 12 mei gerapporteerd en 13 mei al verholpen. Mijn argument is dat Microsoft de kwetsbaarheden doodleuk laat zitten tot de volgende patchdinsdag. Behalve als ze denken dat ze er niet mee zullen gaan wegkomen, dan af en toe een tussentijdse update.
13-05-2020, 14:55 door quikfit - Bijgewerkt: 13-05-2020, 14:59
Linux gebruikers hebben het maar druk met reageren op Windows,het zijn net Jehova's...
13-05-2020, 15:07 door The FOSS
Door quikfit: Linux gebruikers hebben het maar druk met reageren op Windows,het zijn net Jehova's...

Dank je, dat is best een groot compliment eigenlijk! Hoewel de vergelijking niet helemaal opgaat - Jehova's zijn zo gek als een deur natuurlijk - zijn ze wel ontzettend vasthoudend en inventief (voet tussen de deur, hoe bedenk je het).
13-05-2020, 15:39 door Anoniem
Door quikfit: Linux gebruikers hebben het maar druk met reageren op Windows,het zijn net Jehova's...
Ze kunnen beter dagelijks hun security bulletins controleren, immers je weet nooit wanneer er security updates komen.
13-05-2020, 17:25 door karma4
Door Anoniem:
Door quikfit: Linux gebruikers hebben het maar druk met reageren op Windows,het zijn net Jehova's...
Ze kunnen beter dagelijks hun security bulletins controleren, immers je weet nooit wanneer er security updates komen.
Als je Linux op een machine in een keten hebt zitten dan kunnen ze bulletins controleren wat ze willen. Ze mogen de machines niet eens veranderen. Het blijft dan tijden en tijden kwetsbaar staan, het werkt toch en het is open source waar maak je je druk om. Wat was dat ook alweer met Citrix en pulse secure.
13-05-2020, 19:06 door Anoniem
Door Anoniem:
Door quikfit: Linux gebruikers hebben het maar druk met reageren op Windows,het zijn net Jehova's...
Ze kunnen beter dagelijks hun security bulletins controleren, immers je weet nooit wanneer er security updates komen.

maar ze weten welk heel tijdig dat er een probleem is in tegenstelling tot eens in de maand 'oh ja daar zat ook nog een zero day en hier en' en dan een update krijgen die soms meer stuk maakt dan repareert. tja wat je maar liever hebt. daarnaast je hoeft niet te controleren, er zijn enterprise omgevingen waarbij de update binnen komt zodra hij er is en gewoon meteen doorgevoerd kan worden. maarja, het is maar wat je wilt en gewend bent weer.
13-05-2020, 21:52 door Anoniem
Kom je dus uit, gerekend op gemiddeld 30 dagen tussen de patches, op zo'n 26 kwetsbaarheden per 7 dagen. En dat de afgelopen 3 maanden.
Gezien de planning voor de update van 28 mei, heeft Microsoft blijkbaar de ambities om naast hun eigen OS, de aanverwante apps wat op te schonen. Laatste tijd is Microsoft goed op weg qua veiligheid en bugfixing. De privacy kan ik zelf regelen...
13-05-2020, 21:57 door souplost
Zestien van de kwetsbaarheden zijn als kritiek aangemerkt
Het is weer bar een boos. Windows blijkt continue kritiek lek en dat is al jaren een feit voor iedereen te verifiëren.
Dat kan/mag je toch niet meer professioneel gebruiken. Het wordt niet voor niets meegeleverd op consumenten hardware.
Dat mag je hier als OSS gebruiker niet zeggen want dan ben je een evangelist en windows gebruikers zeggen niks.
Die voelen zich in het nauw gedreven en komen met idiote linkjes waaruit zou moeten blijken dat Apple, BSD of Linux net zo onveilig is.
Op de keper beschouwd moet je toch tot de conclusie komen dat het windows fundament verzakt is en ernstige gebreken vertoont en toch blijft men verder bouwen. Zelfs als het gebouw al 2 keer is ingestort blijft men herbouwen.
Gevalletje drank in de man verstand in de kan? In het zelfde schuitje gevoel of In een land met louter dronkaards accepteert men de ellende nederig want de buurman heeft er ook last van. Voer voor psychologen.
Dus Linux gebruikers mogen niks zeggen en Windows gebruikers zeggen niks.
14-05-2020, 00:11 door Anoniem
@ souplost,

Vergeet niet die paar gaten, die in het operationeel systeem aanwezig zijn en al sinds 1984 worden misbruikt.
Steevast worden deze "fatures" genoemd, net als het dubbele extensie probleem. Blijft erin, zijn we blij mee.

Waarom zijn enkele mogelijkheden van MS-DOS niet meer onder de command prompt te vinden?
In een licht gebruikers OS mist men het niet, ergo.

Windows was in de beginne niet klaar voor Interwebz en is dat m.i. nog steeds niet.
Kennen we het verhaal nog van de New York spaghetti coders uit de tijd van de ME Ratelbak.
We hadden nog een illegale Turkse opvolger van Windows 98 SE voor de real addicts.

Ik leerde NT4 met de kernel uitrollen te midden van verstokte linux mannetjes uit de transportsector, ziekenhuizen e.d.
Zij moesten dat toen destijds van hun baas, c.q. CEO, manager e.d. Mee op de Windhoos bandwaggon.

Wat je met linux kon zien, was in de event viewer niet te zien. Ik weet vanaf toen wat "in de lucht tillen" betekent.
Zo'n cursus aan het begin van deze eeuw heeft mij mede gevormd tot de vrijwillig website analyst die ik nu ben.

Groet en hou minimaal anderhalve tot twee meter oftewel zes voet afstand van Windows en Linux Kali dichtbij
en pas op voor Surge.sh exploits. ;)

luntrus
14-05-2020, 10:44 door Anoniem
Door Anoniem:
Door quikfit: Linux gebruikers hebben het maar druk met reageren op Windows,het zijn net Jehova's...
Ze kunnen beter dagelijks hun security bulletins controleren, immers je weet nooit wanneer er security updates komen.
Jezus wat een gezeik over Linux vs MS Windows weer... Wel eens van Linux Unattended Updates gehoord?!?
nuf said

Grumpy
14-05-2020, 11:59 door Joep Lunaar - Bijgewerkt: 14-05-2020, 12:00
Door karma4:
Door Anoniem:
Door quikfit: Linux gebruikers hebben het maar druk met reageren op Windows,het zijn net Jehova's...
Ze kunnen beter dagelijks hun security bulletins controleren, immers je weet nooit wanneer er security updates komen.
Als je Linux op een machine in een keten hebt zitten dan kunnen ze bulletins controleren wat ze willen. Ze mogen de machines niet eens veranderen. Het blijft dan tijden en tijden kwetsbaar staan, het werkt toch en het is open source waar maak je je druk om. Wat was dat ook alweer met Citrix en pulse secure.

Geachte dommerd(s), dit artikel gaat over het MS Windows platform.
Uw al vaak geponeerde stelling, ik parafraseer, slecht beheer overstijgt alles qua impact, is evident juist. Dat u daarbij "in die groef blijft hangen" en open source met slecht beheer over een kam scheert zegt vooral iets over uw leeftijd: al te lang te oud van geest.

In dit verband: voor goed beheer is goed gereedschap het halve werk. Het software configuration management is op het MS Windows platform zeer problematisch (hadden ze maar een goed package/repository management als Debians dpkg/apt geïmplementeerd; dat staat MS al decennia vrij te doen, maar ach het belang van de gebruiker is bij hen nu eenmaal ondergeschikt aan de financiële winst op korte termijn). Oeg.
14-05-2020, 12:03 door Joep Lunaar
Door The FOSS:
Door Anoniem:
Door The FOSS:
Zestien van de kwetsbaarheden zijn als kritiek aangemerkt, wat inhoudt dat een aanvaller zonder al teveel interactie van een gebruiker willekeurige code op het systeem kan uitvoeren.[/quote

En die zaten er al bijna een maand in? Lekker dan weer...
Dat is nog niks als je dit leest (als linux-gebruiker krijg je dan het zweet op je handen)
https://tweakers.net/nieuws/167132/ubuntu-server-2004-installer-toonde-plaintext-encryptiewachtwoord-in-logboek.html

Dat probleem is 12 mei gerapporteerd en 13 mei al verholpen. Mijn argument is dat Microsoft de kwetsbaarheden doodleuk laat zitten tot de volgende patchdinsdag. Behalve als ze denken dat ze er niet mee zullen gaan wegkomen, dan af en toe een tussentijdse update.

En daarbij, het foutje is in het install log, dus in de installer, niet in het systeem dat geïnstalleerd is. Remedie is simpel: verwijder het logbestand, het dient na afloop van de installatie geen doel meer.
14-05-2020, 12:07 door Joep Lunaar
Door Anoniem:
Door quikfit: Linux gebruikers hebben het maar druk met reageren op Windows,het zijn net Jehova's...
Ze kunnen beter dagelijks hun security bulletins controleren, immers je weet nooit wanneer er security updates komen.
De gerenommeerde Linux/BSD distributies kunnen de automatisch (unattended) security updates installeren, elke dag, en verreweg de meeste ook zonder een herstart van het systeem. Maar goed, dit artikel gaat over de producten van Microsoft.
14-05-2020, 12:16 door Joep Lunaar
Door souplost:
Zestien van de kwetsbaarheden zijn als kritiek aangemerkt
Het is weer bar een boos. ...
Dat er veel lekken worden gedicht kun je ook zien als een goed teken. Ook de goede Linux distributies brengen veel security patches uit.

Probleem bij MS Windows is dat de arbitrage van welke problemen eerst worden opgelost niet transparant is (closed source) en dat bij gebrek aan veel irreguliere configuraties (door o.a. gebrekkig package en release management) het voor Microsoft heel moeilijk is geworden updates uit te brengen zonder bestaande systemen te breken. De installatie van updates nemen ook veel tijd omdat daarvoor op het doelsysteem enorm veel rekenwerk en IO nodig is (veel onvoorspelbare combinaties van software components).
14-05-2020, 13:35 door souplost
Door Joep Lunaar:
Door souplost:
Zestien van de kwetsbaarheden zijn als kritiek aangemerkt
Het is weer bar een boos. ...
Dat er veel lekken worden gedicht kun je ook zien als een goed teken. Ook de goede Linux distributies brengen veel security patches uit.

Probleem bij MS Windows is dat de arbitrage van welke problemen eerst worden opgelost niet transparant is (closed source) en dat bij gebrek aan veel irreguliere configuraties (door o.a. gebrekkig package en release management) het voor Microsoft heel moeilijk is geworden updates uit te brengen zonder bestaande systemen te breken. De installatie van updates nemen ook veel tijd omdat daarvoor op het doelsysteem enorm veel rekenwerk en IO nodig is (veel onvoorspelbare combinaties van software components).
Waar gewerkt wordt vallen spaanders. Het ging mij juist om de kritieke CVE's Daar springt MS uit. Daarnaast is het patchen alsof je een heel nieuw systeem installeert. Past het tegenwoordig al in 1 reboot ?
15-05-2020, 07:32 door Anoniem
Door Anoniem: @ souplost,

Vergeet niet die paar gaten, die in het operationeel systeem aanwezig zijn en al sinds 1984 worden misbruikt.
Steevast worden deze "fatures" genoemd, net als het dubbele extensie probleem. Blijft erin, zijn we blij mee.
Omdat hier een hele goede redenen voor is? Het lost namelijk niets op. Gebruikers kijken naar icoontjes en een extensie zegt hun helemaal niets.

Door Anoniem:
Door Anoniem:
Door quikfit: Linux gebruikers hebben het maar druk met reageren op Windows,het zijn net Jehova's...
Ze kunnen beter dagelijks hun security bulletins controleren, immers je weet nooit wanneer er security updates komen.
Jezus wat een gezeik over Linux vs MS Windows weer... Wel eens van Linux Unattended Updates gehoord?!?
nuf said

Grumpy
Wel eens van een change process gehoord icm ISO certificering?
OTAP Straat?

De nodige ellende kan ontstaan uit on-documented/approved changes. Heb het vaak genoeg voorbij zien komen. En collega's die daarna even langs mochten komen bij managers om het 1 en ander uit te leggen.

Dus ja ik heb ervan gehoord, en de ellende er van gezien.
15-05-2020, 09:22 door The FOSS
Door souplost:
Door Joep Lunaar:
Door souplost:
Zestien van de kwetsbaarheden zijn als kritiek aangemerkt
Het is weer bar een boos. ...
Dat er veel lekken worden gedicht kun je ook zien als een goed teken. Ook de goede Linux distributies brengen veel security patches uit.
Waar gewerkt wordt vallen spaanders. Het ging mij juist om de kritieke CVE's Daar springt MS uit. Daarnaast is het patchen alsof je een heel nieuw systeem installeert. Past het tegenwoordig al in 1 reboot ?

Inderdaad! En het is eigenlijk onvoorstelbaar dat je mensen moet uitleggen dat de belabberde kwaliteit en functionaliteit van Windows en het updatemechanisme niet normaal is en dat het heel goed anders kan. Kijk maar naar naar Linux.
17-05-2020, 11:07 door The FOSS
Door Anoniem:
Door Anoniem: @ souplost,

Vergeet niet die paar gaten, die in het operationeel systeem aanwezig zijn en al sinds 1984 worden misbruikt.
Steevast worden deze "fatures" genoemd, net als het dubbele extensie probleem. Blijft erin, zijn we blij mee.
Omdat hier een hele goede redenen [sic; het 'een' en 'is' duiden op enkelvoud] voor is? Het lost namelijk niets op. Gebruikers kijken naar icoontjes en een extensie zegt hun helemaal niets.

Het gaat om de onderliggende root cause. Namelijk dat Microsoft Windows op bais van de file extensie werkt. Je kan een tekstbestand een .exe file extensie geven en hoppa, het is uitvoerbaar! (NOT, want het is een tekstbestand, maar Windows probeert het wel). Een echt besturingssysteem (zoals Linux) kijkt naar de bestandsheaders en leidt daaruit af om wat voor type bestand het gaat. En heeft een execute bit, waarmee expliciet wordt vastgelegd of een bestand uitvoerbaar is of niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.