Microsoft weigert TCP-lek Windows XP te patchen
Gepubliceerd: Maandag 14 september 2009
Auteur: Jasper Bakker
Het vorige week geopenbaarde gat in TCP/IP blijkt ook aanwezig in Windows XP, wat eerst veilig werd geacht. Net als voorganger 2000 krijgt XP geen patch.
Microsoft heeft het beveiligingsbulletin over het tcp-lek inmiddels aangepast. Windows XP staat nu ook te boek als kwetsbaar, tot en met het nieuwste service pack en de meest recente patches. Bij de patchronde van deze maand zijn patches voor dit tcp-lek vrijgegeven. Die updates zijn voor Vista, Server 2003 en Server 2008.
Het lek zit in het tcp/ip-protocol zelf, niet in Microsofts software. Ook een ict-leverancier als Cisco heeft patches uitgebracht. Andere besturingssystemen en producten wachten nog op patches van de leveranciers of ontwikkelaars.
Geen patch
Voor het toch kwetsbare XP staan geen patches gepland. Volgens de leverancier valt de impact namelijk mee. De kwetsbare services staat in dat besturingssysteem standaard niet ingesteld om van buiten de pc-firewall toegankelijk te zijn.
Service pack 2 voor XP bevatte een standaard geactiveerde firewall, die ook bescherming bood tegen misbruik van dit lek. Het ergste wat er kan gebeuren, is een denial of service-aanval. Daardoor gaat de pc onderuit, maar Windows kan zichzelf daarvan herstellen, meldt Microsoft.
Net als 2000
Daarmee staat XP op gelijke voet met Windows 2000. Microsoft heeft al gezged dit gat niet te patchen. Dit geldt voor zowel de client- als de serveruitvoeringen. De reden hiervoor is dat dit teveel werk zou kosten. De architectuur is te verschillend om tcp/ip-bescherming te kunnen implementeren, stelt de softwareproducent.
Die oude Windows-versie valt nog wel onder Microsofts uitgebreide support, waarbij het alleen patches uitbrengt voor security-problemen. De client- en serveruitvoeringen van Windows 2000 genieten nog support tot juli komend jaar. Tenzij er een uitzondering wordt gemaakt, zoals nu.
