Gepubliceerd: Vrijdag 10 juli 2009
Microsoft komt met patches voor de afgelopen week opgedoken zero day-lekken in Internet Explorer. In totaal verschijnen er zes patches op de aankomende Patch Tuesday.
Toon volledig artikel
Bij deze kudos voor Microsoft.
Er zullen ongetwijfeld mensen zijn die beweren dat de patches al op de plank lagen te verstoffen, maar toch. Dit doet het goed in de pers. :)
Kudos voor microsoft??
Heb ik iets gemist of zo?
De Windows-producent werd afgelopen week in verlegenheid gebracht toen bleek dat twee bekende lekken in DirectX en Internet Explorer al een tijdje uitgebuit worden. Het bedrijf was al zeker een jaar op de hoogte van deze kritieke lekken, maar kwam pas in actie toen malwaremakers er op waren gedoken.
Zeker het lek in een ActiveX-component in Internet Explorer was al een tijdje bekend, maar een patch brengt Microsoft uit op het moment dat er al exploits zijn waargenomen.
Ze leveren patches niet wanneer lekken bekend zijn maar wanneer ze al uitgebuit worden.
15 maanden geen respons
Volgens onderzoek van techsite The Register heeft Microsoft in april of mei vorig jaar voor het eerst van het lek gehoord. Tot afgelopen maandag had het geen patch beschikbaar. Pas toen hackers de bug daadwerkelijk gingen misbruiken, kwam het bedrijf met een oplossing.
Mike Reavy, directeur van het veiligheidscentrum van Microsoft, zegt dat het bedrijf goede redenen heeft gehad om het verhelpen van het lek uit te stellen. Zo zegt hij dat is gewacht omdat een direct uitgebrachte patch waarschijnlijk te veel features van het Active X-element geblokkeerd zou hebben. “We wisten van tevoren niet of er naast onze informatie ook andere problemen met het lek zouden spelen”, zo zegt hij. “Als we een update uitbrengen die functionaliteit terugbrengt, dan zullen verschillende beheerders deze niet installeren.”
MS verzwijgt ernstig IE lek
Conclusie: bij microsoft is veiligheid ondergeschikt aan features.
En dan echt letterlijk uit het Register artikel
But that's not how Ryan Smith, one of the researchers who discovered the bug, sees things.
"The actual mechanics of the vulnerability aren't standard and that's kind of what took Microsoft so long," he said in an interview. "They were definitely working diligently to fix the problem. It was more the nature of the flaw that took so much time."
Smith, who now works for security firm iDefense, says he's not at liberty to discuss the specifics of the bug, although he says there will be additional details offered during a talk he and two other researchers plan to give later this month at the Black Hat security conference in Las Vegas.
What he can say is that he received regular updates from Microsoft throughout that time.
"They're one of the best vendors to work with," he said. "A lot of vendors won't give you any information. Microsoft was very forthcoming with the details."
Selectief quoten kan ik ook
Some researchers are comparing the DirectShow vulnerability to the one that touched off the Conficker worm, believed to have compromised millions of Windows PCs. Both have the ability to infect a large base of users quickly, they warn.
A year to investigate a bug that later turns out to be easily exploitable seems like a long time to us. These attacks have been under way since early June, according to security experts. Had the company been able to push out a fix during its regular patch cycle, it would have prevented the exploitation of untold numbers of Windows users who did nothing more than browse to the wrong website.
Het gaat niet om het quoten maar om jouw reactie waarin je suggereerde dat er 15 maanden geen response was terwijl de ontdekker van de bug juist expliceitaangeeft dat er gedurende de tijd regelmatig contact was.
"They're one of the best vendors to work with," he said. "A lot of vendors won't give you any information. Microsoft was very forthcoming with the details."
Slijm, slijm, kwijl, kwijl.... staat zeker ook op de loonlijst van MS...
Feit blijft dat het MS meer dan een jaar gekost heeft om met een oplossing te komen. Als het echt niet sneller kon dan is dat eens te meer een bewijs dat het bagger-programmatuur is.
Lapmiddelen Windows 1 en Windows 3 gelden ook voor de nieuwere versies van het besturingssysteem
Vunerability 3 is niet aanwezig op Vista en windows server 2008. Alleen vunerability 1 vormt daarop dus eeen risico.
Het staat gewoon vreemd in het webwereld artikel.
Ik kan ook een security bulletin lezen en dan staat er gewoon dat Vista en Windows server 2008 maar door 1 van de 3 vunerabilities die worden gepatched worden geraakt.
Het webwereld artikel wekt de suggestie dat dat anders is.
Met name Windows XP is dus kwetsbaar voor alledrie de kritische vunerabilities.
Met name Windows XP is dus kwetsbaar voor alledrie de kritische vunerabilities.
En microsoft koos er voor om argeloze windowsgebruikers meer dan een jaar lang bloot te stellen aan besmettingen, alleen maar om bepaalde active-x features niet te hoeven opofferen.
Als we nou eens even aannemen dat het echt zo lang heeft geduurd om de patch te maken en testen. Dat wordt tenslotte ook min of meer bevestigd door Ryan Smith. Wat had Microsoft dan volgens jou (anders) moeten doen ?
Als we nou eens even aannemen dat het echt zo lang heeft geduurd om de patch te maken en testen.
De reden dat het zo lang geduurd heeft is omdat ze geen (active-x) functionaliteit wilden opofferen. Dat is wat ik ze kwalijk neem, veiligheid onderschikt maken aan functionaliteit zonder de gebruikers te informeren. Het onder de pet proberen te houden van informatie die belangrijk is voor gebruikers.
Daarnaast hadden ze een tijdelijke, vrijwillige patch kunnen maken die het lek dicht tot er een definitieve patch is die de functionaliteit niet aantast.
Het onder de pet proberen te houden van informatie die belangrijk is voor gebruikers.
Je hebt het over de geheime updates van Chrome?
Of had je daar ineens een andere mening?
Je hebt het over de geheime updates van Chrome?
Of had je daar ineens een andere mening?
Ik merk dat je veel geleerd hebt van dosprompt. Zodra je geen argumenten meer hebt probeer je de discussie om te leiden naar een ander onderwerp.
De fouten van microsoft bagataliseren door te wijzen naar anderen.
Er is nogal een verschil tussen die twee. Google voert de updates welliswaar stilletjes uit maar voorkomt daarmee wel dat gebruikers slachtoffer worden van malware.
Microsoft voert de noodzakelijke updates stilletjes niet uit waardoor veel windows-gebruikers op malware getrakteerd worden.
Ik wijs vooral op je selectieve verontwaardiging telkens weer ;)
Los daarvan blijft het knap hoe Dosprompt hier ondanks zeer onfatsoenlijke persoonsgerichte aanvallen over het algemeen heel keurig blijft. Als de argumenten op zijn dan speelt men graag op de persoon, dat is verwerperlijk.
Vergelijken met een soortgelijk probleem bij een andere fabrikant is niet off topic noch afleidend. In een forum doe je dat.
Persoonlijke aanvallen en pure laster en beledigingen horen daar niet bij. Het niet accepteren van andersmans mening drijft zaken uiteen en gaat steeds verder polariseren. Vooroordelen en minnars sturen de discussie hier.
Dus probeer je op het inhoudelijke topic te richten en laat al die persoonlijke aanvallen achterwege.
En ja splinter en balk verhaal heb ik al vaak aangehaald en daar kun je nu ook mee komen maar dan begrijp je de situatie dus nog steeds niet.
Je hebt het over de geheime updates van Chrome?
Dat is al weken geen issue meer. Die geheime updates is allang van aangetoond dat je die eenvoudig uit kan zetten. Ik mis ook de link tussen updates die niet uitgeleverd worden en geheime updates die wel uitgeleverd worden.
Ik heb op zich wel begrip voor de mensen die ervan balen dat ze geen keuze hebben gehad, of ze wel of niet functionaliteit wilden inleveren voor veiligheid. Aan de andere kant neem ik aan dat Microsoft onderzoek heeft gedaan naar de materie en dat daar uitkwam dat er meer mensen tegen dan voor zouden zijn. Het toch uitrollen van de patches heeft dan tot gevolg dat crackers sneller hun sut kunnen ontwikkelen, waardoor de mensen die de patch niet kunnen uitrollen in de knel komen.
In deze situatie geldt denk ik de regel: Damned if you do, damned if you don't.
Dit is wel uitgaande van het gegeven dat Microsoft, vanaf het moment dat het lek bekend werd, actief heeft gewerkt aan een oplossing.
Het toch uitrollen van de patches heeft dan tot gevolg dat crackers sneller hun sut kunnen ontwikkelen, waardoor de mensen die de patch niet kunnen uitrollen in de knel komen.
Jij gaat er nu vanuit dat die lekken nog niet werden misbruikt. Waar baseer je dat op?
Uit de artikelen blijkt dat microsoft pas met een patch kwam nadat windowsgebruikers de dupe werden en lang nadat microsoft op de hoogte was.
Conclusie: eerst moet het lek misbruikt worden voordat microsoft met een patch komt.
Jij gaat er nu vanuit dat die lekken nog niet werden misbruikt. Waar baseer je dat op?
Zolang ik geen nieuws lees dat de lekken misbruikt worden, ga ik er van uit dat de lekken niet op grote schaal worden misbruikt. Als ik zelfs daaraan moet twijfelen, dan kan ik beter paranoïde worden.
Ik ben met je eens dat Microsoft eerder met een patch had moeten komen, maar ik weet niet zeker of het gemakzucht was of overmacht dat het te laat komt.
Zolang ik geen nieuws lees dat de lekken misbruikt worden, ga ik er van uit dat de lekken niet op grote schaal worden misbruikt.
Dus lekken die (nog) niet op grote schaal worden uitgebuit hoeven niet gepatched te worden?
Die geheime updates is allang van aangetoond dat je die eenvoudig uit kan zetten
Dat is gewoon niet waar. Google levert geen software mee met Chrome om de updates in te stellen. Dan moet je dus maar de local group policy editor gebruiken wat gewoon helemal niets te maken heeft met 'eenvoudig'.
Dat is gewoon niet waar.
Het is gewoon wel waar, alleen wil jij de oplossingen niet accepteren. Geeft niks.
Jij noemede het eenvoudig maar dat is gewoon niet waar.
Het gebruik van een policy editor is echt niet voor gewone geb ruikers bedoeld.
Ach ja, als een krassende plaat gaan we het riedeltje weer door.
Onthouden dat je 'Google Updater' moet downloaden is inderdaad een stuk lastiger dan je 'policy editor' ongein nog een keer spuien. :D
Het zal er wel aan liggen dat 'Google Updater' een te eenvoudige oplossing is. Dan klinkt 'Policy Editor' een stuk enger nietwaar? :)
Nu moet jij zeggen, dat 'Google Updater' niet standaard wordt meegeleverd bij Chrome, okee? En dan antwoord ik dat het niet perfect is, maar dat het wel werkt. En van daaruit kunnen we weer verzanden in vlooien afvangen en schelden. ;)
En natuurlijk niet te vergeten, dit is vrij off-topic.
Onthouden dat je 'Google Updater' moet downloaden is inderdaad een stuk lastiger dan je 'policy editor' ongein nog een keer spuien.
Aangezien 99% van de chrome downloader geen idee heeft dat er zoiets als een Google updater bestaat is dat wel vrij relevant. Er valt niks te onthouden als je de updater niet meegeleverd en je niet weet dat deze bestaat noch is het evident waar je die zou moeten downloaden. Google updater kun je trouwens allee downloaden in het google pack. Ook geen optimale zaak.
in de wereld van Pater K is het downloaden van een extra stuk software dat je moet installeren en configurren iets wat elke gebruiker weet en even doet.
Aangeven dat je daarmee de gemiddelde gebruiker behoorlijk overschat heeft geen zin. Hij denkt dat een doorsnee android gebruiker ook even wat systeem libs kan vervangen met wat opdrachten aan de prompt ( prompt, wa i s dat?)
Begint een beetje op "The world according to Pater K" te lijken ;)
( no pun intended to Robin Williams and John Irving)
Het gemak waarmee jij je mede windowsgebruikers hersendood verklaard is verbluffend. Denk je echt dat een programma downloaden en instellen te moeilijk is voor een Windows gebruiker?
Ik vind het prima. Maar ik denk dat een gebruiker die zich druk maakt over 'geheime updates' wel de capaciteit in de bovenkamer vrij weet te maken om even een programma te downloaden.
Maar goed, als jij de hele Windows gemeenschap als absolute idioten wil neerzetten, ga je gang. Of wilde je gewoon even (zoals je dat zo graag noemt) scoren?
no pun intended to Robin Williams and John Irving
Waarbij ik wil opmerken dat ik het boek nog slechter vond dan de film, want die was na anderhalf uur tenminste afgelopen. ;)
Zero day-gaten IE binnen week gedicht
Tjonge, is er nog een misleidender kop mogelijk?
Zero day gaten zijn lekken die niet bij de de maker bekend zijn; vervolgens wordt gesteld dat het hier om lekken gaat die al anderhalf jaar bij MS bekend zijn en dan ook nog suggereren dat er sprake van een snelle reactie is, ook... Webwereld toch!
Het is ook nooit goed. Als ze de het probleem direct verholpen hadden was er een stuk functionaliteit verloren gegaan wat natuurlijk door een aantal mensen hierboven had worden aangegrepen om MS onder te schoffelen...
Ik denk dat het inderdaad een dilemma is geweest voor Microsoft. En waarschijnlijk hebben ze wel de beste van de twee kwaden gekozen, want een patch die een groot deel van je klanten niet gaat uitrollen is denk ik een nog groter probleem dan een patch die laat wordt uitgerold.
want een patch die een groot deel van je klanten niet gaat uitrollen is denk ik een nog groter probleem dan een patch die laat wordt uitgerold.
Dat lijkt me niet. Ze hadden gebruikers kunnen laten kiezen tussen wel of niet patchen. Nu werden veel argeloze windowsgebruikers slachtoffer vanwege een feature die ze misschien niet eens zouden missen.
Stel jezelf de vraag wat je liever hebt, (tijdelijk) wat functionaliteit inleveren of onderdeel worden van een botnet/voorzien worden van een keylogger/etc.
Ik zie hier een smerige journalistieke truc van Michiel.
Een bron vermelden van een artikel dat hij zelf geschreven heeft.
Dat is een klassiek voorbeeld om geruchten de wereld in te helpen.
Nu ga ik tijfelen aan al zijn reportages.
Wat een zielige bedoening steeds op deze site om over elkaar heen te buitelen, als het over microsoft gaat.
In en in triest, vraag mij wel eens af of dit een kinderforum is.
Ik vond deze observatie op slashdot.org erg interessant onder woorden gebracht. En ook op deze website komt het voor. Hier het begin van zijn opmerking:
"As Microsoft strives to migrate their core technologies from the desktop onto the Web, so too is their propaganda machine migrating from the established press to the informal social web. Microsoft shills are invading social web sites everywhere - in forums, discussion groups, comments to news items, edits to Wikipedia, manipulation of search engines, comments to blogs - posing as innocent participants to promote their agenda and counter wide spread complaints about their shady marketing practises. ..."
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
