Microsoft's snelste patch ooit
Ernstige beveiligingslekken in Internet Explorer of in Windows waardoor miljoenen Windows gebruikers gevaar lopen blijven maanden ongepatcht, maar het kraken van Microsoft's digital rights management software zorgde ervoor dat de softwaregigant binnen enkele dagen een update beschikbaar had.
Vroeger waren beveiligingsupdates zeldzaam en deden software aanbieders alsof er niets mis was met hun produkten, om de problemen dan bij een volgende release te verhelpen, zo laat Bruce Schneier in zijn nieuwste column weten. Dankzij 'full disclosure' veranderde dit en maakte onderzoekers beveiligingslekken aan het publiek bekend, waardoor ontwikkelaars snel met een patch moesten komen.
Zelfs vandaag vinden software ontwikkelaars het niet fijn om patches uit te geven. Elke patch is het bewijs dat het bedrijf een fout heeft gemaakt. Daarbij kost het patchproces middelen, die niet voor de ontwikkeling van nieuwe software ingezet kunnen worden. Verder vinden gebruikers patches irritant en worden ze nog bozer als de patch niet goed werkt.
Aangezien er geen wetgeving is of software aanbieders aansprakelijk gehouden kunnen worden, zal "patch dinsdag" het beste zijn wat gebruikers kunnen verwachten. Ook al lijdt het internet en worden talloze machines geinfecteerd of gehackt, is de economische impact op Microsoft nog steeds minimaal.
Het kraken van DRM is geen beveiligingslek en voor klanten geen probleem. Voor Microsoft wel, waardoor er binnen drie dagen een update was om het probleem te verhelpen. Als Microsoft deze moeite ook zou nemen om snel met patches te komen, zou het hele internet hiervan profiteren. Een simpele rekensom laat echter zien dat dit nooit zal gebeuren.
daar alweer een update van verschenen.. Wie zal winnen?
http://www.engadget.com/2006/09/02/fairuse4wm-peeps-stay-one-step-ahead-of-microsoft/
MS is een commercieel bedrijf en heeft derhalve het recht om snel in te
grijpen zodra de inkomsten gevaar dreigen te lopen. Het vergelijk met de
beveiligingsupdates vind ik toch een beetje mank gaan omdat het
simpelweg verschillende zaken zijn.
Persoonlijk denk ik dat het goed is dat MS de rem zet op het uitgeven van
beveiligingspatches en niet dagelijks als een kip zonder kop geschreven
fixes de wereld in dumpt. Zoals hier door meerderen al vaak aangegeven
is de architectuur van Windows, vriendelijk gezegd, wat 'ingewikkelder' als
van andere OS'en en heeft de integratie van alles en nog wat in het OS als
gevolg dat een fix op de mediaplayer ineens een probleem kan
veroorzaken in de verkenner (noem een dwarsstraat).
Door op een vaste datum te patchen kunnen (toegegeven, historie leert
anders) de fixes op elkaar worden afgestemd zodat de ene quickfix de
andere niet in de weg zit.
Terugkomend op de vraag: ik denk dat het een beetje een (mis)leading
nieuws betreft.... <vul de rest zelf maar in>.
Elke patch is het bewijs dat het bedrijf een fout heeft
gemaakt.
Dat vind ik wel wat kort door de bocht. Als je er van uit
gaat dat foutloze software mogelijk is, dan kun je gelijk
hebben. Persoonlijk heb er er geen moeite mee als blijkt dat
een software bedrijf niet onfeilbaar is (ze zijn tenslotte
de paus niet), maar het is zeer kwalijk als ze fouten niet
snel en adequaat verhelpen. Daar zijn procedures en forums
voor waar de meeste grotere sofware bedrijven zich aan houden.
fijn om patches uit te geven. Elke patch is het bewijs dat
het bedrijf een fout heeft gemaakt. Daarbij kost het
patchproces middelen, die niet voor de ontwikkeling van
nieuwe software ingezet kunnen worden. Verder vinden
gebruikers patches irritant en worden ze nog bozer als de
patch niet goed werkt.
Het is te beschamend voor woorden dat er vor soomige
software problemen een patch uitgebracht moet worden. Buffer
overflows bestaan al zo'n 35 jaar.... en we zijn nog steeds
niet in staat om code zo te schrijven dat buffer overflows
iets uit het verleden zijn.
Het is gewoon te beschamend voor woorden dat de IT industrie
als geheel alleen maar brakke software voor veel geld kan
verkopen, met winstmarges waar je helemaal eng van wordt.
Als microsoft nou eens genoegen nam met 75% winstmarge op
Windows in plaats van 95%? Dan zou men die 20% omzet direct
ten goede kunnen laten komen aan meer secure software.
Immers indien je de grootste installed base qua OS hebt, dan ontkomen
content providers er niet om heen om via "jouw" infrastructuur de content te
verspreiden. Hiermee zullen ze op den duur meer mee gaan verdienen
dan met de operating systems.
Er zal ooit eens een tijd komen dat je tegenkostprijs of gratis je windows
media PC krijgt, mits je maar een jaar (of langer) abonnement neemt op
een bepaalde dienst, dit kennen we al reeds van GSM's.
Fouten die geen bedreiging vormen voor hun omzet, hebben geen prioriteit.
Maar stel er komt een worm die windows mediaplayer deïnstalleerd en
DRM files corrumpeerd, zullen ze in eens een virusscanner gratis
beschikbaar stellen.
oplevert, zou ik als Micrsoft zijnde ook voorzichtig zijn om te snel patches in
elkaar te zetten.
En sommige lekken zitten zo diep in de kernel, die dicht je niet in 3 dagen.
Beetje tendentieus bericht van Schneider, met wellichte een kleine kern
van waarheid.
wachten het zeer ingewikkelde OS genoemd. Is dit echter wel
een excuus. Een patch in het ene programma hoort geen effect
te hebben op een ander programma. Het in elkaar weven heeft
alleen maar positieve gevolgen voor de portemonnee.
Voor alle duidelijkheid M$ DRM is een geldkoe voor Microsoft.
Immers indien je de grootste installed base qua OS hebt, dan
ontkomen
content providers er niet om heen om via "jouw"
infrastructuur de content te
verspreiden. Hiermee zullen ze op den duur meer mee gaan
verdienen
dan met de operating systems.
Er zal ooit eens een tijd komen dat je tegenkostprijs of gratis je
windows
media PC krijgt, mits je maar een jaar (of langer) abonnement
neemt op
een bepaalde dienst, dit kennen we al reeds van GSM's.
Fouten die geen bedreiging vormen voor hun omzet, hebben geen
prioriteit.
Maar stel er komt een worm die windows mediaplayer deïnstalleerd
en
DRM files corrumpeerd, zullen ze in eens een virusscanner gratis
beschikbaar stellen.
Je krijgt tegenwoordig al een PC of laptop 'gratis' bij een GSM
abootje ;)
Inclusief Windhoos en daarnaast 'betalen' de GSM providers zo'n
30,- tot 100,- euro aan een affiliate die een GSM contract afsluit...
De winstmarge daar ik ook schrikbarend te noemen.
aansprakelijk gehouden kunnen worden, zal "patch dinsdag"
het beste zijn wat gebruikers kunnen verwachten. Ook al
lijdt het internet en worden talloze machines geinfecteerd
of gehackt, is de economische impact op Microsoft nog steeds
minimaal.
aansprakelijk gehouden kunnen worden, zal "patch
dinsdag"
het beste zijn wat gebruikers kunnen verwachten. Ook al
lijdt het internet en worden talloze machines geinfecteerd
of gehackt, is de economische impact op Microsoft nog steeds
minimaal.
En wat had je gedacht? Wetgeving om makers van
computersoftware verantwoordelijk te houden voor problemen
met die software wil je niet en de consument zo gek krijgen
dat ze Microsoft gaan boycotten lukt niet.
Er wordt hier als excuus voor de tijd dat MS op zich laat
wachten het zeer ingewikkelde OS genoemd. Is dit echter wel
een excuus. Een patch in het ene programma hoort geen effect
te hebben op een ander programma. Het in elkaar weven heeft
alleen maar positieve gevolgen voor de portemonnee.
wijze aan MS gebonden. De "het zou zus en zo moeten zijn" uitspraken
raken helaas vaak kant nog wal omdat de hele wereld niet perfect in elkaar
steekt. Deswege geef ik aan dat ik er, onder genoemde voorwaarden,
geen probleem mee heb dat MS een vaste patchcyclus hanteerd.
<niet gaan zagen als het niet nodig is.>
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
