Windows krijgt vanavond DigiNotar-update

Vanavond komt de update die DigiNotar-certificaten in de ban doet op Windows. Voor Nederland wordt die patch niet automatisch doorgegeven, maar handmatig kan het wel.

Microsoft Nederland zet vanavond een stappenplan online op zijn website waarmee beheerders en eindgebruikers de update voor Windows zelf kunnen installeren. "Op nadrukkelijk verzoek van de Nederlandse overheid heeft Microsoft besloten om voor Nederland de geplande update niet automatisch uit te voeren zodat overheden, organisaties en bedrijven de tijd hebben om de certificaten te vervangen", meldt het bedrijf nu aan de pers.

Weer niet XP en 2003
Navraag van Webwereld leert dat de vanavond uitkomende update niet voor Windows XP​ en Server 2003 is. Deze twee oudere, en nog altijd veelgebruikte, Windows-versies lopen ook risico door DigiNotar-gate. Maar Microsoft laat die twee besturingssystemen vooralsnog liggen wat betreft patchen.

XP en Server 2003 zijn al genegeerd met de gedeeltelijke ban op certificaten van de gehackte verstrekker. Die update van vorige week maandag is alleen voor Windows Vista, 7, Server 2008 en Server 2008 R2. Hetzelfde geldt voor de bredere update die vanavond uitkomt. De exacte timing daarvan is nog onbekend.

Statische certificatenlijst
Het security response-team van Microsoft meldt dat XP en Server 2003 een ander mechanisme hebben voor updates, ook wat beveiligingscertificaten betreft. "Deze versies van Windows vertrouwen op een statische lijst van vertrouwde root-certificaatautoriteiten. Deze lijst wordt bijgewerkt via de non-security update 'Update for Root Certificates (KB 931125)."

Het Nederlandse DigiNotar stond oorspronkelijk niet in die lijst, maar is in november 2008 wel toegevoegd. Beheerders en gebruikers die toen - of sindsdien - die update hebben ge´nstalleerd, hebben DigiNotar-certificaten dus wel als vertrouwd geaccepteerd op hun computers.

"Als je die update nooit hebt ge´nstalleerd, ben je niet kwetsbaar voor certificaten die door hen [DigiNotar - red] zijn uitgegeven", schrijft Jonathan Ness van Microsofts security response-team. Voor computers waar dit wel het geval is, verwijst hij naar de stappen verderop in de gisteravond nog bijgewerkte blogpost.

Ook zonder WSUS
Overigens is het voor beheerders al geruime tijd mogelijk om updates - kritieke en gewone - voor Microsoft-software tegen te houden. Het Amerikaanse bedrijf biedt daarvoor zijn gratis Windows Server Update Services (WSUS) waarmee updates zijn te selecteren en dan door te geven aan meerdere Windows-pc's en -servers. Niet alle bedrijven en organisaties gebruiken die beheertool en juist vanwege beveiliging kan het beter zijn om Windows-machines in te stellen op 'automatisch updaten'.