Waarschuwing voor kritieke lekken in Microsoft software
Kon je gisteren nog lezen dat er weinig mis was met de security van Microsoft in de maand september, oktober lijkt toch iets anders uit te pakken. De softwaregigant heeft maar liefst 10 security bulletins voor verschillende Microsoft programma's gepubliceerd.
Microsoft Security Bulletin MS04-029 waarschuwt voor een lek in de RPC Runtime Library waardoor vertrouwelijke gegevens onthuld kunnen worden en er een Denial of Service kan plaatsvinden. Dit "important" lek is aanwezig in Microsoft Windows NT Server 4.0.
Het dertigste Security Bulletin van dit jaar komt met de waarschuwing dat er een lek in WebDAV XML Message Handler aanwezig is waardoor er een Denial of Service kan plaatsvinden. Ook dit is een belangrijk lek dat inmiddels verholpen is in Windows 2000, Windows XP en Windows Server 2003.
Security Bulletin 31 komt met de melding dat er een "important" lek in NetDDE aanwezig is, waardoor een aanvaller volledig controle over een kwetsbaar systeem kan krijgen. De patch is aanwezig voor Windows NT Server 4.0, Windows 2000, Windows XP en Windows Server 2003. Gebruikers van Windows 98, 98SE en ME zijn gewaarschuwd, want ook hier is het lek aanwezig, alleen is er geen patch beschikbaar, omdat het lek niet als kritiek wordt beschouwd.
We gaan snel verder met waarschuwing 32. Er is namelijk een kritiek lek in Windows ontdekt waardoor aanvallers controle over een kwetsbare computer kunnen krijgen. Dit lek is in alle Windows versies aanwezig, behalve in Windows XP met Service Pack 2. Omdat het lek in Windows 9x niet kritiek is, is er voor deze besturingssysteem geen patch uitgekomen.
Microsoft Security Bulletin 33 waarschuwt voor een kritiek lek in Excel waardoor een aanvaller volledige controle over een kwetsbare computer kan krijgen. Updates zijn er voor Microsoft Office 2000 SP3, Microsoft Office XP SP2, Microsoft Office 2001 voor de Mac en Microsoft Office v. X voor de Mac
Ook waarschuwing 34 betreft een kritiek lek in gezipte mappen waardoor een aanvaller controle krijgt over de PC. Gebruikers van Windows XP en Server 2003 kunnen de update downloaden. Het lek is niet aanwezig in XP met SP2.
Bulletin 35 meldt dat er een kritiek lek in het SMTP component van Windows Server 2003 is. Ook nu is de computer niet veilig voor mogelijke indringers. Snel updaten wordt aangeraden voor gebruikers van Windows XP 64-Bit, Windows Server 2003, Windows Server 2003 64-Bit, Exchange Server 2003 en Exchange Server 2003 Service Pack 1.
We zijn bijna bij het einde van de oktober bulletins, maar eerst staat nummer 36 nog op ons te wachten. Dit keer is er een lek in NNTP ontdekt waardoor Windows en Microsoft Exchange Server gebruikers het gevaar lopen dat hun computer gekaapt wordt. Het kritieke lek is aanwezig in Windows NT Server 4.0 Service Pack 6a, Windows 2000 Server Service Pack 3 en 4, Windows Server 2003 en de 64-Bit Editie en Exchange 2000 Server Service Pack 3 en Exchange Server 2003 met en zonder Service Pack 1.
Bulletin 37 waarschuwt voor een kritiek lek in de Windows Shell. Windows gebruikers wordt dan ook dringend aangeraden om te upgraden. Gebruikers van Windows XP met SP2 hoeven de update niet te downloaden.
Het laatste bulletin van de patchcyclus van deze maand komt met een update voor een kritiek lek Internet Explorer die voor iedereen bestemd is. Niet updaten kan ervoor zorgen dat iemand de computer kan kapen.
Update: tekst aangepast
dat meer mensen dit hebben aanstaan.
zo goed bezig was omdat er zo weinig advisories voor waren
uitgekomen? klinkt als NS achtige statistiekenspelletjes...
wel een ophoping van kwetsbaarheden over....... 10 per
advisory is toch relatief toch nog weinig. </sarcasme>
Natuurlijk zijn er afgelopen maand genoeg bugs gevonden (van
de genoemde bulletins is er een enkele al ontdekt in Maart
2004).
Leuk joh, bijna een half jaar je eindgebruikers moedwillig
lek laten doorwerken.
Het ergste is dat de eindgebruikers het pikken, niet wetende
dat Microsoft eigenlijk helemaal NIETS om hun geeft, laat
een maandje stilte omwille van goeie PR daar getuige van zijn.
heeft volgens mij maar een doel: marketing. Bespelen van de
publieke opinie. Want de indruk dat het beter gaat met
Microsoft's veiligheid, die blijft toch hangen bij veel mensen.
In de tijd dat heel Nederland met Wordperfect werkte, begon
Microsoft te roepen dat iedereen met Word werkte. Dat hielp,
in no-time gebruikte iedereen ook Word (en iedereen weet
hoeveel wijzer we daarvan geworden zijn). Als M$ nu begint
te blaten dat hets producten wel veilig zijn, zullen velen
dat overnemen. Vooral ook beslissingsbevoegde managers die
niet gehinderd worden door enige kennis van zaken.
plaats van het bericht gisteren genuanceerd en objectief
neer te zetten, heeft men er voor gekozen het bericht direct
te posten. Nu komt dus een dag later dit bericht uit. Op
zich is het inderdaad allebei nieuws, maar indien men
gisteren het nieuws wat meer journalastiek had aangepakt,
had men nu niet in de eigen vingers gesneden. Is een
brenger van nieuws in het algemeen nog serieus te nemen als
ze de ene dag het een meld en de andere dag opeens het tegen
overgestelde.
Ben blij dat ze op me werk hebben besloten om van novell
over te gaan naar M$ ...........En dat ik hier niet meer
verantwoordelijk voor M$ hoef te zijn ;)
Hoe bedoel je we moeten bezuigingen op onze it ;)
M$ Rulez ;))))))
Geschreven met een hele dikke knipoog!!!!!
Oh heerlijk wat kan ik toch af en toe genieten hiervan ;)
Ben blij dat ze op me werk hebben besloten om van novell
over te gaan naar M$ ...........En dat ik hier niet meer
verantwoordelijk voor M$ hoef te zijn ;)
Hoe bedoel je we moeten bezuigingen op onze it ;)
M$ Rulez ;))))))
Geschreven met een hele dikke knipoog!!!!!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.