De patch voor het nog altijd veelgebruikte Windows XP en Server 2003 heeft enkele certificaten van DigiNotar laten liggen. Alleen de laatste zes certificaten, kruislings ondertekend door GTE en Entrust, zijn geblokkeerd. Andere certificaten van het gehackte DigiNotar zijn dus bijna een week lang wel vertrouwd door Windows.

Niet via Windows Update

De oorzaak van deze fout is dat de blokkade voor die zes certificaten als toevoeging is uitgebracht, maar niet als cumulatieve patch. “Update 2616676 heeft ten onrechte voorrang boven update 2607712. Daarom krijgt u update 2607712 niet aangeboden via Windows Update als u update 2616676 installeert en u update 2607712 nog niet hebt geïnstalleerd. U moet update 2607712 dan handmatig installeren", meldt Microsoft in het bijgewerkte supportdocument.

De onvolledige patch wordt nog bijgewerkt, maar Microsoft voert daar nu nog tests op uit. Beheerders dienen nu dus eerst de ene update (2607712) te installeren en vervolgens de aanvullende update (2616676). “Opnieuw opstarten is noodzakelijk voor alle edities van Windows XP en Windows Server 2003."

Microsoft heeft in eerste instantie alleen de commerciële certificaten van DigiNotar in de ban gedaan. Pas later zijn ook de overheidscertificaten op de zwarte lijst voor Windows gezet. De gehackte certificaatverstrekker heeft namelijk lange tijd volgehouden dat de 'volledig gescheiden' systemen voor overheidscertificaten niet waren gehackt. Het forensische rapport van Fox-IT heeft gehakt gemaakt van die sussende mededeling: DigiNotar was volledig gekraakt.

In de kou

Microsoft heeft zijn certificatenpatch op dinsdagavond 6 september uitgebracht. Daarbij was het vlak daarvoor nog duidelijk - en bevestigd - dat XP en Server 2003 níet werden gepatcht. Het bedrijf gaf tegenover Webwereld aan dat de DigiNotar-blokkade alleen was voor de recente Windows-versies Vista, 7, Server 2008 en Server 21008 R2 (release 2). Microsoft kon geen planning geven wanneer voorgangers XP en Server 2003 aan de beurt zouden zijn.

Na het uitbrengen van de DigiNotar-patch bleek dat die er toch ook was voor die oudere Windows-versies. Microsoft was eerst van plan die twee versies op een onbepaald “later tijdstip" te patchen. De patch is voor Nederland nog tegengehouden wat betreft het aanbieden via automatische updates. Dat is niet geheel vlekkeloos gegaan.