Nieuws

Windows lek na 224 dagen pas gepatcht

woensdag 9 november 2005, 10:21 door Redactie, 9 reacties

Microsoft heeft 224 dagen nodig gehad om het kritieke "Metafile heap overflow" lek in Windows te patchen, zo heeft eEye Digital Security laten weten. Voor het andere lek wat ook betrekking heeft op Windows Metafile afbeeldingen had de softwaregigant 68 dagen nodig.

De Windows Metafile lekken zijn niet de enige die in Windows aanwezig zijn. Het security bedrijf heeft nog zes andere kwetsbaarheden bij Microsoft gemeld, waarvan vijf ernstig. "Aanvallen die van dit soort lekken misbruik maken kosten ondernemingen jaarlijks miljoenen dollars aan verloren produktiviteit en ontregeling van de bedrijfsvoering, zeker wanneer patches onaangekondigd geinstalleerd moeten worden" zegt Marc Maiffret van eEye Digital Security.

De lekken die bij Microsoft gemeld zijn, zijn inmiddels 188, 170, 135, 100, 29 en 23 dagen oud.

"Podslurping en Bluesnarfing nieuwste security dreigingen"

Symbian Trojaans paard bevat werkende virusscanner

Reacties (9)

09-11-2005, 10:29 door bustersnyvel

Ik vraag me echt af wanneer bedrijven de schade waar hier
over gepraat wordt ("Aanvallen [...] kosten ondernemingen
jaarlijks miljoenen dollars") op Microsoft wordt verhaald.

09-11-2005, 10:51 door Anoniem

Door bustersnyvel
Ik vraag me echt af wanneer bedrijven de schade waar hier
over gepraat wordt ("Aanvallen [...] kosten ondernemingen
jaarlijks miljoenen dollars") op Microsoft wordt verhaald.

een rechtzaak is er nog nooit geweest, zou wel eens interessant zijn. Maar
volgens mij is het onmogelijk om bugvrije software te programmeren, dus
wat de rechter ervan denkt is afwachten. Je kan natuurlijk zeggen dat
wanneer lekken zolang bekend zijn voor ze gefixed zijn MS wel degelijk iets
te verwijten valt.

09-11-2005, 12:13 door Anoniem

als er bij een auto fabrikant ondeugedelijke remmen in een
bepaald model wordt geconstateerd worden toch ook niet al
die auto's naar de fabriek terug gehaald om het te laten
fixen. weet hoeveel geld en tijd dat kost.
een paar verkeers doden extra op 6 miljard mensen ligt
niemand wakker van en bij software gaat het niet eens om
levens alleen maar om wat geld.

09-11-2005, 12:51 door Dreamcatcher

Wellicht interesant of je hetzelfde kan doen bij Linux,
toegegeven, de bugs zijn niet potentieel even gevaarlijk
maar een fijt blijft dat ze niet gepatched worden/zijn.
http://secunia.com/product/2719/#advisories

09-11-2005, 13:07 door Anoniem

Door Dreamcatcher
Wellicht interesant of je hetzelfde kan doen bij Linux,
toegegeven, de bugs zijn niet potentieel even gevaarlijk
maar een fijt blijft dat ze niet gepatched worden/zijn.
http://secunia.com/product/2719/#advisories

en daar ga je, zoals je zelf ook al eigenlijk meteen
aangeeft, dus dan ook meteen de mist in.
het fEIt dat ze potentieel niet even gevaarlijk zijn is het
verschil tussen een gehackte bak en een niet gehackte bak...
en daar gaat het toch uiteindelijk om.

Linux Kernel 2.6.x with all vendor patches installed and all
vendor workarounds applied, is currently affected by one or
more Secunia advisories rated Less critical

Microsoft Windows 2000 Server with all vendor patches
installed and all vendor workarounds applied, is currently
affected by one or more Secunia advisories rated Highly critical

en om nog even doo te gaan:
- Microsoft Windows 2000 Advanced Server: Highly critical
- Microsoft Windows 2000 Datacenter Server: Highly critical
- Microsoft Windows 2000 Professional: Highly critical
- Microsoft Windows XP Professional: Highly critical
- Microsoft Windows XP Home Edition: Highly critical

09-11-2005, 15:11 door Anoniem

mwa na 224 dagen. zijn ze nog snel...

09-11-2005, 16:47 door SirDice

Door Anoniem

Door bustersnyvel
Ik vraag me echt af wanneer bedrijven de schade waar hier
over gepraat wordt ("Aanvallen [...] kosten ondernemingen
jaarlijks miljoenen dollars") op Microsoft wordt
verhaald.

een rechtzaak is er nog nooit geweest, zou wel eens
interessant zijn. Maar
volgens mij is het onmogelijk om bugvrije software te
programmeren, dus
wat de rechter ervan denkt is afwachten. Je kan natuurlijk
zeggen dat
wanneer lekken zolang bekend zijn voor ze gefixed zijn MS
wel degelijk iets
te verwijten valt.

Ik citeer uit de EULA (waar iedereen die Windows gebruikt mee accoord is gegaan):

25. EXCLUSION OF INCIDENTAL, CONSEQUENTIAL
AND CERTAIN OTHER DAMAGES. TO THE
MAXIMUM EXTENT PERMITTED BY APPLICABLE
LAW, IN NO EVENT SHALL MANUFACTURER OR
ITS SUPPLIERS (INCLUDING MS, MICROSOFT
CORPORATION, (INCLUDING ITS
SUBSIDIARIES) AND THEIR RESPECTIVE
SUPPLIERS) BE LIABLE FOR ANY SPECIAL,
INCIDENTAL, PUNITIVE, INDIRECT, OR
CONSEQUENTIAL DAMAGES WHATSOEVER
(INCLUDING, BUT NOT LIMITED TO, DAMAGES
FOR LOSS OF PROFITS OR CONFIDENTIAL OR
OTHER INFORMATION, FOR BUSINESS
INTERRUPTION, FOR PERSONAL INJURY, FOR
LOSS OF PRIVACY, FOR FAILURE TO MEET
ANY DUTY OF GOOD FAITH OR OF REASONABLE
CARE, FOR NEGLIGENCE, AND FOR ANY OTHER
PECUNIARY OR OTHER LOSS WHATSOEVER)
ARISING OUT OF OR IN ANY WAY RELATED
TO THE USE OF OR INABILITY TO USE THE
SOFTWARE, THE PROVISION OF OR FAILURE
TO PROVIDE SUPPORT OR OTHER SERVICES,
INFORMATION, SOFTWARE, AND RELATED
CONTENT THROUGH THE SOFTWARE, OR
OTHERWISE ARISING OUT OF THE USE OF THE
SOFTWARE, OR OTHERWISE UNDER OR IN
CONNECTION WITH ANY PROVISION OF THIS
EULA, EVEN IN THE EVENT OF THE FAULT,
TORT (INCLUDING NEGLIGENCE),
MISREPRESENTATION, STRICT LIABILITY,
BREACH OF CONTRACT OR BREACH OF
WARRANTY OF MANUFACTURER OR ANY SUPPLIER
(INCLUDING MS, MICROSOFT CORPORATION
(INCLUDING ITS SUBSIDIARIES) AND THEIR
RESPECTIVE SUPPLIERS), AND EVEN IF
MANUFACTURER OR ANY SUPPLIER (INCLUDING
MS, MICROSOFT CORPORATION (INCLUDING ITS
SUBSIDIARIES) AND THEIR RESPECTIVE
SUPPLIERS) HAS BEEN ADVISED OF THE
POSSIBILITY OF SUCH DAMAGES.

Ik denk dat een rechter snel klaar is dan...

09-11-2005, 19:07 door Anoniem

Door Anoniem
als er bij een auto fabrikant ondeugedelijke remmen in een
bepaald model wordt geconstateerd worden toch ook niet al
die auto's naar de fabriek terug gehaald om het te laten
fixen. weet hoeveel geld en tijd dat kost.

Toch hoor je af en toe dat er auto's terug geroepen worden
ivm. ernstige problemen. Ik hoorde toevallig vandaag iets
over een toyota prius, en enige jaren terug kon een kennis
van mij met een daewoo ook terug, en was er een paar weken
terug niet iets met volvo ?

Voorbeelden genoeg in ieder geval.

En wat betreft die EULA: Was te verwachten dat dat erin
stond. Wat je hooguit zou kunnen zeggen is dat het product
niet werkt zoals de hanleiding/specs belooft (nou ja, in
sommige gevallen dan). Volgens mij (in de tijd van win98) is
er eens zo'n poging gedaan door een duits
consumentenprogramma. Na de aankondiging daarvan nooit meer
wat van gehoord.

11-11-2005, 09:44 door Anoniem

En daarom is alle FUD over TCO die die mafketels uitslaan
volslagen onzin.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer