DigiNotar-patch Microsoft blijkt onvolledig

critical

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (5)
2x Aanbevolen

Gepubliceerd: Dinsdag 20 september 2011
Auteur: Jasper Bakker

De Windows-patch die DigiNotar-certificaten blokkeert, blijkt niet alle frauduleuze certificaten van het gehackte bedrijf te omvatten. Microsoft komt met een patch voor de patch.

De patch voor het nog altijd veelgebruikte Windows XP en Server 2003 heeft enkele certificaten van DigiNotar laten liggen. Alleen de laatste zes certificaten, kruislings ondertekend door GTE en Entrust, zijn geblokkeerd. Andere certificaten van het gehackte DigiNotar zijn dus bijna een week lang wel vertrouwd door Windows.

Niet via Windows Update

De oorzaak van deze fout is dat de blokkade voor die zes certificaten als toevoeging is uitgebracht, maar niet als cumulatieve patch. "Update 2616676 heeft ten onrechte voorrang boven update 2607712. Daarom krijgt u update 2607712 niet aangeboden via Windows Update als u update 2616676 installeert en u update 2607712 nog niet hebt geïnstalleerd. U moet update 2607712 dan handmatig installeren", meldt Microsoft in het bijgewerkte supportdocument.

De onvolledige patch wordt nog bijgewerkt, maar Microsoft voert daar nu nog tests op uit. Beheerders dienen nu dus eerst de ene update (2607712) te installeren en vervolgens de aanvullende update (2616676). "Opnieuw opstarten is noodzakelijk voor alle edities van Windows XP en Windows Server 2003."

Microsoft heeft in eerste instantie alleen de commerciële certificaten van DigiNotar in de ban gedaan. Pas later zijn ook de overheidscertificaten op de zwarte lijst voor Windows gezet. De gehackte certificaatverstrekker heeft namelijk lange tijd volgehouden dat de 'volledig gescheiden' systemen voor overheidscertificaten niet waren gehackt. Het forensische rapport van Fox-IT heeft gehakt gemaakt van die sussende mededeling: DigiNotar was volledig gekraakt.

In de kou

Microsoft heeft zijn certificatenpatch op dinsdagavond 6 september uitgebracht. Daarbij was het vlak daarvoor nog duidelijk - en bevestigd - dat XP en Server 2003 níet werden gepatcht. Het bedrijf gaf tegenover Webwereld aan dat de DigiNotar-blokkade alleen was voor de recente Windows-versies Vista, 7, Server 2008 en Server 21008 R2 (release 2). Microsoft kon geen planning geven wanneer voorgangers XP en Server 2003 aan de beurt zouden zijn.

Na het uitbrengen van de DigiNotar-patch bleek dat die er toch ook was voor die oudere Windows-versies. Microsoft was eerst van plan die twee versies op een onbepaald "later tijdstip" te patchen. De patch is voor Nederland nog tegengehouden wat betreft het aanbieden via automatische updates. Dat is niet geheel vlekkeloos gegaan.

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Flexibele IT noodzaak voor bankenOnderzoeksrapport over de beperkte flexibiliteit van veel IT-systemen in de bancaire wereld. Lees meer!
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)