Windows krijgt een definitieve patch voor het kritieke beveiligingsgat waar de geavanceerde Duqu-malware misbruik van maakt. Een noodpatch was er al. De verwachting is dat er nu meer malware opduikt die inspringt op het gat van Duqu. Het is een fout in de lettertype-afhandeling in de Windows-kernel en valt te misbruiken via een malafide Office-document maar ook door Internet Explorer een malafide webpagina voor te schotelen.

In de vandaag uitgevoerde patchronde van deze maand ontbreekt echter een fix voor het grote encryptiegat in SSL 3.0 (secure socket layer) en TLS 1.0 (transport layer security). Die patch is op de valreep toch niet uitgebracht. Microsoft heeft namelijk meldingen gekregen van softwarefabrikant SAP dat de fix voor problemen zorgt met zijn bedrijfssoftware.

Incompatibel

De update voor dat beveiligingsgat is uitgesteld vanwege “een compatibiliteitskwestie" met applicaties van een derde partij, stelt Microsoft in een officiële verklaring. Het gaat om het zogeheten BEAST-lek (Browser Exploit Against SSL/TLS), dat eind september is ontdekt. Versleutelde netwerkverbindingen en ook cookies zijn hiermee te ontcijferen en dus af te luisteren of uit te lezen.

Softwarereus SAP is de derde partij die het compatibiliteitsprobleem heeft opgemerkt, meldt Webwerelds Amerikaanse zustersite Computerworld.com. Het is niet bekend welke pakketten van SAP precies wat voor problemen hebben met de geplande patch. Microsoft stelt dat het liever zijn security-bulletin uitstelt dan “iets uit te brengen dat klanten problemen bezorgt".

Noodpatch?

Microsoft heeft nog niet bekend gemaakt of de BEAST-patch meekomt in de patchronde van volgende maand. Normaliter brengt de Windows-producent patches alleen buiten de maandelijkse cyclus uit als er sprake is van misbruik in de praktijk. Voor zover bekend is dat nu niet het geval voor het encryptiegat.

Bovendien kost het ontcijferen van een enkele cookie zo'n tien minuten. Een versleutelde netwerkverbinding vergt veel meer rekenwerk. Dit beperkt de effectiviteit van een aanval, maar dat is geen garantie voor veiligheid. De ontdekkers van dit encryptiegat hebben eind september al een openlijke demonstratie gegeven van hun vondst.

Oude versie

De zwakke plek zit alleen in de oudere versie 1.0 van TLS, die nog wel veel in gebruik is. Maar weinig browsers en serversoftware gebruiken TLS 1.1 of 1.2. Upgraden naar die nieuwere versies zou dus ervoor zorgen dat clients geen verbinding meer krijgen met websites en serversystemen. Zoals ook de software voor bedrijfsautomatisering van SAP.