Fout in ActiveX-implementatie gepatched

Microsoft heeft gisteren informatie vrijgegeven over een ernstige fout in Windows, welke aanvallers in staat stelt SSL-certificaten te beschadigen of verwijderen. Hierdoor kunnen Administrator-accounts, beveiligde verbindingen en gecodeerde bestanden onbruikbaar worden gemaakt. De certificaten kunnen niet worden aangepast, de aanvaller kan dus geen ongewenste toegang verkrijgen via deze exploit. Het lek kan misbruikt worden via een ActiveX component op een website; een simpel bezoek aan een kwaadwillende site is voldoende. Een HTML-format e-mail met het component aan boord heeft hetzelfde effect. Microsoft raadt alle gebruikers van de betrokken Windows-versies (98, Me, NT, 2000 en XP) aan onmiddelijk de patch te downloaden:

BugAll versions of Windows ship with an ActiveX control known as the Certificate Enrollment Control, the purpose of which is to allow web-based certificate enrollments. The control is used to submit PKCS #10 compliant certificate requests, and upon receiving the requested certificate, stores it in the user’s local certificate store.

The control contains a flaw that could enable a web page, through an extremely complex process, to invoke the control in a way that would delete certificates on a user’s system. An attacker who successfully exploited the vulnerability could corrupt trusted root certificates, EFS encryption certificates, email signing certificates, and any other certificates on the system, thereby preventing the user from using these features.

Anoniem: 35463 nam de tijd om ons een linkje te sturen

Door Robert-Jan Huijsman

Meuktracker, Nieuwsposter

Feedback • 29-08-2002 21:35 36

29-08-2002 • 21:35

36

Bron: C|Net

Lees meer

Ernstig lek in Windows XP zonder SP1
Ernstig lek in Windows XP zonder SP1 Nieuws van 12 september 2002
Fout in Microsoft CryptoAPI als kritiek bestempeld
Fout in Microsoft CryptoAPI als kritiek bestempeld Nieuws van 7 september 2002
Software

Reacties (36)

-Moderatie-faq
36
35
27
11
1
2
Wijzig sortering
Anoniem: 31259 29 augustus 2002 22:04
Kheb toch ook maar ff gepatcht :P

Maar begrijp ik het verkeerd of bestaat dit lek dan al ergens sinds Win98?
ycode @Anoniem: 3125929 augustus 2002 22:15
Dat lijkt me wel... Toch wel eng, als je net een nieuws artikel leest dat IE 96 procent van de markt in handen heeft.

Hoeveel van deze gebruikers zullen snel updaten ?

Nou, ja... apt-get update; apt-get upgrade dan maar ! :-)
Anoniem: 41851 @Anoniem: 3125929 augustus 2002 22:12
Ja, het bestaat blijkbaar al sinds windows 98, anders kon dat OS die fout niet bevatten, toch?

Service Packs en dergelijke zijn wel een goed idee... alleen, nu Windows 2000 op SP3 zit, heb ik het idee dat onderhand het hele besturingssysteem vervangen is. :P

Windows 2000 SP3 = Windows 2000 versie 2.0 :+
ycode @Anoniem: 4185129 augustus 2002 22:16
Nou, Windows 98 kan ook Internet Explorer 6.0 draaien geloof ik... daardoor kan een windows 98 ook vatbaar zijn voor deze fout., terwijl dat in de eerste versie eigenlijk niet zo was.
Anoniem: 36897 29 augustus 2002 23:25
Dus als je Win95 gebruikt heb je volgens Microsoft geen Patch meer nodig, dat mag dus zo lek als een mandje worden
Damian @Anoniem: 3689729 augustus 2002 23:38
Support is officieel beindigd op windows 95, windows 95 is volgens Microsoft dood dus :P
Anoniem: 32081 @Damian30 augustus 2002 08:50
Ik denk dat ik mijn sysadmin maar even moet vragen om mijn machine te upgraden van Win95 naar Win98. Omdat het kreng maar 64 MB heeft is XP iets te veel van het goede.

* 786562 plok
Anoniem: 6894 @Damian30 augustus 2002 09:15
Windows 95 is retired, niet dood. Net zoals de NT4-examens... die zijn retired.
The UnknownXprience @Anoniem: 3689730 augustus 2002 10:06
Gelukkig heeft Microsoft daar een tool voor: Windows Update. Nu ik het systeembeheer op een school heb, scheelt het wel dat er dan zo'n tools bestaat.
NATUURLIJK moet je wel een beetje internet verbinding hebben... wat een kale installatie Windows 98 vraagt al gauw zo'n 60 MB aan updates.
Daar heeft Microsoft dan ook wat voor: De bestanden downloaden en in een map plaatsen. Vervolgens die even sharen en elke pc daar de updates van halen.
MAAR al met al ben je de HELE dag bezig met het updaten van systemen. daar GAAT mijn tijd op koffie te drinken, want dat is toch het liefst dat ik doe.. :)
Saus 29 augustus 2002 21:42
http://download.microsoft.com/download/whistler/Patch/Q323172/WXP/NL/Q 323172_WXP_SP1_x86_NLD.exe

Nederlands linkje voor Winxp, de engelse pakt hij niet.
Anoniem: 35302 @Saus30 augustus 2002 08:44
Wazig trouwens dat ze nog steeds die whistler map gebruiken... komt een beetje slordig over?
MahRain 29 augustus 2002 22:44
ActiveX.... dus ik, als gelukkige Mozilla gebruiker, blijf grotendeels buiten schot, naar ik aanneem? :Y)
Raafz0r @MahRain29 augustus 2002 23:38
Ehm, heb jij alle elementen van IE weggehaald? Zonee, dan denk ik dat ook jij nog wel kwetsbaar bent.
Crazy D @Raafz0r30 augustus 2002 00:30
Alleen als je IE ook daadwerkelijk gebruikt....
(wel grappig trouwens, 96% gebruikt het (zie andere nieuwsartikel), en 96% kan dus wekelijks z'n IE patchen... |:()
LauPro @Crazy D30 augustus 2002 18:44
Het zal wel als grapje zijn maar dat is pure onzin. Bij de andere software worden dit soort gaten pas opgelost 'in de volgende versie'. Microsoft grijpt 'meteen' in. Bovendien is de kans zeer klein dat je dit overkomt dus ik zou maar niet al te bang zijn dat je wordt 'gehackt' oid.

Pas was er ook een bericht dat ook mp3's en andere formaten virussen kunnen bevatten...
Not Pingu 29 augustus 2002 21:43
dat is jammer, net voor de release van XP SP1... deze patch zal dus waarschijnlijk niet daarbij gevoegd worden, of wel?

Ik heb trouwens voor installatie eerst de EULA eventjes goed doorgelezen :D I think it's safe :)
Arno @Not Pingu29 augustus 2002 22:01
323172_WXP_SP1_x86.exe

De service pack waar de patch in komt staat altijd in de filenaam ;)
Nefiorim @Not Pingu29 augustus 2002 21:44
Bij die SP1 zitten alle voorafgaande fixes ook in..
Erik1 29 augustus 2002 22:15
Ik heb ook maar ff gepatcht :)

download.microsoft.com/download/win2000platform/Patch/Q323172/NT5/NL/q 323172_W2K_SP4_X86_NL.exe

Dit is de link voor Win2K NL :)
Anoniem: 41851 @Erik129 augustus 2002 22:22
Hm. SP4 staat in de bestandsnaam. Er zijn al enkele andere Pre-SP4 patches uitgekomen.

Waar blijft SP4 voor Windows 2000? Dat ze ermee opschieten! Het laatste service pack is alweer een week geleden!

Het lijkt erop dat XP maar 1 SP krijgt. Dan komt Windows XP SE uit, en daarna Longhorn, volgens de Windows SuperSite, http://www.winsupersite.com . NT4 had 6 SP's, Win2k blijft waarschijnlijk steken op 4, XP krijgt er 1, misschien 2.... de levenscyclus van Windows wordt steeds korter, en de versies volgen elkaar steeds sneller op. Of dat wel zo goed is voor de stabiliteit/veiligheid/bruikbaarheid, vraag ik mij af.
pstalman @Anoniem: 4185130 augustus 2002 17:13
NT4 had meer dan 6 service packs.. tel ze maar ff goed na
Anoniem: 38565 29 augustus 2002 21:58
Ik word gewoon helemaal ziek van dat windows alles altijd maar patchen volgens mij als het zo door gaat heb ik binnen een jaar een 2e hdd nodig voor al die k*t patches
_Thanatos_ @Anoniem: 3856530 augustus 2002 00:43
Zal ik es een boekje opendoen over linux?

Ok, wat is makkelijker, een patch installeren en hem verder vergeten, of je app helemaal verwijderen en een nieuwe versie van de app helemaal 'installeren'. Lekker als het een webservice betreft. (php of een ftp server, noem maar wat).

Ok, windows moet je herstarten meestal, maar das in ieder geval makkelijker en is aan te kondigen hoeveel downtime er gaat komen.
Locutes @_Thanatos_30 augustus 2002 05:14
Ja ach, zo heeft elke OS wel andere "problemen" met updates. Windows doet 't nou op hun manier, Linux weer op de hunne. Als je Windows goed vind, kies je gewoon voor Windows. En vice versa. En dit is dus geen aanval op _Thanatos_ :> Maar deze discussie word al jaren gevoerd en is compleet nutteloos :(
PipoDeClown @Anoniem: 3856529 augustus 2002 22:16
ze zijn sneller als het os from scratch wordt gemaakt.
Maurits van Baerle @PipoDeClown29 augustus 2002 22:44
Dat hebben ze ook gedaan. NT is van scratch opgebouwd nadat men besloten had die DOS+Shell troep los te laten.

Aan NT4 hebben ze zeven jaar gesleuteld om Win2K te krijgen. Daar hebben ze nog weer wat kleine dingetjes aan doorontwikkeld en het WinXP genoemd.

De geschiedenis van de NT lijn van MS in een notendop. :)
Maurits van Baerle @Maurits van Baerle30 augustus 2002 11:01
In NT/2K/XP is DOS volledig verwijderd, er is geen spoortje van terug te vinden want DOS is 16 bits en deze OS-en zijn allemaal 32-bits.

Wat er wel in zit is de 'Command Prompt', een soort DOS-emulator. Iets met grotendeels dezelfde commando's maar het heeft verder niets met DOS te maken. Een beetje zoals Wine op Linux, je kunt er Win32 programma's mee draaien maar dat wil nog niet zeggen dat er Win code in Linux zit.
Anoniem: 6894 @Maurits van Baerle30 augustus 2002 09:04
In W2K en WinXP zit nog steeds een volledig functionerende 'DOS'. Blij toe, want sommige dingen zijn imho sneller en makkelijker middels een batchfile te maken, dan met een van de Windowsvarianten, zoals VB.
Anoniem: 63617 29 augustus 2002 21:41
yep, patches kan je ook hier vandaan halen.
http://www.zdnet.nl/news.cfm?id=20523&mxp=11
Pogostokje 29 augustus 2002 21:44
Gewoon even windows-update doen, kost nog geen minuut. Probleem weer opgelost. KLAAR.
Tuinhark 30 augustus 2002 13:37
Waar ik zo benieuwd naar ben is hoe je eenvoudig op de hoogte kunt blijven van dit soort mededelingen. :?

Dus, niet via WindowsUpdate of via deze meldingen bij Tweakers.net.. Kun je je bij MS ergens aanmelden voor een nieuwsbrief oid?

:Y)
StickMan @Tuinhark30 augustus 2002 17:51
Zie hier:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec urity/bulletin/notify.asp

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq