Microsoft mist lekken tijdens Patch Tuesday
Veilgheidsdienst Redmond: "Gevaar is beperkt"
11 december 2008 | Rowald Pruyn
Microsoft had eergisteren de drukste Patch Tuesday uit zijn bestaan, maar toch wisten twee gevaarlijke lekken in Wordpad en Internet Explorer de dans te ontspringen.
Volgens een securitybulletin dat de softwaremaker dinsdag uitbracht, is een lek ontdekt in de WordPad Text Converter voor Word 97-bestanden. Het biedt een malwareschrijver de vrije hand op een select aantal Windows-systemen. De nieuwste uitvoeringen zijn volgens Microsoft niet in gevaar, alleen Windows Server 2003, 2000 Service Pack 4 en XP Service Pack 2 zijn betrokken.
Word 97-bestanden worden, zo verklaart Microsoft, normaal standaard geopend met Microsoft Office Word. Als een malwarebestand echter is hernoemd met de wri-bestandsextensie start het Wordpad en krijgt een aanvaller dezelfde gebruikersrechten als de eigenaar van een computer. Om kwetsbaar te worden, moeten gebruikers wel eerst een kwaadaardig aanhangsel in een e-mailbericht downloaden.
Een dag later was het opnieuw mis, met ditmaal een gevaarlijke kwetsbaarheid in Internet Explorer 7. Bojan Zdrnja van het Internet Storm Center meldde woensdag dat een malwarebestand kwaadaardige XML-code aanmaakt die bewust zes seconden wacht met actie, om zo antivirussoftware te misleiden. Het laat daarna de browser crashen en besmet een machine zodra de Microsoft-browser wordt herstart. Zdrnja zegt dat het lek gevaarlijk is voor Windows XP- en Server 2003-gebruikers; hij raadt aan een andere browser te gebruiken tot de reparaties voltooid zijn.
Microsoft heeft verschillende manieren om de nieuw ontdekte lekken te bestrijden. Het kan een aparte veiligheidsupdate brengen, een servicepack in elkaar steken of wachten tot de eerste Patch Tuesday van 2009. “Op dit moment zijn we ons bewust van beperkte en gerichte aanvallen die dit lek proberen te misbruiken”, aldus het standaardantwoord van de Microsoft-veilgheidsdienst in beide veiligheidsbulletins.
Update 11.28 uur
Zojuist is bekend geworden dat ook een gevaarlijk lek is aangetroffen in Internet Explorer 7. De tekst en titel van dit artikel zijn aangepast.
bron: ZDNet
Bookmark dit:
gerelateerde artikels op ZDNet »
externe links »
Reacties
Reageer op dit artikel
5 reacties op dit artikel:
Origineel bericht van dvader 11/12/2008
En nu ben ik wel heel bang. Fact of the matter is dat het overgrote deel van besmettingen user-self-inflicted zijn.
C 4 Yourself :
http://www.security.nl/artikel/25375/1/ ... loads.html
Patches zijn natuurlijk belangrijk. Dat ga ik niet ontkennen. Maar dit is voor alle ossen een ononverzichtelijke boeltje geworden. Niemand kan met 100% zekerheid beweren dat zijn OS up-to-date is.
Origineel bericht van Naam 11/12/2008
"En nu ben ik wel heel bang. Fact of the matter is dat het overgrote deel van besmettingen user-self-inflicted zijn."
'Overgroot' is helaas irrelevant.
Dit kritieke lek is een "drive-by vulnerability", m.a.w. het volstaat een webpagina te *bezoeken* *zonder* ergens op te klikken of te downloaden.
http://www.microsoft.com/technet/securi ... 61051.mspx
"How could an attacker exploit this vulnerability?
An attacker could host a specially crafted Web site that is designed to exploit this vulnerability through Internet Explorer and then convince a user to view the Web site."
Origineel bericht van Naam 11/12/2008
Feit blijft, dat men zich vragen kan stellen bij Microsoft's taktiek om slechts één maal in de maand patches af te leveren (en dat is niet om technische, maar vnl. om PR-redenen !).
Of denk je dat het toeval is dat deze exploits gereleased worden net op Patch Tuesday ?
Op die manier hebben crackers een vulnerability window van een volledige maand, tot de volgende patchronde.
Origineel bericht van ada 11/12/2008
maar het blijft pijnlijk:) ms laat wel meer na om cruciale patches niet uit te rollen. nu ja, ze raden effectief aan een andere browser te gebruike:) FF!!
Origineel bericht van juul 11/12/2008
Ja, jongen , het is altijd de schuld van de user.Nooit de schuld van mickysoft. Zelfs als een nietig gratis viruscanprogje de windowsfundamenten kan slopen is het nog de schuld van de gebruiker.
Als ik tegen een boom rij is het mijn schuld, maar een auto zonder crashtest zal toch niet op de markt komen.
