---

Ny Windows-patch.

Bill har netop frigivet en ny kritisk opdatering, der kan hentes på
Windowsupdate.

God week-end! Mvh John

---

John wrote:

> Ny Windows-patch.
>
> Bill har netop frigivet en ny kritisk opdatering, der kan hentes på
> Windowsupdate.
>
> God week-end! Mvh John
>
>

Hvor er det dog tragisk.
En ting er, at en del af deres software er i stykker. Fair nok.
Meget sofware har fejl eller mangler. Men kunne de i det mindste
ikke være ærlige og skrive kort og præcist hvad der er galt ?
Nej. Det er formuleret så slapt som :
"Der er fundet et problem, der kan gøre det muligt
for en hacker at kompromittere en computer, som kører Windows, og få
fuld kontrol over den"
Blaah. Det er jo noget fusk. Hvorfor må jeg som bruger ikke få
at vide præcist hvad der er galt ? Jo, måske er 90% af alle Windows
brugere totalt ligeglade med hvad der foregår dybere i systemet.
Men jeg ville gerne vide det.
Nuvel, jeg kan klikke på "læs mere", men det giver mig en meget lang
oversigt - og så ofte som Microsoft sender opdateringer ud, kunne
jeg ikke lave andet end at læse de beskrivelser.
Hvad gør i ? Læser i dem, eller henter i bare de opdateringer der måtte
komme ?


/mikkel

--
"The only source of knowledge is experience"

Albert Einstein

---

"Mikkel U." skrev i en meddelelse

> En ting er, at en del af deres software er i stykker. Fair nok.
> Meget sofware har fejl eller mangler. Men kunne de i det mindste
> ikke være ærlige og skrive kort og præcist hvad der er galt ?
> Nuvel, jeg kan klikke på "læs mere", men det giver mig en meget lang
> oversigt - og så ofte som Microsoft sender opdateringer ud, kunne
> jeg ikke lave andet end at læse de beskrivelser.

Skrevet af eksperter, og for eksperter...

> Hvad gør i ? Læser i dem, eller henter i bare de opdateringer der måtte
> komme ?

Alle kritiske opdateringer installerer jeg uden videre. Som regel har der jo
forud været omtale andre steder, om Windows-problemer og kommende
opdateringer.

I mellemtiden kan vi så glæde os til Longhorn, der jo er 'forsinket'. Vi kan
så håbe, det betyder færre opdateringer.. til dén tid. :)

Mvh John

---

Mikkel U. skrev:

> John wrote:
>> Ny Windows-patch.

>> Bill har netop frigivet en ny kritisk opdatering, der kan hentes
>> på Windowsupdate.

> Hvor er det dog tragisk.

Hvorfor er det tragisk at der kommer en opdatering?
(en konfigurationsændring og ikke en rettelse af den involverede soft-
ware)

> En ting er, at en del af deres software er i stykker. Fair nok.
> Meget sofware har fejl eller mangler. Men kunne de i det mindste
> ikke være ærlige og skrive kort og præcist hvad der er galt ?

Hvordan vil du skrive noget kort og præcist omkring en potentiel kon-
figurationsfejl med ADODB?

> Nej. Det er formuleret så slapt som :
> "Der er fundet et problem, der kan gøre det muligt
> for en hacker at kompromittere en computer, som kører Windows, og
> få fuld kontrol over den" Blaah. Det er jo noget fusk.

Hvad er der forkert ved beskrivelsen?

> Hvorfor må jeg som bruger ikke få at vide præcist hvad der er galt ?
> Jo, måske er 90% af alle Windows brugere totalt ligeglade med hvad der
> foregår dybere i systemet. Men jeg ville gerne vide det. Nuvel, jeg
> kan klikke på "læs mere", men det giver mig en meget lang oversigt

Tilmeld dig slutbruger-udgaven af Microsoft Security Update, så får du
en kort beskrivelse af hvad opdateringen gør i email:

http://microsoft.com/security/bulletins/alerts.mspx

> - og så ofte som Microsoft sender opdateringer ud, kunne jeg ikke lave
> andet end at læse de beskrivelser.

Det er ikke nemt, du vil både vide hvad en opdatering gør, men du vil
ikke bruge tid på at læse om opdateringen.

> Hvad gør i ? Læser i dem, eller henter i bare de opdateringer der
> måtte komme ?

Læser dem og forsøger derefter at finde ud af eventuelle negative side-
gevinster førend opdateringen installeres (f.eks. ved at læse eller
spørge til opdateringen på patchmanagement.org mailinglisten eller i de
relevante Microsoft nyhedsgrupper).

---

On 2004-07-04, Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
>> "Der er fundet et problem, der kan gøre det muligt
>> for en hacker at kompromittere en computer, som kører Windows, og
>> få fuld kontrol over den" Blaah. Det er jo noget fusk.
>
> Hvad er der forkert ved beskrivelsen?

På baggrund af beskrivelsen kan jeg ikke se om har
"brug" for opdateringen. Jeg kan ikke se hvilken måde angrebet
kan udføres på.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" skrev i en meddelelse
>
> På baggrund af beskrivelsen kan jeg ikke se om har
> "brug" for opdateringen.

Lad endelig tvivlen komme Bill tilgode!

Næsten dagligt kan vi jo her i grupperne læse om virus-angreb, rettet mod
huller, der forlængst er patchet, men 'hr Jensen' har blot ikke (gidet?)
installeret de nødvendige, kritiske opdateringer.

Den gode nyhed: Der er flere spændende sikkerheds-opdateringer på vej de
kommende dage... :)

Mvh John

---

>
> Den gode nyhed: Der er flere spændende sikkerheds-opdateringer på vej de
> kommende dage... :)

Ja man kan endda gå ind på http://v5.windowsupdate.microsoft.com/ og få
fat i service pack 2 til windows XP.

---

Allan Rasmussen wrote:
> Ja man kan endda gå ind på http://v5.windowsupdate.microsoft.com/ og
> få fat i service pack 2 til windows XP.

Gælder for registrerede betabrugere af Windows Update.

---

Per Nielsen wrote:

> Gælder for registrerede betabrugere af Windows Update.

Jeg er nu ikke tilmeldt noget beta program for windows update, så vidt
jeg ved. Jeg gik bare ind på siden efter at have set de havde en v5 af
windowsupdate.

---

On 2004-07-05, John <nogen@pladderballe.ok> wrote:
>> På baggrund af beskrivelsen kan jeg ikke se om har
>> "brug" for opdateringen.
>
> Lad endelig tvivlen komme Bill tilgode!

Hvorfor?

> Næsten dagligt kan vi jo her i grupperne læse om virus-angreb, rettet mod
> huller, der forlængst er patchet, men 'hr Jensen' har blot ikke (gidet?)
> installeret de nødvendige, kritiske opdateringer.

Mener du det er et godt argument for ikke at fortælle
hvad en rettelse retter?

Bliver folk mere motiveret til at installere rettelser, hvis det ikke
fremgår hvad der rettes?


Hvis jeg har en server, bliver denne helt naturligt hardnet,
så den kun kører det nødvendige.

Hvorfor skal jeg patche applikationer der ikke kører eller
er installeret?

Min personlig erfaringer siger man ikke skal rette i noget
der virker.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel skrev:

> Peder Vendelbo Mikkelsen wrote:

>>> "Der er fundet et problem, der kan gøre det muligt
>>> for en hacker at kompromittere en computer, som kører Windows, og
>>> få fuld kontrol over den" Blaah. Det er jo noget fusk.

>> Hvad er der forkert ved beskrivelsen?

> På baggrund af beskrivelsen kan jeg ikke se om har "brug" for opda-
> teringen.

Heller ikke i den artikel [1] der linkes til fra opdateringen?

[1] http://support.microsoft.com/?kbid=870669

Du kan eventuelt foreslå Microsoft at lave om på
windowsupdate.microsoft.com, enten via microsoft.public.windowsupdate
på msnews.microsoft.com [2] eller gennem betaprogrammet til version 5 af
windowsupdate.microsoft.com.

[2] Kan også anvendes gennem en webbrowser:

http://communities2.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.public.windowsupdate&cat=en-us-win-windowsupdate&lang=en&cr=US

> Jeg kan ikke se hvilken måde angrebet kan udføres på.

http://www.securityfocus.com/bid/10514/exploit/

---

On 2004-07-05, Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
>>>> "Der er fundet et problem, der kan gøre det muligt
>>>> for en hacker at kompromittere en computer, som kører Windows, og
>>>> få fuld kontrol over den" Blaah. Det er jo noget fusk.
>
>>> Hvad er der forkert ved beskrivelsen?
>
>> På baggrund af beskrivelsen kan jeg ikke se om har "brug" for opda-
>> teringen.
>
> Heller ikke i den artikel [1] der linkes til fra opdateringen?
>
> [1] http://support.microsoft.com/?kbid=870669

Denne beskrivelse er meget mere brugbar end den oprindeligt
citeret beskrivelse.

> Du kan eventuelt foreslå Microsoft at lave om på
> windowsupdate.microsoft.com, enten via microsoft.public.windowsupdate
> på msnews.microsoft.com [2] eller gennem betaprogrammet til version 5 af
> windowsupdate.microsoft.com.
>
> [2] Kan også anvendes gennem en webbrowser:
>
> http://communities2.microsoft.com/communities/newsgroups/en-us/default.aspx?dg=microsoft.public.windowsupdate&cat=en-us-win-windowsupdate&lang=en&cr=US
>
>> Jeg kan ikke se hvilken måde angrebet kan udføres på.
>
> http://www.securityfocus.com/bid/10514/exploit/

Det kræver at hullet er offentligt kendt, og fundet
af personer der ikke ser noget galt i at sende
proof-of-concept til bugtraq.

Hvis ovennævnte ikke er tilfælder, sker det tit at
hullet blot beskrives som "en angriber kan kompromittere en
computer", uden flere detajler.

Hvis man er uheldig bliver rettelsen skjult blandt andre
rettelser.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

On 2004-07-05, Christian E. Lysel <news.sunsite.dk@weebo.spindelnet.dk> wrote:
>> [1] http://support.microsoft.com/?kbid=870669
>
> Denne beskrivelse er meget mere brugbar end den oprindeligt
> citeret beskrivelse.

Dog nævner den intet om:

http://www.securityfocus.com/archive/1/367882/2004-07-02/2004-07-08/0
http://www.securityfocus.com/archive/1/367881/2004-07-02/2004-07-08/0
http://www.securityfocus.com/archive/1/367878/2004-07-02/2004-07-08/0

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel skrev:

> Peder Vendelbo Mikkelsen wrote:

>>> Jeg kan ikke se hvilken måde angrebet kan udføres på.

>> http://www.securityfocus.com/bid/10514/exploit/

> Det kræver at hullet er offentligt kendt, og fundet af personer der
> ikke ser noget galt i at sende proof-of-concept til bugtraq.

> Hvis ovennævnte ikke er tilfælder, sker det tit at hullet blot be-
> skrives som "en angriber kan kompromittere en computer", uden flere
> detajler.

Jeg tror det er bevidst at beskrivelsen af problemet på windowsupdate
er så lidt konkret som den er, da de fleste brugere er ligeglade og de
fleste teknikere sandsynligvis ved hvordan de skal finde de informati-
oner de har brug for (full-disclosure, (nt)bugtraq, Secunia,
isc.sans.org og de relevante mailinglister fra leverandøren).

> Hvis man er uheldig bliver rettelsen skjult blandt andre rettelser.

Tjah, en rettelse i en komponent kan jo godt medføre en rettelse i en
anden komponent, som igen kan påvirke en tredie komponent. Såvidt jeg
har forstået, har manglende dokumentation på skjulte rettelser skyldtes
Microsofts gamle build-værktøjer som gav dårlige muligheder for at doku-
mentere ændringerne og omfanget af ændringerne.

Hvis man vil følge med i hvilke fejl der rappoteres om Microsoft pro-
dukter, kan man sikkert få en god del tid til at gå med at følge med i
MSDN Product Feedback Center (kræver registrering):

http://lab.msdn.microsoft.com/productfeedback/default.aspx

Det bliver lidt nemmere, når Microsoft laver en webservice som stiller
et kategoriseret RSS-feed til rådighed:

http://lab.msdn.microsoft.com/productfeedback/viewFeedback.aspx?feedbackid=941998a4-5229-4fed-9fe6-a1dcbde19f05

--
"The problem with the IBM keyboards I have is that when you use them to
beat lusers, the caps come off the keys. No real damage, but still a
nuisance." -- Martijn Berlage

---

On 2004-07-06, Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> Jeg tror det er bevidst at beskrivelsen af problemet på windowsupdate
> er så lidt konkret som den er, da de fleste brugere er ligeglade og de
> fleste teknikere sandsynligvis ved hvordan de skal finde de informati-
> oner de har brug for (full-disclosure, (nt)bugtraq, Secunia,
> isc.sans.org og de relevante mailinglister fra leverandøren).

Dette er forudsat at personen der har fundet hullet ikke har
"mundkurv" på, eller at personen gider at offentlige gøre fejlen.

>> Hvis man er uheldig bliver rettelsen skjult blandt andre rettelser.
>
> Tjah, en rettelse i en komponent kan jo godt medføre en rettelse i en
> anden komponent, som igen kan påvirke en tredie komponent. Såvidt jeg
> har forstået, har manglende dokumentation på skjulte rettelser skyldtes
> Microsofts gamle build-værktøjer som gav dårlige muligheder for at doku-
> mentere ændringerne og omfanget af ændringerne.

Lyder som en dårlig forklaring!

Som jeg læser det har de ikke styr på noget så simpelt som
hvad en rettelse indeholder, hvordan kan man så fortage rettelser
i et system, hvis man ikke hvad der er rettet?

Men på den anden side, vil det jo forklare den "idioti" man ser
i deres fejlrettelser.

Det virker som de fleste fejl ikke bliver rettet, men kun
bliver forhindret. Forhindringen kan så omgåes ved at bruge
en anden metode, fx ved at bruge unicode.

> Hvis man vil følge med i hvilke fejl der rappoteres om Microsoft pro-
> dukter, kan man sikkert få en god del tid til at gå med at følge med i
> MSDN Product Feedback Center (kræver registrering):
>
> http://lab.msdn.microsoft.com/productfeedback/default.aspx
>
> Det bliver lidt nemmere, når Microsoft laver en webservice som stiller
> et kategoriseret RSS-feed til rådighed:
>
> http://lab.msdn.microsoft.com/productfeedback/viewFeedback.aspx?feedbackid=941998a4-5229-4fed-9fe6-a1dcbde19f05

Dette giver mulighed for at finde rapporteret fejl, som ikke behøver at
være fejl der resultere i rettelser. Endvidere vil disse rapporteringer
typisk indeholde en reproducering som er begrænset til fejl-finderes
problemstilling, og således ikke give det fulde billed af hvordan fejlen kan
udnyttes.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Christian E. Lysel skrev:

> Peder Vendelbo Mikkelsen wrote:
>> Tjah, en rettelse i en komponent kan jo godt medføre en rettelse i
>> en anden komponent, som igen kan påvirke en tredie komponent. Såvidt
>> jeg har forstået, har manglende dokumentation på skjulte rettelser
>> skyldtes Microsofts gamle build-værktøjer som gav dårlige muligheder
>> for at dokumentere ændringerne og omfanget af ændringerne.

> Lyder som en dårlig forklaring!

Jeg beklager.

Det jeg skrev, er baseret i hvad jeg har læst i diverse MS-ansatte web-
logs og i diverse interviews med MS-ansatte. Der er selvfølgelig risiko-
en for at jeg er nået til de forkerte konklusioner.

> Som jeg læser det har de ikke styr på noget så simpelt som hvad en
> rettelse indeholder, hvordan kan man så fortage rettelser i et system,
> hvis man ikke hvad der er rettet?

Spørg eventuelt en person som kender til MSs interne procedurer og har
adgang til de interne værktøjer. Her er en udmærket liste med URLs til
MS-ansattes weblogs (hvor man som regel kan finde kontaktoplysninger):

http://www.microsoft-watch.com/article2/0,1995,933657,00.asp

>> Det bliver lidt nemmere, når Microsoft laver en webservice som
>> stiller et kategoriseret RSS-feed til rådighed:

>> http://lab.msdn.microsoft.com/productfeedback/viewFeedback.aspx?
>> feedbackid=941998a4-5229-4fed-9fe6-a1dcbde19f05

> Dette giver mulighed for at finde rapporteret fejl, som ikke
> behøver at være fejl der resultere i rettelser.

Men, du har en respons fra MS for hvorfor fejlen ikke medfører en ret-
telse og har mulighed for at indgå en debat med udviklerne omkring fej-
len.

> Endvidere vil disse rapporteringer typisk indeholde en reproducering
> som er begrænset til fejl-finderes problemstilling, og således ikke
> give det fulde billed af hvordan fejlen kan udnyttes.

Lav din egen rapportering ud fra din egen problemstilling. Hvis ikke en
leverandør kender din problemstilling, kan han jo dårligt fejlrette ud
fra den.

---

On 2004-07-07, Peder Vendelbo Mikkelsen <pedervm@myrealbox.com> wrote:
> Men, du har en respons fra MS for hvorfor fejlen ikke medfører en ret-
> telse og har mulighed for at indgå en debat med udviklerne omkring fej-
> len.

Ok.

>> Endvidere vil disse rapporteringer typisk indeholde en reproducering
>> som er begrænset til fejl-finderes problemstilling, og således ikke
>> give det fulde billed af hvordan fejlen kan udnyttes.
>
> Lav din egen rapportering ud fra din egen problemstilling. Hvis ikke en
> leverandør kender din problemstilling, kan han jo dårligt fejlrette ud
> fra den.

Jeg antager nok for meget... specielt at en udvikler der sidder med kildeteksten
foran sig kan se flere fejl i fejlrapporteret kode, end en bruger der ikke
sidder med kildeteksten, men blot sidder med den oversatte applikation.


Jeg føler at flere fejlrettelser, blot er lapninger af et symtom på
en fejl.


--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse

> Som jeg læser det har de ikke styr på noget så simpelt som
> hvad en rettelse indeholder, hvordan kan man så fortage rettelser
> i et system, hvis man ikke hvad der er rettet?

Et lille gratis program kan måske løfte sløret:

http://majorgeeks.com/download4229.html

Mvh John

---

On 2004-07-10, John <nogen@pladderballe.ok> wrote:
>> Som jeg læser det har de ikke styr på noget så simpelt som
>> hvad en rettelse indeholder, hvordan kan man så fortage rettelser
>> i et system, hvis man ikke hvad der er rettet?
>
> Et lille gratis program kan måske løfte sløret:
>
> http://majorgeeks.com/download4229.html

Det løfter kun sløret for hvilke filer der der er indeholdt
i en rettelse, ikke hvad rettelsen indeholder for applikationen.

En gennemgang af filegenskaber ville også kunne give samme billed.


Den eneste der kan løfte sløret for hvad en rettelse indeholder,
er den som har fortaget rettelsen...men angiveligt er der ikke
styr på hvad de selv fortager sig.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/