Microsoft verwacht dns-patch pas over drie weken
Gepubliceerd: Donderdag 19 april 2007
Auteur: Wilbert de Vries
Microsoft hoopt de patch om het kritieke dns-lek te dichten bij de volgende patchronde op 8 mei te kunnen vrijgeven. Zeker is dit echter niet.
Microsoft staat onder druk om snel met een patch te komen nu er exploits voor het lek in de Windows dns-servers zijn gepubliceerd.
Sinds deze week zijn er ook concrete aanvallen waargenomen waarbij een worm netwerken afspeurt op zoek naar systemen die vatbaar zijn om het lek vervolgens te misbruiken.
De fout komt voor in Windows 2000 en Windows Server 2003 en kan worden misbruikt als een aanvaller een speciaal geprepareerd rpc-pakket naar de dns-server stuurt.
"We hebben nog geen harde datum wanneer de ontwikkeling en het testen van deze updates is afgerond", aldus beveiligingsmanager Christopher Budd eerder deze week in een blogposting. "Teams over de hele wereld werken hier 24 uur per dag aan. We hopen de update voor 8 mei klaar te hebben."
Uit diezelfde posting blijkt ook dat Microsoft voor dit specifieke lek maar liefst 133 patches moet ontwikkelen: voor elke taal en elke versie van de momenteel ondersteunde versies van Windows-servers één. "Alle patches moeten worden getest om te zorgen dat ze het lek dichten. Omdat het dns een belangrijk deel van de infrastructuur is, moeten ze ook worden getest om te zorgen dat de door de patch veranderingen geen groter gevaar vormen dan het lek dat wordt gedicht."
Bron: Techworld
