Gepubliceerd: Maandag 29 december 2008
Alle versies van Windows Media Player hebben een beveiligingslek dat door kwaadwillenden net zo misbruikt kan worden als de recente IE-exploit.
Toon volledig artikel
Wanneer leren de heren onderzoekers nu eens om niet direct hun waffel open te trekken? >:(
Ik weet dat security by obscurity niet werkt, maar 'veiligheid, door lekken direct aan de grote klok te hangen' worden we ook niet echt beter van.
Het zou niet lang meer duren voordat er exploits ontwikkeld worden die vergelijkbaar zijn met de rondzwervende exploits voor het IE-lek.
Al helemaal niet als de site zelf al een POC levert. =P
Het is volgens mij zoals ik ook al eens eerder heb gezegd
Inmiddels is de security industry zelf de grootste bron geworden van exploit code voor malware verspreiding.
Zij houden in essentie zichzelf in stand.
Zij houden in essentie zichzelf in stand.
Hoewel ik het in grote lijnen wel met je eens ben, slaat die laatste regel natuurlijk nergens op. Dit soort bedrijven bestaat bij de gratie van gaten in software. Die gaten maken ze niet, die vinden ze.
Als je jezelf in stand houdt, dan creëer je een probleem om het vervolgens zelf ook op te lossen.
Bijna met je eens. Het is ook zo dat het natuurlijk wel een enorme "sport" is om lekken te vinden. En welke lekken halen het nieuws? Microsoft lekken. Ik heb het dan niet over WebWereld, want hier treffen we ook wel Apple of andere (closed en OSS) lekken aan, maar die zie je niet op de voorpagina van de Telegraaf. Security bedrijven hebben er dus alle baat bij dat zij de "gewone" media halen. Free publicity is natuurlijk onbetaalbaar!
Ego en geld.
Aan de andere kant weten wij nu dat we geen WMP 11 moeten draaien... ;-)
Hoewel we al wisten dat wanneer IE cq. Trident lek is, er een heleboel Windows potentieel applicaties lek zijn omdat ze Trident gebruiken.
Aan de andere kant weten wij nu dat we geen WMP 11 moeten draaien... ;-)
Of geen bestanden downloaden met die extensie tot het lek gerepareerd is. Ik neem aan de je gewoon je DVDtjes en je MP3tjes zonder risico kunt draaien.
Of geen bestanden downloaden met die extensie
Dat is een gevaarlijke suggestie. Als je een besmette wav hernoemd naar een wmv, heb je nog steeds grote kans dat WMP het bestand opent, herkent en gevoelig is voor de exploit. Er zijn volgens mij geen spelers die controleren of de inhoud klopt met de extensie.
Op Windows MediaPlayer niet meer gebruiken.
Ik gebruik sinds enkele weken MediaMonkey.
Ondersteunt veel meer formaten (alle formaten die ik heb) en is een pak sneller en stabieler.
Ik gebruik sinds enkele weken MediaMonkey.
Ondersteunt veel meer formaten (alle formaten die ik heb) en is een pak sneller
Een pak sneller, dus, Ivan Rebrof klinkt net zoals Michael Jackson of Rene Froger?
Snelheid is totaal onbelangrijk, het gaat erom of het geluid goed wordt afgespeeld op de correcte snelheid en niet 10x sneller dan dat het zou moeten omdat er toenvallen een of andere knakker een sneller algoritme heeft gevonden om dezelfde data af te spelen in een veel kortere tijd.
Niet iedereen vind het leuk dat Meat Loaf klinkt als Alvin & the Chipmunks...
Een pak sneller, dus, Ivan Rebrof klinkt net zoals Michael Jackson of Rene Froger?
Flauw, maar met alleen die 1e zin was het een goede grap geweest ;)
Maar, als je ooit iTunes op Windows hebt gebruikt weet je dat snelheid best van belang kan zijn. B.v. een slimmere en dus snellere manier om alle media op mijn machine weer te geven en te groeperen kan behoorlijk handig zijn als je zoals ik meer dan 300 CD's naar digitale losse nummers hebt omgezet...
En toch moet het kenbaar gemaakt worden. Mensen moeten gewoon weten dat ms er keer op keer een puinhoop van maakt. Iedere keer een product op de markt zetten dat daar eigenlijk niet klaar voor is. Wordt eens tijd dat ze daar eens een goed (security)testteam opzetten. Na windows 2000 is het alleen maar bergafwaarts gegaan. Daarna ben ik linux gaan gebruiken en als ik iets moet doen wat ik nog echt onder windows moet doen dan doe ik dat wel in een virtuele windows machine. Ze hadden gewoon alles (ie, mp, etc.) ook nog gewoon voor win2k moeten compileren, dan had dat denk ik nog op een heel wat bedrijfs pc's gedraaid. Win2k kun je gewoon een paar weken laten draaien zonder te moeten herstarten, omdat het traag wordt of dat je harde schijf continu actief is. WinXp (ik laat vista al helemaal buiten mijn relaas) krijgt ook altijd kuren na ongeveer 5-7 dagen aan te hebben gestaan. Gewoon herstarten en dan gaat het meestal wel weer. Mijn linux machines staan meestal maanden aan zonder te moeten herstarten. Ean als dat moet dan is dat wanneer ik iets met de hardware moet doen... bv grotere hd of andere grafische kaart pluggen.
Laten we nu een stoppen met het naar beneden halen van een product van Microsoft. En laten we nu eens geen reclame maken voor een ander OS dan een Microsoft OS.
Elke keer weer als MS in het nieuws is, zijn er weer mensen die MS een trap na geven, en hun kans schoon zien om een ander OS te promoten.
STOP DAARMEE zou ik zo zeggen. VOEGT niets toe aan de discussie.
Dus wel. Als bv. iedere keer in het nieuws zou zijn dat een bepaald automerk niet door ncap crash-testen zou komen dan zeg je toch ook... 'Koop dan een ander merk!. Maar in dit geval gewoon gratis downloaden. Maar, omdat hier een aantal ms fanboys rondlopen, er in(direct) door betaald worden of er in vastgeroest zitten mag men zeker gewoon niet de vinger op de zere plek leggen.
Ik heb ook jaren ms gebruikt en t/m win2k er eigenlijk naar tevredenheid mee gewerkt, maar toen winxp uitkwam (nog zonder sp) was het gewoon niet stabiel en waren er allerlei hw problemen. Dus heb ik toen mezelf in het diepe gegooid en gezegd: 'Nu wil ik wat anders'. En nu ik er aan gewend ben, wil ik niet meer terug. Je moet inderdaad even een muur over om gewend te raken aan andere software. Ik heb in mijn studie tijd altijd met unix/solaris gewerkt en dat was altijd veilig en stabiel. Dat wilde ik gewoon weer terug. En dat krijg je ook weer als je linux gebruikt.
Het enige wat ik je vraag of je wil stoppen met het reclame maken. Maakt niet uit waarvoor je reclame maakt, we weten nu wel dat je een Linux fan bent, maar om daar nu elke keer weer over te moeten lezen, en als je nu nog wat toevoegt aan je reclameverhaal, maar nee dat doe je ook niet.
Dus nogmaals:
WIL JE ALSJEBLIEFT STOPPEN MET RECLAME MAKEN VOOR LINUX ELKE KEER DAT MS NEGATIEF IN HET NIEUWS IS?????????????
Het enige wat ik je vraag of je wil stoppen met het reclame maken...
Zou je dat hier óók even willen vertellen? :-)
Wanneer leren de heren onderzoekers nu eens om niet direct hun waffel open te trekken?
Waarom richt jij je boosheid op de ontdekkers van het lek?
Ik zou het veel logischer vinden als jij je zou richten op de veroorzaker van het kwaad: Microsoft.
Het is toch te zot voor woorden dat Microsoft een combinatie van producten brengt die tesamen zo lek is als een mandje? Wee degene die er iets over zegt, die krijgt gelijk de wind van voren. Er komt een helboel kabaal en herrie, maar de problemen blijven bestaan en ze komen er nog mee weg ook. Het ene na het andere kritieke lek vliegt ons om de oren. Microsoft is op het gebied van security onderhand te vergelijken met een daaideur crimineel: Het wil maar niet deugen.
Ik ben trouwens benieuwd of het lek ook werkt in het onvolprezen Windows seven. Die worst is ons vandaag ook al voorgehouden en het lijkt erop alsof iedereen er weer in trapt. Weer komt Microsoft met groot kabaal met weer een nieuwe verbeterde Windows versie. Ik snap niet dat er nog mensen zijn die dit telkens weer willen geloven. ik zelf geloof er niets van, ze zullen nooit met een goed en veilig product komen.
Ik heb het gevoel dat de ontdekkers in dit geval onverantwoord hebben gehandeld.
De rest van je geblaat negeer ik liever, want ik geneer me als OSS gebruiker nogal voor je.
Dus iedereen moet zich aan de regels houden en Microsoft mag aanklooien wat het wil?
Zo zit het in de wereld niet in elkaar. Er zijn nu een keer mensen die zich niet aan de regels houden en daarom is het belangrijk dat er veilige computers zijn.
Zoals dat in het wegverkeer is, waar wetgeving ervoor zorgt dat auto's steeds veiliger worden. Onveilige auto's komen gewoon niet op de weg. Zo zou dat eigenlijk ook met computers moeten zijn, omdat ze zo vreselijk belangrijk aan het worden zijn. Dus waarom komt er geen wetgeving waar makers van computerprogrammatuur zich aan moeten houden? Ze mogen dan alleen software verkopen die aan de veiligheidseisen voldoet.
Ze mogen dan alleen software verkopen die aan de veiligheidseisen voldoet.
Interessante gedachte. Volstrekt onpraktisch omdat b.v. lang niet alle software "verkocht wordt", maar wel interessant.
Bij auto's hebben ze dat ingesteld. En ondanks de APK haalt het KLPD nog steeds auto's van de weg die absoluut onveilig zijn. Het idee van l4e is praktisch onhaalbaar omdat je de kwaliteitseisen nauwelijks kan toetsen. Overflow exploits vind je, volgens mij, alleen door heel lang te testen.
En ondanks de APK haalt het KLPD nog steeds auto's van de weg die absoluut onveilig zijn.
Natuurlij, omdat er altijd mensen zullen zijn die een loopje met de regels nemen. Toch mogen we blij zijn met de APK, omdat er daardoor veel minder onveilige auto's rond rijden. Dat valt toch niet te ontkennen.
Het idee van l4e is praktisch onhaalbaar omdat je de kwaliteitseisen nauwelijks kan toetsen.
Dat weet ik nog niet zo zeker. Je zou bijvoorbeeld een begin kunnen maken met kaderwetgeving. In die wet leg je dan bijvoorbeeld vast dat het hele bouwproces toetsbaar moet zijn, zodat je zaken als architectuur en ontwerp kunt beoordelen.
Een kwaliteitseis zou kunnen zijn:
- Dat user programma's in user space draaien en niet zomaar buiten user space werken;
- Dat het OS garandeert dat processen van elkaar zijn gescheiden;
- Dat processen (programma's) alleen via formele interfaces met elkaar communiceren.
Net zo goed als de remproef voor auto's kun je beginnen met een eenvoudige set aan testgevallen om de veiligheid te testen. Ik geloof er wel in, zeker als je begint met een inzichtelijk ontwerp dat je toets aan bovenomschreven eisen.
Stap 1.
Nou ik ben niet zo'n fan van oveheidsinstellingen, maar hier zou ik een instituutje voor op willen zetten.
Stap 2.
In de wet is geregeld dat de broncode van alle binaire software die hier Nederland gangbaar is (vertrouwelijk) toegankelijk is voor dit instituut. De leverancier die hier in Nederland wil verkopen moet hier gewoon aan voldoen, anders is er geen handel.
Stap 3.
De specificatie van bestandsformaten zijn gedeponeerd.
Stap 4.
Alle interfaces van programmatuur en OS zijn gedeponeerd. Je wilt bijvoorbeeld niet langer hebben dat je met een Word bestand een IE exploit kunt gebruiken, terwijl je IE niet gebruikt.
Stap 5.
Ontwerp en architectuur zijn gedeponeerd.
Je kunt de regeling laten gelden voor zowel closed als open source, maar open source is van nature compliant.
Als je hier een paar slimme jongens op zet, dan krijgen die vast interessante zaken boven water. Je kunt er ook over nadenken om het op Europees niveau aan te pakken.
En jij denkt werkelijk dat bedrijven daarmee akkoord gaan? Zo naïef ben je toch niet echt? Dan maar geen handel naar Nederland. En daarbij, als het een bedrijf zelf niet lukt om oneffenheden te vinden, dan zal het zo'n instituutje wel lukken om het uit honderden programma's te halen?
Er kijken vele mensen naar OSS, en ook daar worden gaten gevonden in productieversies. Je idee klinkt leuk, maar het is absoluut niet haalbaar.
Ik heb het gevoel dat de ontdekkers in dit geval onverantwoord hebben gehandeld.
Dat weet je helemaal niet. Zoals hierboven al gezegd, de kans is aanwezig dat dit weken of maanden geleden gemeld is maar men er niks mee doet. Dan geldt: een gewaarschuwd mens telt voor 2!
De rest van je geblaat negeer ik liever, want ik geneer me als OSS gebruiker nogal voor je.
Wat een onzin zeg. Ik ben zelf zeer fervent OSS gebruiker en ik geneer me helemaal niet voor iemand anders z'n mening. Als-ie zou schrijven "zie je nauw wel, M$ windhoos is teh suxx0r", ja, DAN zou ik me plaatsvervangend schamen ;) De conclusie echter dat MS toch wel een ZEER slechte track-record op het gebied van security heeft, en iedereen desondanks de marketingpraat dat het NU toch ECHT beter wordt gelooft, vind ik niet zo'n vreemde.
Dat weet je helemaal niet.
Daarom schrijf ik ook, 'Ik heb het gevoel', anders had ik wel gezegd dat ik het weet. Ik vind het erg opvallend dat zo kort na een foutieve publicatie weer een vergelijkbaar geval 'zo opeens' boven komt. Ik denkt dat dit clubje bang was dat anderen de eer zouden willen opstrijken.
Wat een onzin zeg.
Mijn mening is volledig Open Source. Doe ermee wat je wil. Het geeft je dus de vrijheid om het ermee oneens te zijn. ;)
Ik vind dat een aantal OSSers hier zwaar doorslaan in hun bekeringsdrang. Daarmee creëren ze naar mijn mening meer weerstand dan dat ze goed doen. Voor mij begint het een beetje de vorm van de 'avondmaaltijd' telefoonterreur aan te nemen.
Je gevoel is correct.
Van het microsoft security response center blog:
The security researcher making the initial report didn’t contact us or work with us directly but instead posted the report along with proof of concept code to a public mailing list. After that report, other organizations picked the report up and claimed that the issue was a code execution vulnerability in Windows Media Player.
Those claims are false. We’ve found no possibility for code execution in this issue. Yes, the proof of concept code does trigger a crash of Windows Media player, but the application can be restarted right away and doesn’t affect the rest of the system
Het nadeel hiervan is dat er toch weer wmp libraries/onderdelen gebruikt worden met als gevolg dezelfde critieke zaken. Neem dan vlc player. Die is ook nog eens platform onafhankelijk.
Ik gebruik MediaMonkey voor audiofiles. (een soort van iTunes, maar dan beter)
Voor videofiles gebruik ik ZoomPlayer. (Kan niets afspelen en moet voor elk soort bestand een codec downloaden. Eens gedownd, kan hij toch alles afspelen (zelfs iets meer dan vlc).)
Mediamonkey heb ik ook een hele tijd gebruikt. Helaas is het ook een beetje 'bloated' geraakt. ZoomPlayer kan ik weinig over zeggen daar ik het niet ken. Heb even snel gekeken op de inmatrix pagina, maar kon daar zo snel niet vinden of het ook een browser (firefox) plugin heeft en of het ook een goede webstream video player is.
en als je nu nog wat toevoegt aan je reclameverhaal, maar nee dat doe je ook niet.
En wat is jouw toegevoegde waarde in deze discussie dan?
Schreeuwen doe je maar thuis.
Dat jij alles anders dan Windows als reclame ziet is jouw probleem. Ik zie het als nuttige adviezen om veel ellende te voorkomen met je computer/OS combinatie.
Het feit dat WMP9 i.c.m. XP/SP2 lek is en WMP11 I.C.M. XP/SP3 ook lek is doet mij vermoeden dat het onderliggende OS dan ook kwetsbaar is. Ben je dan wel helemaal van alle ellende af met een andere player vraag ik me af.
Hehe, eindelijk iemand die het begrijpt. Het OS moet je eigenlijk scheiden van de grafische schil. Dat heeft windows gewoon niet goed voor elkaar. Het gevolg is inderdaad dat een lek programma het hele OS lek maakt. Een ander eigenlijk even groot nadeel is dat zo'n programma bij een crash ook het OS mee aan de grond kan trekken. De windows manager en al zeker de desktop manager moeten gescheiden worden van het eigenlijke OS. Blijkbaar heeft de applicatie wmp zijn poten goed vast zitten in het eigenlijke OS. Geen juiste architectuur keuze daarom van ms.
Niet om een of ander hoor, maar bij elk OS en elk software pakket komen er bijna wekelijks updates uit met dezelfde melding, alleen omdat het MS is word dit aan de grote klok gehangen. Bovendien zijn er elk maand updates met exact dezelfde melding er onder van MS.
En waarom deze mensen zo hard schreeuwen? Om het grote publiek bang te maken en hun te verleiden om allerlei onnodig software op hun pc te installeren. Kijk eens hoe slecht en gevraarlijk MS is, maar wij kunnen u beschermen. Niks anders dan op klopperij, heet gebakken lucht en verkoop techniek (waar MS zo van word beschuldigd). MS patch meestal nog wel, er zijn anderen die daar lak aan hebben.
Ik heb geen wekelijks updates.
Misschien moet je eerst alles testen voor je conclusies trekt die niet kloppen.
Dan komen we altijd op de eeuwenoude (OS eeuwen) discussie wat er veiliger is, wat de lekken wel bewijzen is dat het Windows platform lekken behelst die uit extra software tot diep in het systeem doordringen. Het hoeft niet eens MS software te zijn, Adobe, Real, Winamp en zo voort bewijzen dat er structureel iets moeilijk te beveiligen is in Windows.
Microsoft is de grootste, schrijft voor de massa en dient hier ook zeer verantwoordelijk mee om te gaan, en dat is iets wat je nergens tegenkomt, pogingen misschien wel, maar echt iets oplossen is (nog) niet gebeurd.
Het is niet dat als je het doodzwijgt het ook weg is, MS moet deze kritiek blijven horen tot ze er daadwerkelijk eens wat aan doet.
Zojuist een reaktie van Microsoft op : blogs.technet.c...dia-player.aspx
Groeten,
Ruud de Jonge
Microsoft Nederland
Ben benieuwd wat de onderzoekers erop zeggen, MS heeft dus zelf niet kunnen aantonen dat wat de "vinders" aangeven waar is en vragen in mijn optiek door deze reactie aan de "vinders" of MS in haar onderzoek wat gemist heeft.
Nu ben ik OSS fan maar blijkbaar hebben de "vinders" hier 2 dingen fout gedaan, Wederom eerst het uitbrengen van een possible exploit naar de media voordat de producent van de bug :) er onderzoek naar heeft kunnen doen. en ten tweede naar het zich laat aanzien een bug in plaats van een exploit. Nu hoop ik niet vaan dat MS gelijk heeft maar in deze hoop ik het wel.
Laat de "vinders" maar eens publiek op hun bek gaan zodat ze gedegen onderzoek afleveren op da manier waar de hele wereld (behalve dan misschien wat script-kiddies_) om vraagt. Gun de producenten van bugs tijd voor onderzoek en patching voordat je POCs naar buiten brengt
Het is triest dat mensen proberen je bovenstaande reactie weg te minnen .
Het lijkt me namelijk nogal relevant dat Micrsoft zelf na onderzoek aangeeft dat het het valse claim betreft en dat het niet gaat om een kritiek lek waarbij exploit code kan uitgevoerd.
Blijkbaar zijn de *nix fanboy zo fanatiek dat alleen al het feit dat iemand van MS hierboven reageert hen triggert om hier negatief te modereren ook al gaat het juist om zeer relavante info tav het artikel.
Ik verzoek webwereld om het artikel te updaten en de link uit de reactie van Ruud de Jongen toe te voegen.
Overigens vind ik het verzoek aan Webwereld om het nieuws aan te passen over the top, want ze hebben de onzin van meneer Jones destijds ook niet aangepast. Zo middelt het elkaar weer mooi uit.
Het is alleen onzin voor degenen die geen enkel zinnig beeld van het patchen van vunerabiliteis hebben.
Interessant, kun je dat ook onderbouwen, ik kan Peter's stelling wel onderbouwen, even een linkje zoeken (5 minuten werk om jouw onzin te weerleggen)
Alweer zijn alle security-patches, behalve twee aangetroffen en aangemeld door mensen van buitenaf.
www.microsoft.c...n/ms08-feb.mspx
Hoe zou dat toch komen?
Zou Microsoft niet alle security-patches aan het publiek bekend maken soms?
Want het blijft gek, op een heel scala van producten in allerlei versies (Office, Windows, Visual Basic, Internet Explorer, IIS, Works, Works Suite, Active Directory, ADAM) honderden miljoenen regels code, slechts elf lekken, en dan ook nog eens bijna allemaal door mensen buiten Microsoft ontdekt?
Wie dat gelooft kan ik niet meer serieus nemen.
OK, ik kan het begrijpen, waarom zou je de vuile was buiten hangen, ik vind het ook niet zo erg.
Maar wat ik wel erg vind is dat Secunia, en andere goochemerds, en Ruud De Jonge ook laatst, en Jones, dit soort statistiek gebruiken om aan te tonen hoe weinig er mis gaat in Microsoft software, end at is zonder meer kwalijk. Men noemt dit soort opzettelijk negeren van de volledige waarheid, ook wel een vorm van liegen
Je doet net alsof dit bij oss anders is.
Ik heb even voor de gein de laatste security fixes van firefox erbij genomen
www.mozilla.org...ml#firefox3.0.5
8 fixes op vunerabilities waarvan precies 1 vunerability door de Mozilla developers zelf is ingebracht en 7 door security rearchers en een perl developer.
Wat jij onzin noemt is dus een afspiegeling van de normale praktijk.
8 fixes op vunerabilities waarvan precies 1 vunerability door de Mozilla developers zelf is ingebracht en 7 door security rearchers en een perl developer.
Volgens opgave van Microsoft worden ALLE bugs, of 90% door buitenstaanders aangebracht, Microsoft vind zelf praktisch geen bugs in hun code. Dit vind ik uitermate zorgelijk. Zeker omdat dit gaat om een bedrijf van 90.000 mensen
Dit is niet vergelijkbaar bij de situatie bij Mozilla, dat een open source community is en de bugs door de community worden gevonden, bijvoorbeeld Google-ontwikkelaars werken aan Mozilla en staan (niet toevallig) ook in het rijtje wat jij noemt.
Een verder verschil is dat bij Mozilla alle bugs tot op code niveau inzichtelijk zijn, en dat het aantal bugs overeenkomt met een realistische schatting naar aanleiding van de hoeveel code.
We zullen eens kijken naar die 8 bugs van Mozilla
1) Mozilla security researcher moz_bug_r_a4
2) Mozilla security researcher moz_bug_r_a4
3) Kojima Hajime
4) Perl developer Chip Salzenberg,
5) Google security researcher Chris Evans
6) Marius Schilder of Google Security
7) Security researcher His
8) Mozilla developers identified.....
Op een keer kom ik op 5 researchers van Google of Mozilla, en 3 waarvan de relatie tot Mozilla niet aantoonbaar is in de info, een heel ander beeld dan jij schept.
Volkomen onvergelijkbaar met de situatie bij Microsoft.
Microsoft heeft op bijna een miljard regels beheerde code slechts een 50 tot 100 bugs per jaar te rapporteren. Dat is zorgwekkend weinig, zeker als die ook nog bijna allemaal door buitenstaanders worden aangetroffen. Maar goed, we begrijpen allemaal wat er werkelijk aan de hand is, ze publiceren alleen een probleem als ze er verder niet om heen kunnen, en het is dus ook erg zwak van Jones en de Jonge en jou dat jullie dit soort kinderachtigheden tot waarheid gaan verheffen.
Ikzelf zou niet veel vertrouwen hebben in een bedrijf dat geheimhouding naar de klant toe als speerpuntbeleid heeft, ik zou niet graag die klant zijn.
Natuurlijk zijn er meer bedrijven die zo handelen, maar dat maakt de situatie niet minder ernstig, ook omdat 90% van de desktops op Windows draait.
Microsoft vind zelf praktisch geen bugs in hun code. Dit vind ik uitermate zorgelijk.
Het is ook onjuist. Als je ook maar even het blog van het security research team had gelezen dan had je gezien dat juist de bug waar het artikel over gaat al door Microsoft intern was gevonden en ook al intern opgelost en zelfs in 1 windows versie w2k3 server SP2 al is gereleased. Blijkbaar is echter intern bij Micrsoft geconstateerd dat deze vunerability geen groot risico vormt voor desktop gebruikers (het is beperkt tot een DoS vunerability) en zal deze waarschijnjlijk pas bij een servicepack voor de desktop client versies worden meegenomen.
Verder is moz_bug_r_a4@yahoo.com een handle voor een persoon of zelfs voor een organisatie die security lekken in Mozilla software onderzoekt en als zodanig een Mozilla security researcher maar dat is niet hetzelfde als een interne Mozilla medewerker die namelijk gewoon een Mozilla emailadres hebben. De ene advisory waarbij staat "Mozilla developers" is dus ook echt de enige waarbij in bugzilla de melders van de vunerability een Mozilla email adres hebben. De rest is allemaal externe partij gezien vanuit Mozilla. Het is wel degelijjk 7 extern gerapporteerde vunerability en 1 intern vanuit Mozilla.
Ondanks jou gedraai is de situatie dus juist wel heel vergelijkbaar met de situatie bij Microsoft
Ondanks jou gedraai is de situatie dus juist wel heel vergelijkbaar met de situatie bij Microsoft
Lees dit zinnetje kritisch en vraag je af wie er draait. Onderstaande situaties noem jij vergelijkbaar.
Situatie1:
Bijna 1 miljard regels code, closed source, 90.000 personeelsleden, 90% van de 100 aangetroffen bugs extern gevonden (1 bug per 10 miljoen regels code gepubliceerd, bijna altijd door externen gevonden, volkomen ongeloofwaardige statistiek)
Situatie 2:
0,1% van die hoeveelheid code, open source, 100 personeelsleden, community, ontwikkelaars vanuit IBM en Google werken eraan, en rapporteren onder eigen email-adres (1 bug per 10.000 regels code gepubliceerd, alkles is controleerbaar, iedere code wijziging, ongeveer industrial avarage)
Geef dat nou gewoon toe dat MS een zootje maakt van zij bugs rapportage, en dat Jeff Jones werkelijk onzin staat te verkopen. iedereen die eenb eetje nadenkt doorziet onmiddellijk het marketing mechanisme, alleen jij blijft marketing sprookjes verkopen alsof het waar gebeurde feitelijkheden zijn.
90% van de security bugs bedoeld je toch zeker.
Er worden duizenden, zo niet tienduizenden bugs gevonden in Microsoft software en deze worden ook met enige regelmatig gepatched maar vaak pas gereleased in servicepacks of upgrades.
In de maandelijkse patchdag zitten eigenlijk voornamelijk security patches en maar heel weinig andere patches. Security vunerabilities zijn er relatief veel minder dan gewone bugs maar worden wel snel gereleased. De tellingen van Jeff Jones tellen ook geen bugs maar alleen security vunerabilities die worden gepatched.
Dat security vunerbilities veel minder vaak voorkomen als gewone bugs is ook niet zo gek want veel vunerabilites waarvoor het nodig is om patches uit te brengen zullen niet in alle code voorkomen.
Zo zal de enorme hoeveelheid software voor aansturing van alle computer hardware niet echt gevoelig zijn voor security lekken omdat deze code nooit met externe bronnen communiceert maar alleen met interne hardware. Security lekken zitten vooral in software componenten die files openen en inlezen of in software componenten die commniceren met gebruikers of met andere computers. Daarom zijn ook veel van de security issues met bijvoorbeeld browsers en bijbehorende filefilters.
Verder heb je een slecht idee van de omvang van Mozilla's product suite. Mozilla heeft zelf bijvoorbeeld aangegeven dat ze voor alleen voor Firefox 3 beta al ruim 2 miljoen regels code hebben aangepast(!).
maar vaak pas gereleased in servicepacks of upgrades
Dat is leuk voor de klanten, dan. Maar verder gek dat je dat weet, want ik lees toch heel duidelijk: Er wordt geen informatie gegeven over niet-beveiligingsupdates die op andere dagen zijn uitgegeven.
(http://www.microsoft.com/belux/technet/nl/security/bulletin/ms08-feb.mspx)
De tellingen van Jeff Jones tellen ook geen bugs maar alleen security vulnerabilities die worden gepatched.
De tellingen van Jeff Jones geven alleen aan wat Microsoft bekend heeft gemaakt. Je kunt er geen peil op trekken omdat je geen flauw idee hebt van wat Microsoft allemaal wel en niet repareert. Dat geef je zelf ook toe, ik citeer:
Je hebt verder geen enkel indicatie over de mate waarin Micrsoft security issues achterhoudt
Een verder verschil is dat bij Mozilla alle bugs tot op code niveau inzichtelijk zijn
Als je ze kan vinden dan
Ook uit FF 3.05 een bugje uit mei 2005 dat na 2,5 jaar is opgelost maar waarvan de bugtrack nog steeds niet publiek is.
https://bugzill...g.cgi?id=295994
Ook uit FF 3.05 een bugje uit mei 2005 dat na 2,5 jaar is opgelost
Volgens mij bestaat 3.0.5 pas enkele maanden, maar dat terzijde
ik zei: tot op code niveau inzichtelijk, je hebt een toon alsof je me tegen spreekt, maar dat doe je niet. iedereen kan een code-diff doen op de source-tree van Firefox. Inzichtelijk betekent niet automatisch laagdrempelig.
daarbij, het topic is een bug in de Microsoft Windows Media Player, ik schreef al eerder (een stukje naar boven) dat het gedrag van andere software-bouwers de leugens van Microsoft niet rechtvaardigen.
Ik laat het hierbij.
Je verhaaltje laat nergens leugens zien van Microsoft.
Dat is een verzinsel van jezelf.
Je geeft slechts aan dat je vermoed dat Microsoft informatie achterhoudt. Dat lijkt me echter niets bijzonders. In het beheer van software maak je altijd keuzes welke issues je gaat oplossen en welke issues je uitstelt of zelfs niet gaat oplossen. Dat is juist verstandig software beheer.
Je hebt verder geen enkel indicatie over de mate waarin Micrsoft security issues achterhoudt en ik heb bovendien al laten zien dat ook andere oss softwarebouwers op een vergelijkbare manier opereren.
Het is heel normaal dat je als software leverancier in het patchen de focus legt bij security issues die worden aangebracht van buitenaf omdat deze potentieel ook de meeste risico's inhouden.
Je geeft slechts aan dat je vermoed dat Microsoft informatie achterhoudt. Dat lijkt me echter niets bijzonders. In het beheer van software maak je altijd keuzes welke issues je gaat oplossen en welke issues je uitstelt of zelfs niet gaat oplossen. Dat is juist verstandig software beheer.
Je hebt verder geen enkel indicatie over de mate waarin Micrsoft security issues achterhoudt en ik heb bovendien al laten zien dat ook andere oss softwarebouwers op een vergelijkbare manier opereren.
Het is heel normaal dat je als software leverancier in het patchen de focus legt bij security issues die worden aangebracht van buitenaf omdat deze potentieel ook de meeste risico's inhouden.
hAl 17-12-2008 11:01
" Closed Source bied deze mogelijkheid door het karakter er van"
Wat heeft dat er in godsnaam mee te maken ?
Een OSS applicatie als Firefox houdt ook gewoon alle kritische bug in hun 'publieke' bug tracking database verborgen. Niks openheid dus.
Lees nu eens een keer écht hAl, niet alleen wanneer het je uitkomt.
Of je bent hier wat anders aan het beargumenteren of je bent in die draad écht aan het trollen geweest. Maar er wordt hetzelfde gezegd.
Volgens mij bestaat 3.0.5 pas enkele maanden, maar dat terzijde
Precies. Mozilla lost daar dus een security issue op dat was gerapporteerd in mei 2005 en die aangebracht was door een externe partij. Dat is bijna zelfs ruim 3 jaar nadat iemand dit security issue heeft ingebracht.
Dat is dus een security issue dat de afgelopen 3 jaar heeft opengestaan.
Het laten openstaan van security issues voor langere tijd is is dus een heel gebruikelijke praktijk.
Gek, eerst zeg je dat je geen informatie hebt, en nu heb je op een keer wel een boel info.
Van Mozilla is dat soort informatie toegankelijk, met alle risico's dat mensen zoals jij drie minieme onbegrepen feitjes aan elkaar plakken en dan tot een omineuze conclusie komen zoals: het "een heel gebruikelijke praktijk" om bij Mozilla security bugs 3 jaar open te laten staan
Ik hoop voor jou dat je inziet wat voor een scheve schaats je hier rijdt.
Een betere illustratie van waarom MS alleen maar bugs in enkele gevallen publiceert kon je niet geven, jouw moddergooien naar de concurrentie geeft dat perfect weer. Zoals de waard is vertrouwt hij zijn gasten.
Blijkbaar zijn de *nix fanboy zo fanatiek dat alleen al het feit dat iemand van MS hierboven reageert hen triggert om hier negatief te modereren ook al gaat het juist om zeer relavante info tav het artikel.
Typisch für ein Feindbild ist, dass im Anderen bzw. Fremden das Böse gesehen wird und diesem negativen Bild kontrastierend ein positives Selbstbild bzw. Freundbild gegenübergestellt wird.
http://de.wikipedia.org/wiki/Feindbild
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
