"Minder lekken dankzij Windows Vista en Office 2007"
Dit jaar worden er zo'n 8500 beveiligingslekken in programma's bekendgemaakt, een marginale stijging van 5% ten opzichte van vorig jaar. In 2006 steeg het aantal onthulde lekken nog met 60%, een behoorlijk verschil. Een combinatie van factoren zou voor de gestage groei verantwoordelijk zijn. Zo zijn meer beveiligingsonderzoekers bij vendors werkzaam, die vaak patchen zonder dit bekend te maken, worden er minder eenvoudige bugs in impopulaire programma's onthuld, en vinden zero-day exploits gretig aftrek op de zwarte markt.
Volgens Steve Christey van Mitre, de organisatie die de lekken verzamelt, kunnen er ook andere krachten aan het werk zijn. "In de afgelopen jaren is er een gigantische toename van het aantal onderzoekers geweest dat met eenvoudige technieken lekken in impopulaire programma's vond. Misschien hebben we een kritieke massa bereikt waarin er niet voldoende onderzoekers zijn om alle software die op het internet beschikbaar is te evalueren."
Nog een andere reden wordt gevonden in het verschijnen van Windows Vista en Office 2007. "Dankzij de nieuwe beveiligingsmaatregelen zouden sommige bugs nooit te misbruiken zijn. Een newbie hacker kan daardoor zijn fuzzer niet meer op deze nieuwe generatie software loslaten," aldus Gunter Ollmann van IBM-ISS.
Microsoft-producten zijn wat kleiner hebben gemaakt???
Ze bedoelen dat ze de gaten in de zeef die de
Microsoft-producten zijn wat kleiner hebben gemaakt???
Welke zeef?
De grootste bedreiging voor de beveiliging van de pc is de gebruiker zelf.
sommige bugs nooit te misbruiken zijn.
gevonden om die bug uit te buiten. Die bug zit er hoe dan
ook nog en het is dan een kwestie van tijd....
op deze nieuwe generatie software loslaten,"
minder bugs gevonden worden. Komt dat omdat die fuzzer niet
werkt of omdat er daadwerkelijk geen bugs meer zijn? Ik
vermoed het eerste en dat is dan een slechte zaak. Wederom
zitten de bugs er dus nog in, ze zijn alleen nog niet gevonden..
niet te exploiten valt? Good job MS! En in plaats dat
security minded mensen dit zouden waarderen is er weer dit
zielige anti-ms gelul.
vulnerabilities dan dat deze oplost. Echter kost het tijd
voordat al deze vulnerabilities worden ontdekt. De bewering
dat Vista en Office 2007 de beveiliging sterk verbeteren
lijkt mij vooralsnog op zijn zachtst gezegd voorbarig.
Gisteren publiceerden jullie nog een artikel waarin gesteld
wordt dat Vista niet veiliger is dan XP. Een dag later
beweren jullie het omgekeerde ?!
Test: Windows XP net zo veilig als Windows Vista
http://www.security.nl/article/16133/1/Test%3A_Windows_XP_net_zo_veilig_als_Windows_Vista.html
Wat is het nou, is Vista net zo veilig als XP, of is Vista
een stuk veiliger als XP ? Of heeft de redactie van
security.nl geen eigen mening, en nemen jullie slechts
artikelen van anderen over ?
als een bug niet te exploiten valt, dan is er geen sprake van een
vulnerability.
Volgens mij snappen jullie niet helemaal wat security eigenlijk inhoudt.
vulnerability ? Een vulnerability is toch een weakness die misbruikt kan
worden door een attacker, en niet simpelweg een fout die problemen
kan veroorzaken ? Dat een dergelijk probleem moet worden opgelost
moge verder duidelijk zijn.
"In computer security, the word vulnerability refers to a weakness in a
system allowing an attacker to violate the confidentiality, integrity,
availability, access control, consistency or audit mechanisms of the system
or the data and applications it hosts."
een security vulnerability.
=
A security vulnerability is a flaw in a product that makes it infeasible –
even when using the product properly—to prevent an attacker from
usurping privileges on the user's system, regulating its operation,
compromising data on it, or assuming ungranted trust.
Flaw: Security vulnerabilities involve inadvertent weaknesses; by-design
weaknesses may sometimes occur in a product, but these aren't security
vulnerabilities.
Prevention: Security vulnerabilities involve a loss of control. That is, in
order for a flaw to constitute a security vulnerability, it must be possible
for an attacker to compel the victim to submit to the attack despite
reasonable efforts to avoid it.
http://www.microsoft.com/technet/archive/community/columns/security/
essays/vulnrbl.mspx?mfr=true
=
Leuk gegoogled, maar dan wel het hele stuk plaatsen he ;)
Dit was het stuk dat je nog miste:
"A vulnerability can exist either only in theory, or could
have a known exploit"
En dan vraag ik in return weer, hoe erg is een vulnerability
die niet te exploiten valt?
Misschien moet ik het maar eens in jullie context plaatsen.
Onderzoeker: Firefox is vulnerable! Groupie: Nee hoor!
Firefox met NoScript is veilig!
Oftewel,
Onderzoeker: MS is vulnerable! MS: Nee hoor! MS met nieuwe
beveiligingsmaatregelen is veilig!
Conclusie: Een vulnerability die niet te exploiten valt
(Omdat het theorieen zijn, wegens configuratie, 3rd party
maatregelen, etc, etc) is dus niet erg.
Volgens mij snapt SirDice niet helemaal het verschil tussen een flaw en een security vulnerability.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
