Microsoft monsterpatch voor 57 Windows lekken

[Quit]

Microsoft zal aanstaande dinsdag één van de grootste patchrondes in de geschiedenis van het bedrijf beleven.
Er verschijnen dan 12 beveiligingsupdates die maar liefst 57 beveiligingslekken in Windows, Internet Explorer, Exchange Software, Office, .NET Framework en Microsoft Server Software verhelpen.
Tien van de updates die uitkomen zijn voor Windows bedoeld.

In het ergste geval kan een aanvaller via de kwetsbaarheden computers volledig overnemen.
Zes van de updates hebben de hoogste beoordeling van 'critical' gekregen, wat betekent dat een aanvaller willekeurige code op het systeem kan uitvoeren.


Updates
Vier andere updates verhelpen problemen waardoor een aanvaller zijn rechten op het systeem kan verhogen en de laatste twee zijn bedoeld voor twee Denial of Service problemen.
Van de 7 updates die voor Windows 7 verschijnen zijn er twee als 'critical' beoordeeld, terwijl Windows XP-gebruikers vier critical-updates zullen ontvangen.

Het recordaantal beveiligingsupdates tijdens één patchcyclus dateert van april 2011.
Toen verschenen er 17 updates voor 64 kwetsbaarheden.
De updates zijn vanaf aanstaande dinsdagavond te downloaden.

Bron: Security.nl

 

[Qtex]

ik ben benieuwt hoeveel mensen na deze update's in de problemen komen !!
omdat ze misschiens al over genomen zijn, zonder dit zelf te beseffen .

 

[Quit]

Hier is nog meer te lezen: http://www.automatiseringgids.nl/nieuws/2013/06/berg-patches-van-microsoft-in-aantocht

 

[Btech]

steeds meer bedrijven/instanties beseffen dat ze grote stappen moeten ondernemen kwa beveiliging, hiermee bedoel ik al Oracle met zijn monster patch voor een tig aantal lekken en mozilla voor firefox en nu ook microsoft.

Aanvallers gaan niet stil zitten voor deze lekken en zullen er zo veel gebruik van maken als ze kunnen. er vroeg bij zijn is een vereiste.
ik vindt het idee van maandelijks updaten niet echt slim, als het om beveiliging gaat moet het gepatched worden zodra er een oplossing beschikbaar voor is want het maakt het alleen moeilijker voor de aanvallers om telkens een nieuw lek te vinden en de exploten.

nu is het als volg:

- een bedrijf brengt software/updates uit.
- in de software wordt een aantal kritieke beveiligingslekken gevonden.
- het bedrijf werkt aan een oplossing die dan op een geplande tijd wordt geleverd ook al hebben ze het al af.
- het beveiligingslek wordt massaal geexploot.
- experts waarschuwen de mensen en geven instructies over hoe ze zich veilig kunnen stellen door bijvoorbeeld het desbetreffende programma uit te schakelen tot er een oplossing voor is.
- een aantal weken later komt er een updatereeks waar deze problemen worden opgelost.

dan begint dit helemaal overnieuw, en maar weinig bedrijven updaten buiten hun geplande updatedatum.

 

[DDragon80]

Er komt dikwijls meer bij kijken dan alleen "die" exploits. Bedrijven moeten ook een betere kijk hebben op algemene security issues. En dat wordt dikwijls verwaarloost tot het te laat is.

- Neem nu bijvoorbeeld de manier waarop de exploit ingezet wordt. Dmv een bezoekje aan de verkeerde website. De kans is hierbij al veel kleiner als er enkel professionele websites bezocht worden. Maw geen xxx en/of crack sites. Dus hierbij limiteer je via geschreven policies of technische middelen al de grootste kans op "infectie". Waterdicht is dit niet, maar het verkleint de kansen aanzienlijk.
- Scherm het bedrijfsnetwerk correct af van het internet. Professionele firewalls met stricte rulesets, vb zelfs Outbound traffic beperken!
- Beperk de eindgebruikers dmv geen admin rechten te geven op hun client PC. Verspreid zelf via een GPO de updates van applicatie software zoals vb een java client, of blokkeer dit product mbv GPO indien nodig.
- Geef opleidingen aan het personeel om bewust en correct om te gaan met dreigingen op het net. Vb, wat te doen wanneer er een verdacht scherm verschijnt op men IE -> Kill IE process...
- ...


Er zijn veel bedrijven die gehacked worden dmv een exploit die al 3 jaar oud is. Omwille van bepaalde client software welke niet uptodate is...

 

[Btech]

ik weet hoe het binnen bedrijven gaat, maar met de bovengenoemde term "bedrijf" bedoel ik de software/os ontwikkelaar. bedrijven hebben een vaste manier van omgaan met beveiliging maar de softwareontwikkelaars zullen toch eens hun manier van beveiligen aan moeten pakken en wat meer patches uitbrengen voor serieuze bedreigingen.

Binnen een bedrijf worden software zoals java en flash en zelfs besturingssystemen niet altijd geupdated mede door de comptabiliteit problemen die kunnen komen.
hierdoor kan een bedrijf bijvoorbeeld niet van windows xp naar windows 7 gaan zonder dat een programma ineens niet meer kan worden gebruikt en ze het geld niet willen uitgeven om mensen een kleine cursus te geven voor een nieuwer variant van die software.

Ik heb een aantal maanden geleden voor een accountant binnen het AZM in maastricht (ziekenhuis) zijn notebook volledig moeten updaten volgens de regeling van het AZM. hierbij werd ook gevraagd of ik bepaalde bank software kon updaten zodat het ook binnen windows 7 zou werken.
dit lukte helaas niet aangezien de maker van de software het speciaal voor windows 98 had geschreven en het werd niet verder dan xp SP2 ondersteund. er mocht geen andere software bij komen om het programma te laten werken want dan hadden ze geen controle meer erover. hierbij gaf ik ze de keuze om de mensen binnen hun bedrijf een cursus te laten volgen voor software die compatibel was met windows 7 en vanuit windows server 2008 kon worden beheerd of dat ze bij windows XP blijven zitten.