Microsoft wacht met Flame-beveiliging Windows Update

Microsoft gaat zijn patch-distributiesysteem Windows Update versterken vanwege de certificaatfraude door Flame. Die fortificatie wordt echter niet nu meteen uitgevoerd.

De softwareproducent kondigt het versterken van Windows Update aan in een tweede blogpost over het gebruik van ongeautoriseerde certificaten door Flame. Die superspyware weet zich voor te doen als valide Microsoft-software doordat het is ondertekend met echte, maar valselijk verkregen, beveilingscertificaten van de Windows-maker zelf. Daarmee is ook Windows Update gespoofed zodat Flame kan binnenkomen als legitiem lijkende update van Microsoft.

Stap twee
Na de gisteren uitgebrachte patch onthult Microsoft nu stap twee in zijn aanpak van Flame en de impact daarvan. De Windows-maker wiens certificaten zijn misbruikt, spreekt van een gefaseerde beperking van van het beveiligingsrisico. Het belooft een fortificatie van Windows Update, waarlangs het bedrijf al zijn software voorziet van patches en updates.

Microsoft maakt niet bekend wat voor hardening-maatregelen dat zijn. Bovendien wacht nog even met het doorvoeren van de beloofde versterking. "We voeren deze update [van Windows Update - red.] door volgend op brede ingebruikname van Security Advisory 2718704", blogt directeur Mike Reavey van Microsofts security response center. Die advisory is de patch waarmee het bedrijf de drie misbruikte certificaten en de daarboven hangende CA's (Certificate Authority's) ongeldig maakt.

Patch krijgt voorrang
Reavey legt uit dat het schragen van het update-distributiesysteem de wereldwijde verspreiding van die patch zou verstoren. "We zullen in de nabije toekomst meer informatie geven over de timing van de aanvullende hardening voor Windows Update." Het is niet bekend wat de criteria zijn voor 'brede ingebruikname' en de planning voor zowel de informatieverstrekking als de fortificatie zelf.

Deze patch is voor alle nu ondersteunde Windows-versies: Windows XP met SP3 (service pack 3) tot en met Windows 7 met SP1, en ook de servervarianten Windows Server 2003 SP2 tot en met 2008 R2. De patch geldt voor alle varianten van Microsofts besturingssystemen voor verschillende processors (32-bit, x64, en volledig 64-bit Itanium). Daarnaast geldt het ook nog voor Microsofts mobiele besturingssystemen Windows Mobile (6.x) en Windows Phone (7 en 7.5).