Joesoef
03-01-06, 10:46
www.tweakers.net
SANS roept op onofficiële patch te installeren
Door Caroline Schröder - maandag 2 januari 2006 - 21:35 - Bron: Techworld - Submitter: MandersOnline - Views: 20.356
Het SANS Institute's Internet Storm Center (ISC) wijst Windows-gebruikers er dringend op een onofficiële patch te installeren om op die manier het WMF-lek snel te dichten. Het is onverstandig af te wachten tot Microsoft in actie komt, aldus SANS. De aanbeveling volgt op een nieuwe golf van aanvallen die misbruik maken van de manier waarop Windows metadatabestanden implementeert. Afgelopen zaterdag werd de exploitcode voor dit lek op internet gepubliceerd, wat de zaak bepaald geen goed heeft gedaan. Inmiddels zijn er al diverse virussen ontdekt, waaronder HappyNewYear.jpg dat via e-mail verstuurd wordt en dat door Windows als WMF-bestand herkend en uitgevoerd wordt om vervolgens Backdoor.Bifrose te downloaden.
HappyNewYear.jpg is niet alleen schadelijk als het wordt aangeklikt, maar wordt ook in werking gebracht als de map, waarin het bestand zit, wordt geopend. Of als het wordt geïndexeerd door een zoekprogramma als Google Desktop. Ilfak Guilfanov, volgens F-Secure een van de beste "low-level" Windows experts in de wereld, heeft een patch geschreven die door het SANS is getest. Het lek blijkt overigens in alle Windows-versies sinds Windows 3.0 aanwezig en treft dus niet alleen gebruikers van Windows XP en Windows Server 2003 zoals in een eerder stadium gemeld werd. Het WMF-lek wordt al het grootste lek in de computergeschiedenis genoemd.
Gerelateerde nieuwsberichten (openen in nieuw window)02-01-2006: Nederlandse MSN-gebruikers doelwit virus28-12-2005: 'Extreem kritieke' fout bedreigt Windows XP23-12-2005: Analisten waarschuwen voor gebruik metadata in Vista14-12-2005: Microsoft dicht lekken in Windows en Internet Explorer
de reacties daarop :
9 reacties onzichtbaar op huidige niveau (1) Niveau 4: 9 reactiesNiveau 3: 27 reactiesNiveau 2: 52 reactiesNiveau 1: 81 reactiesNiveau 0: 88 reactiesNiveau -1: 90 reacties GenestPlat Oudste eerstNieuwste eerstOudste eerst (negeer threads)Nieuwste eerst (negeer threads)
Gepost door Metal Baron - maandag 2 januari 2006 - 21:37 Score: 4 (Inzichtvol)
Ben wel benieuwd wanneer de originele patch gaat verschijnen dan? Als dit lek echt zo erg is al beweerd wordt, neem ik aan dat het dichten ervan top priority is bij MS, en als meneer Guilfanov binnen een paar dagen een patch heeft, moet dat MS toch ook wel lukken?
3 replies onzichtbaar op je huidige niveau
Gepost door omixium - maandag 2 januari 2006 - 22:31 Score: 1 (Overbodig)
door die patch zouden heel wat programma's niet meer kunnen werken.
De vraag is dus, wat is erger.. patchen of laten exploiten.
Maar ik denk dat de discussie nu zover is, dat er binnen een week een patch klaar is.
Gepost door Dryw.Filtiarn - maandag 2 januari 2006 - 23:54 Score: 4 (Informatief)
De patch die hier vermeld wordt heeft geen invloed op de werking van welk programma ook. Het is alleen een vervanging van de betreffende functie(s) binnen de GDI32.dll die deze exploit mogelijk maken.
Gepost door ToMaSZ - dinsdag 3 januari 2006 - 08:41 Score: 4 (Interessant)
Hier moet je niet te snel van overtuigd zijn. We hebben hier nu op onze ict-implementatieafdeling (Man of 60) deze patch in gebruik. De rest van de toko krijgt hem nog even niet, omdat er niets is getest en we geen 6000 users met daaronder een groot aantal bedrijfskritische werkplekken gaan uitrusten met een patch waarvan niemand weet wat de mogelijke gevolgen zijn voor het functioneren van alle applicaties die in huis zijn.
Daaronder zijn ook applicaties die net zo oud zijn als dit lek. De functionaliteit die nu lek is, is ooit niet voor niets in windows ingebracht.
Verder blokkeert McAfee hier keurig de toegang tot met een exploit besmette test-files.
Gepost door Milt - dinsdag 3 januari 2006 - 09:50 Score: 2 (Informatief)
De patch behelst niet meer dan het uitschakelen van de DLL waarin de misbruikte Escape() functie is geimplementeerd, met als gevolg dat er dus veel meer functionaliteit niet meer werkt. Goede noodoplossing natuurlijk, maar zal voor Microsoft niet echt een oplossing zijn. Bovendien test SANS de patch waarschijnlijk alleen maar op de Engelse versie van Windows XP en misschien Windows 2003 Server. Microsoft moet uiteraard een patch uitbrengen die op 20+ talen werkt en voor 10+ versies van Windows.
SANS roept op onofficiële patch te installeren
Door Caroline Schröder - maandag 2 januari 2006 - 21:35 - Bron: Techworld - Submitter: MandersOnline - Views: 20.356
Het SANS Institute's Internet Storm Center (ISC) wijst Windows-gebruikers er dringend op een onofficiële patch te installeren om op die manier het WMF-lek snel te dichten. Het is onverstandig af te wachten tot Microsoft in actie komt, aldus SANS. De aanbeveling volgt op een nieuwe golf van aanvallen die misbruik maken van de manier waarop Windows metadatabestanden implementeert. Afgelopen zaterdag werd de exploitcode voor dit lek op internet gepubliceerd, wat de zaak bepaald geen goed heeft gedaan. Inmiddels zijn er al diverse virussen ontdekt, waaronder HappyNewYear.jpg dat via e-mail verstuurd wordt en dat door Windows als WMF-bestand herkend en uitgevoerd wordt om vervolgens Backdoor.Bifrose te downloaden.
HappyNewYear.jpg is niet alleen schadelijk als het wordt aangeklikt, maar wordt ook in werking gebracht als de map, waarin het bestand zit, wordt geopend. Of als het wordt geïndexeerd door een zoekprogramma als Google Desktop. Ilfak Guilfanov, volgens F-Secure een van de beste "low-level" Windows experts in de wereld, heeft een patch geschreven die door het SANS is getest. Het lek blijkt overigens in alle Windows-versies sinds Windows 3.0 aanwezig en treft dus niet alleen gebruikers van Windows XP en Windows Server 2003 zoals in een eerder stadium gemeld werd. Het WMF-lek wordt al het grootste lek in de computergeschiedenis genoemd.
Gerelateerde nieuwsberichten (openen in nieuw window)02-01-2006: Nederlandse MSN-gebruikers doelwit virus28-12-2005: 'Extreem kritieke' fout bedreigt Windows XP23-12-2005: Analisten waarschuwen voor gebruik metadata in Vista14-12-2005: Microsoft dicht lekken in Windows en Internet Explorer
de reacties daarop :
9 reacties onzichtbaar op huidige niveau (1) Niveau 4: 9 reactiesNiveau 3: 27 reactiesNiveau 2: 52 reactiesNiveau 1: 81 reactiesNiveau 0: 88 reactiesNiveau -1: 90 reacties GenestPlat Oudste eerstNieuwste eerstOudste eerst (negeer threads)Nieuwste eerst (negeer threads)
Gepost door Metal Baron - maandag 2 januari 2006 - 21:37 Score: 4 (Inzichtvol)
Ben wel benieuwd wanneer de originele patch gaat verschijnen dan? Als dit lek echt zo erg is al beweerd wordt, neem ik aan dat het dichten ervan top priority is bij MS, en als meneer Guilfanov binnen een paar dagen een patch heeft, moet dat MS toch ook wel lukken?
3 replies onzichtbaar op je huidige niveau
Gepost door omixium - maandag 2 januari 2006 - 22:31 Score: 1 (Overbodig)
door die patch zouden heel wat programma's niet meer kunnen werken.
De vraag is dus, wat is erger.. patchen of laten exploiten.
Maar ik denk dat de discussie nu zover is, dat er binnen een week een patch klaar is.
Gepost door Dryw.Filtiarn - maandag 2 januari 2006 - 23:54 Score: 4 (Informatief)
De patch die hier vermeld wordt heeft geen invloed op de werking van welk programma ook. Het is alleen een vervanging van de betreffende functie(s) binnen de GDI32.dll die deze exploit mogelijk maken.
Gepost door ToMaSZ - dinsdag 3 januari 2006 - 08:41 Score: 4 (Interessant)
Hier moet je niet te snel van overtuigd zijn. We hebben hier nu op onze ict-implementatieafdeling (Man of 60) deze patch in gebruik. De rest van de toko krijgt hem nog even niet, omdat er niets is getest en we geen 6000 users met daaronder een groot aantal bedrijfskritische werkplekken gaan uitrusten met een patch waarvan niemand weet wat de mogelijke gevolgen zijn voor het functioneren van alle applicaties die in huis zijn.
Daaronder zijn ook applicaties die net zo oud zijn als dit lek. De functionaliteit die nu lek is, is ooit niet voor niets in windows ingebracht.
Verder blokkeert McAfee hier keurig de toegang tot met een exploit besmette test-files.
Gepost door Milt - dinsdag 3 januari 2006 - 09:50 Score: 2 (Informatief)
De patch behelst niet meer dan het uitschakelen van de DLL waarin de misbruikte Escape() functie is geimplementeerd, met als gevolg dat er dus veel meer functionaliteit niet meer werkt. Goede noodoplossing natuurlijk, maar zal voor Microsoft niet echt een oplossing zijn. Bovendien test SANS de patch waarschijnlijk alleen maar op de Engelse versie van Windows XP en misschien Windows 2003 Server. Microsoft moet uiteraard een patch uitbrengen die op 20+ talen werkt en voor 10+ versies van Windows.