"Microsoft misleidt publiek met security bulletin MS06-015"
Zwarte dinsdag ligt alweer twee dagen achter ons, maar volgens sommigen is Microsoft niet helemaal eerlijk met haar informatie geweest. In Security Bulletin MS06-015 werd een patch voor een enkel "Windows Shell lek" aangekondigd. In het overzicht staat echter:
Toen dit security bulleting uitkwam, was het lek toen al bekend gemaakt?
Nee. Microsoft ontving informatie over dit lek via verantwoordelijke disclosure.
Iets verder staat:
Opmerking De update voor dit lek verhelpt ook een variant die al bij het publiek bekend was en vermeld staat onder Common Vulnerability en Exposure number CVE-2004-2289.
Volgens Steve Christey is dit lek al sinds mei 2004 bekend. Dus het gedocumenteerde lek is alleen aan Microsoft gemeld, maar de "variant" die ook gepatcht is, was al meer dan 700 dagen bekend. In dat geval zou de echte "variant" dus na de publieke ontdekking aan Microsoft gemeld zijn.
De update bevat ook een "verandering van functionaliteit":
Deze security update bevat een Defense in Depth aanpassing die ervoor zorgt dat er continu geprompt wordt in Internet zone drag en drop scenario's.
Het is echter niet bekend welke dreiging met deze aanpassing wordt verholpen. Volgens SecuriTeam moet Microsoft veel transparanter zijn in de informatie over dreigingen waar haar klanten mee te maken hebben. En niet alleen klanten, ook systeembeheerders die de patches moeten installeren weten niet welk probleem precies verholpen wordt.
interpreteren om Microsoft negatief in het licht te zetten. Er is niks mis met
de informatie. Maar ja...zo krijgen zij ook weer wat reclame.
de vraag wat eerst wel en daarna misschien niet bekend is
geworden.
Als er maar een patch wordt uitgegeven. De rest vind ik
onbelangrijk.
Als eindgebruiker ben je inderdaad niet in die details
geïnteresseerd. Daarom wil je kunnen vertrouwen op de
meldingen die de leverancier doet. In dit geval gaat het om
een leverancier die vaker lekken stilhoudt of
bagatelliseert. En sommige lekken worden pas erg laat
gerepareerd.
Deze kennis in voor eindgebruikers dus in zoverre
belangrijk, dat ze weten niet blind te kunnen varen op het
oordeel van de leverancier.
Daarom vind ik het geen 'gezeur'.
Inderdaad. Als eindgebruiker ben ik niet geïnteresseerd in
de vraag wat eerst wel en daarna misschien niet bekend is
geworden.
Als er maar een patch wordt uitgegeven. De rest vind ik
onbelangrijk.
Helaas duurde het 700 dagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
