"Microsoft levert prutswerk met Windows patch"
Microsoft heeft ondanks het uitbrengen van een patch, een zeer ernstig beveiligingslek in Windows gewoon laten zitten en het is niet de eerste keer, aldus Tyler Reguly van nCircle. Hij doelt op Security Bulletin MS09-032 die een kwetsbaarheid in het Video ActiveX control moet oplossen. In plaats van de kwetsbare code in kwestie te repareren, bracht Microsoft alleen een killbit uit. "De vraag is wanneer het acceptabel werd om een noodoplossing als patch uit te brengen?" Reguly klaagde eerder dit jaar ook al over het een patch die in zijn ogen het probleem niet oploste. "Waarom blijft Microsoft hiermee weg komen en waarom spreken we het hier niet op aan?"
De basis voor MS09-032 is te vinden in CVE-2008-0015, die al op 13 december 2007 werd toegekend. "Dat is 20 maanden geleden...een zeer lange tijd. In al die tijd is het beste dat ze konden doen het uitbrengen van een noodoplossing? Waarom geen patch voor de kwetsbare DLL." Reguly snapt niet waarom Microsoft de Fix-it noodoplossing die het eerder uitbracht nu als patch presenteert. "Waarom kunnen we hier collectief geen eind aan maken?"
Donut
Volgens de Security Research Engineer is het verschil tussen een patch en een noodoplossing simpel. "Het wordt nog eenvoudiger als we een patch als de oplossing voor het probleem zien. De patch lost het probleem op, eind van het verhaal. De noodoplossing niet." Hij vergelijkt het met het krijgen van een lekke band, om die vervolgens met een donut te "plakken". De donut laat je doorrijden, zei het trager en waarschijnlijk niet zo soepel.
"Het is niet ideaal, maar een noodoplossing voor je lekke band die handig is totdat je een plaksetje koopt of de band vervangt, afhankelijk van de situatie. Stel je voor dat je te horen krijgt dat je permanent met die donut moet rondrijden. Ik denk niet dat je erg blij zult zijn, met name als je vaak op de snelweg zit. Waarom zouden wij dan blij moeten zijn met het accepteren van noodoplossingen als patches, met name als we ons in een multi-user omgeving bevinden."
een zeer ernstig beveiligingslek in Windows gewoon laten zitten
http://blogs.technet.com/msrc/archive/2009/07/06/microsoft-security-advisory-972890-released.aspx
Van mij mogen ze ActiveX ook helemaal afschaffen. Het is gewoon slecht bedacht (vooral toen er nog geen cryptografische handtekeningen voor vereist waren).
http://blogs.technet.com/msrc/archive/2009/07/06/microsoft-security-advisory-972890-released.aspx
.
Wat een onzin. Met het killbit is het lek prima verholpen. Waarschijnlijk was het niet mogelijk om alle mogelijke configuraties goed te testen in de twee weken dat het lek algemeen bekend is.
Z'n punt is nou juist dat het al 20 maanden bekend is.
De definities die hij geeft aan "patch" en "mitigation" deel ik overigens niet. "To patch" is een lapje over een gat in je kleren naaien, een slordige reparatie uitvoeren door zolang iets erop te bevestigen. Niet per se een term voor de definitieve reparatie.
Maarja, Microsoft probeert al zoooo lang om een "standaard" te ontwikkelen die wereldwijd geaccepteerd gaat worden, en dit lukt ze steeds niet omdat de code erg slecht is.
Frontpage (extensions) - FAIL!
ASP - FAIL!
VB - FAIL!
dot.net - FAIL!
MSSQL - FAIL
etc. etc.
Kom op, het heeft al jaren geduurt voordat MS eindelijk eens het .png format ging accepteren. Ze zullen altijd blijven volhouden dat hun formats/apps het beste zijn en jammer genoeg trappen te veel bedrijven er in omdat Microsoft wel een goede marketing afdeling heeft en er veel te veel slechte adviseurs rondlopen die ook veel te veel betaald krijgen voor slecht advies.
Microsoft software is best te gebruiken, begrijp me niet verkeerd, maar let er goed op wat je wel en niet gebruikt. Desktops kan je er best op draaien, maar ik zou nooit een server met MS-meuk inrichten en al helemaal niet op hun standaarden gaan draaien.
een zeer ernstig beveiligingslek in Windows gewoon laten zitten
Ten tweede is twee weken misschien als vakantie weinig tijd, maar we hebben het hier over een multinational die miljardenwinsten maakt en duizenden experts in dienst heeft om dit fouten in software te maken en ze er weer uit te halen. Software waarvan ze zelf de broncode hebben ontworpen en geschreven hebben. Maar in plaats van daar een fractie van te investeren in het daadwerkelijk dichten van de lekken slopen ze liever de functionaliteiten. Klant "Meneer deze autobanden blijken uit de fabriek te komen met op enkele plaatsen te weinig profiel. Dat is gevaarlijk." Microsoft twee weken later: "Nou, dan gaat u maar even zonder banden rijden. En verwacht niet dat we u nog nieuwe banden leveren." Het draait bij Microsoft enkel om flink winst maken en zo min mogelijk investeren in het oplossen van gaten die de klant treffen. En zo gaat het vaak bij software makers, al jaren lang.
Maarja, Microsoft probeert al zoooo lang om een "standaard" te ontwikkelen die wereldwijd geaccepteerd gaat worden, en dit lukt ze steeds niet omdat de code erg slecht is.
Frontpage (extensions) - FAIL!
ASP - FAIL!
VB - FAIL!
dot.net - FAIL!
MSSQL - FAIL
etc. etc.
Kom op, het heeft al jaren geduurt voordat MS eindelijk eens het .png format ging accepteren. Ze zullen altijd blijven volhouden dat hun formats/apps het beste zijn en jammer genoeg trappen te veel bedrijven er in omdat Microsoft wel een goede marketing afdeling heeft en er veel te veel slechte adviseurs rondlopen die ook veel te veel betaald krijgen voor slecht advies.
Microsoft software is best te gebruiken, begrijp me niet verkeerd, maar let er goed op wat je wel en niet gebruikt. Desktops kan je er best op draaien, maar ik zou nooit een server met MS-meuk inrichten en al helemaal niet op hun standaarden gaan draaien.
Amen
Maarja, Microsoft probeert al zoooo lang om een "standaard" te ontwikkelen die wereldwijd geaccepteerd gaat worden, en dit lukt ze steeds niet omdat de code erg slecht is.
Frontpage (extensions) - FAIL!
ASP - FAIL!
VB - FAIL!
dot.net - FAIL!
MSSQL - FAIL
etc. etc.
Kom op, het heeft al jaren geduurt voordat MS eindelijk eens het .png format ging accepteren. Ze zullen altijd blijven volhouden dat hun formats/apps het beste zijn en jammer genoeg trappen te veel bedrijven er in omdat Microsoft wel een goede marketing afdeling heeft en er veel te veel slechte adviseurs rondlopen die ook veel te veel betaald krijgen voor slecht advies.
Microsoft software is best te gebruiken, begrijp me niet verkeerd, maar let er goed op wat je wel en niet gebruikt. Desktops kan je er best op draaien, maar ik zou nooit een server met MS-meuk inrichten en al helemaal niet op hun standaarden gaan draaien.
Waarom ga je het ze niet even zelf vertellen? Kun je gelijk vertellen wat je allemaal beter weet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
