Nieuws
image

Waarom kan Microsoft niet alles patchen?

maandag 28 november 2005, 13:01 door Redactie, 13 reacties

Bijna vier jaar geleden kondigde Bill Gates het "Trustworthy Computing Initiatief" aan. Anderhalf jaar later verscheen Windows 2003 Server met minder lekken en veiligere instellingen. Het jaar daarop bracht Microsoft Service Pack 2 voor Windows XP uit dat veel verbeterde security features introduceerde. Ondanks het initatief wilde Microsoft een in mei bekend gemaakt lek in Windows niet patchen omdat het niet gevaarlijk genoeg was. Nu aanvallers een manier hebben ontdekt om dit oude lek alsnog te misbruiken vraagt George Ou zich af waarom Microsoft niet alles kan patchen.

Kleinere bedrijven met minder personeel dichten meestal binnen afzienbare tijd de lekken in hun produkten. Microsoft presteert het echter om 22% van haar lekken niet te patchen. Hoe kan de softwaregigant dit toestaan?

Volgens Ou moet Microsoft al deze lekken verhelpen en de consument laten weten wat en wanneer ze er iets aan gaan doen. De reus uit Redmond zou alle kwetsbaarheden moeten dichten en een voorbeeld voor andere bedrijven zijn.

Reacties (13)
28-11-2005, 13:18 door Anoniem
En natuurlijk hopen dan een patch niet een ander gat maakt..
28-11-2005, 13:36 door Anoniem
Zolang de consument dat niet eist en de producten blijven kopen, heeft
Microsoft geen enkele reden om die lekken inderdaad te dichten. Mensen zijn
gewend dat ze met die lekken te maken hebben.
28-11-2005, 13:52 door Anoniem
Om de simpele reden dat Microsoft bij het Trustworthy
Computing Initiatief niet veiligheid voorop heeft gezet maar
het gevoel van veiligheid. Zolang Microsoft haar klanten kan
voorspiegelen dat een bepaald lek de veiligheid naar hun
gevoel niet genoeg in gevaar brengt steken ze er ook geen
tijd in om er een patch voor te leveren.
28-11-2005, 14:18 door Anoniem
moet .. moet .. Microsoft *moet* niks .. en volgens mij
wordt de hoeveelheid werk een beetje onderschat .. en WTF is
Sjors Ou ?
28-11-2005, 14:26 door Anoniem
Een probleem in de perceptie van veiligheid is een probleem.
"Geen probleem" in de perceptie van veiligheid is niet
hetzelfde als "geen probleem", want het kan ook onwetendheid
betekenen...
28-11-2005, 14:36 door SirDice
en WTF is Sjors Ou ?
http://blogs.zdnet.com/bio.php#ou
28-11-2005, 15:38 door G-Force
Door Anoniem
En natuurlijk hopen dan een patch niet een ander gat maakt..

Ja, dat is al eens eerder gebeurd, ook bij andere fabrikanten overigens.
28-11-2005, 16:19 door Anoniem
Als microsoft veilige software zonder lekken zou produceren, dan kan
waarscheinlijk 50% van de mensen daar ontslagen worden omdat ze
geen lekken meer hebben om te dichten. Waarom zou je dan mensen in
dienst houden die toch niks te doen hebben
28-11-2005, 16:57 door Anoniem
Microsoft programmeert niet, die knipt-en-plakt verschillende modules die
ze ergens gevonden hebben, bij andere, bij overgenomen toko's of van
oudere producten (daarom zitten bugs van NT 3.51 nog steeds in W2k3).
Omdat ze producten maken op dezelfde manier als virusschrijvers
wormen, lijken ze zoveel op elkaar en werken ze ook zo goed samen.
28-11-2005, 17:17 door Anoniem
Door Anoniem
moet .. moet .. Microsoft *moet* niks .. en volgens mij
wordt de hoeveelheid werk een beetje onderschat ..
Als je van mening bent dat MS of softwareontwikkelaars geen
verantwoordelijkheid heeft om verplicht voor goede
veiligheid te zorgen hoop ik niet dat je ontwikkelaar bent.
Verkijken op het hoeveelheid werk? Nee, dat staat in
verhouding met het werk dat je levert. Als je
beveiligingsfouten maakt moet je ook genoeg kennis en
mankracht in dienst hebben om dat te herstellen en
voorkomen. Afdoen met "het valt wel mee, gaat u rustig
slapen" is geen adequaat beveiligingbeleid.
28-11-2005, 21:31 door Anoniem
^^^^^^^^^^^^
Lol! In dat geval zou ik niet vreemd opkijken als MS straks
met een framework komt gericht op de "virus ontwikkel"
doelgroep.
28-11-2005, 23:21 door Anoniem
Zucht......

Even reageren op de eerder vermelde stukje (16:57) hierboven:
Windows 2003 is gebaseerd op de code van NT3.x en verder. Tuurlijk
overerf je dan bugs....................

En nu even terug naar de topic:

Meeste bugs vermeld bij Secunia zijn local en niet remote. En ja als
iemand al toegang heeft tot het systeem..... Dan is alles mogelijk. Zelfs op
andere OS'en. 100% goed maken kost jaren tijd. Windows begint nu pas
die kant op te gaan. Dus de oude stukken source zullen beter worden of er
uit gelaten worden. De nieuwe stukken source moeten ze wel beter
maken. Dan komt het uiteindelijk wel goed op weg.

Nog 10 jaar en niet teveel gadgets in Windows en dan is het stukken beter.
Maar Microsoft kennende............
30-11-2005, 23:45 door Anoniem
Microsoft gebruikt code generators die code asm of c code
kunnen genereren vanuit high level stroomschema's. Je maakt
een mooi logies model en de code komt eruit. Het probleem is
dat de generatoren dus niet patchen maar bij een fout een
compleet nieuwe code genereren.
Een patch is vaak dus anders dan de nieuwe code in een exe
van het volgende level.
Dus vaak moet de code generator gepatched worden en daarna
komt de nieuwe .exe off dll wel weer afzakken.

Ik snap niet dat hier dus zo een slecht inzicht is op de
manier waarop tegenwoodig code gemaakt wordt. Geheel object
oriented en generated. Daarom is het moeilijk!
Werkt ook zo in de electronica , alleen wordt daar beter
getest omdat het allemaal goede ingenieurs zijn die in hun
opleiding een totaal andere manier van werken leren en het
wel erg duur wordt om alle moederboards terug te roepen van
serie sus en zo.
Goed dus, want anders bleef er geen brug hangen of auto
rijden...(mooie software dat motormanagement) :)

btw ... die opensource applicaties worden ook gegenereerd.
Zo'n generator maakt een mooie uitdraai.
Na de generator wordt er dan ook nog een code optimizer op
losgelaten.
En dan maar denken dat als je de source kunt lezen dat je
dan weet hoe het werkt.

Echt.....dan ben je ver van de wereld van software development.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure