Gepubliceerd: Dinsdag 3 november 2009
Met de laatste beveiligingsupdate sluit Microsoft een periode van zes jaar af waarin het bedrijf maandelijks reparaties uitbracht. Er werden in die periode 745 gaten gerepareerd. "Dat is een teken van
Toon volledig artikel
Ook zou de stijging van het aantal gevonden gaten komen doordat er betaald wordt voor het aanbrengen van een gat.
Wat bedoelen ze hiermee?
Moet ik dit opvatten als de agent die een auto aanhoudt om vervolgens de bestuurder te bekeuren omdat hij daar niet stil mag staan?
Ik denk dat hier bedoeld wordt dat je geld kunt krijgen voor het, bij M$, onder de aandacht brengen van een lek.
onder de aandacht brengen van een lek.
Werkelijk?
Dan ga ik snel ff cashen: In Test, Windows 7 Vulnerable To 8 Out of 10 Viruses
(link naar slashdot)
Je krijgt tipgeld als je MS wijst op een probleem. Een MS-programmeur die bewust een gat in de code maakt krijgt de zak.
Denk ik.
Het aantal kwetsbaarheden in nieuwe programma's is gedaald, en de kwetsbaarheden die er zijn, zijn moeilijker te misbruiken.
In dat geval ben ik het met de stelling van Microsoft eens, dat het een succes is. Als je 1000 keer een domme fout patcht, dan is dat geen teken dat je beleid een succes is. Maar als de complexiteit verder toeneemt en het lek is moeilijker te misbruiken dat wordt je systeem steeds veiliger.
Ik heb wel gemengde gevoelens bij het verschijnsel 'patch tuesday', maar ik moet aan de andere kant wel bekennen dat dit voor grotere bedrijven eigenlijk een must is.
Nu nog de configuratieonderdelen van Windows logisch onderverdelen in UAC en UAC-vrij, zodat beter voorspelbaar wordt wanneer je een melding krijgt en ik ben blij. :)
Hoezo gemengde gevoelens bij patch tueseday? Is het niet juist goed dat ze moeite doen om lekken te dichten?
Ik denk dat het allang niet meer aannemelijk is dat het hier om "domme fouten" gaat. Het is verdomde makkelijk om in een complex stuk programmatuur een 'fout' (of mogelijkerwijs kwetsbaar stuk code) te maken dat uit te buiten is door kwaadwillenden en het is verdomde moeilijk om al de mogelijke lekken in een complex stuk code te vinden.
Daarbij komt nog dat microsoft de afgelopen jaren intern behoorlijk wat research heeft gestoken in het ontwikkelen van diagnostische tools die security problemen in code moet opsporen. Daar is volgens mij zelfs nog een artikel over geweest op webwereld.
Het lijkt mij dat Microsoft met deze patch rondes juist een voorbeeld is voor de software markt (enkele uitzonderingen met lange bekende en toch ongepatchte lekken daargelaten). Bedrijven zoals bijvoorbeeld Adobe kunnen hier nog een puntje aan zuigen.
Hoezo gemengde gevoelens bij patch tueseday? Is het niet juist goed dat ze moeite doen om lekken te dichten?
Het lijkt me evident dat Peter dat nou juist niet bedoelt :-) Een fout die vlak ná die dinsdag bekend wordt laat in principe het systeem een hele maand kwetsbaar. Het is een paar keer voorgekomen dat MS daarom toch tussentijds moest patchen
Hoezo gemengde gevoelens bij patch tueseday? Is het niet juist goed dat ze moeite doen om lekken te dichten?
Heb ik het daar over?
Wat ik op patch tuesday tegen heb, is dat patches worden uitgesteld tot een vaste dag in de maand. Soms zelfs als er al misbruik gemaakt wordt van het lek dat gepatched moet worden. Ik heb begrip voor de achterliggende reden, maar voor een eindconsument is het soms weer niet zo ideaal.
Hmm.. ja ik ben het met jou en thieu eens dat het nog steeds niet ideaal is om tot een maand lang te moeten wachten op patches.
Maar daar staat weer tegenover dat systeembeheerders waarschijnlijk ook niet vrolijker worden als ze iedere individuele patch op willekeurige tijdstippen voor de kiezen krijgen. Een vaste regelmaat stelt zowel de developer als de beheerder in staat om efficiënt te werken. Door een vaste routine aan te houden is het gemakkelijker om structureel systemen up-to-date te houden.
En als het lek écht zo ernstig is dat het niet kan wachten op de volgende patch tueseday.. dan kan het altijd nog tussendoor worden verstuurd. Dat is in het verleden ook al gebeurt.
Er zijn in de afgelopen zes jaar 745 kwetsbaarheden verholpen die te vinden waren in bijna alle producten van Microsoft. Meer dan de helft, 230 gaten, werd door Microsoft als kritiek aangemerkt.
Volgensmij is 230 niet meer dan de helft van 745.
Zelfs het engelse bericht spreekt hierover:
"The bulletins have addressed about 745 vulnerabilities across almost every Microsoft product. More than half of the bulletins (230) have addressed vulnerabilities that Microsoft called "critical," meaning they would allow attackers to take full administrative control of a system from a remote location."
Het moet zijn:
In meer dan de helft van de beveiligingsbulletins (230) werden gaten aangetroffen die door Microsoft als kritiek worden aangemerkt.
.. dus 745 gaten/kwetsbaarheden, en 230 beveiligingsbulletins (of is 230 meer dan de helft vd beveiligingsbulletins ?? - lekker belangrijk ;) .. is i.d.d. niet helemaal helder ;)
Systeem is een succes
Gezien de kosten van bugfixes na release versus de kosten van bugfixes in een eerder stadium, is de term "succes" zeer relatief. Goede QA voordat je shipt levert meer op. Maar wellicht beschouwen de klanten die de updates moeten installeren een toename van patches ook als "succes".
De Patch Tuesday van oktober 2009 is de boeken ingegaan als Microsofts grootste reguliere patchronde tot nu toe. Microsoft ziet in de toename van het aantal patches als een teken dat het systeem werkt.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
