image

"Microsoft levert prutswerk met Windows patch"

donderdag 16 juli 2009, 13:28 door Redactie, 12 reacties

Microsoft heeft ondanks het uitbrengen van een patch, een zeer ernstig beveiligingslek in Windows gewoon laten zitten en het is niet de eerste keer, aldus Tyler Reguly van nCircle. Hij doelt op Security Bulletin MS09-032 die een kwetsbaarheid in het Video ActiveX control moet oplossen. In plaats van de kwetsbare code in kwestie te repareren, bracht Microsoft alleen een killbit uit. "De vraag is wanneer het acceptabel werd om een noodoplossing als patch uit te brengen?" Reguly klaagde eerder dit jaar ook al over het een patch die in zijn ogen het probleem niet oploste. "Waarom blijft Microsoft hiermee weg komen en waarom spreken we het hier niet op aan?"

De basis voor MS09-032 is te vinden in CVE-2008-0015, die al op 13 december 2007 werd toegekend. "Dat is 20 maanden geleden...een zeer lange tijd. In al die tijd is het beste dat ze konden doen het uitbrengen van een noodoplossing? Waarom geen patch voor de kwetsbare DLL." Reguly snapt niet waarom Microsoft de Fix-it noodoplossing die het eerder uitbracht nu als patch presenteert. "Waarom kunnen we hier collectief geen eind aan maken?"

Donut
Volgens de Security Research Engineer is het verschil tussen een patch en een noodoplossing simpel. "Het wordt nog eenvoudiger als we een patch als de oplossing voor het probleem zien. De patch lost het probleem op, eind van het verhaal. De noodoplossing niet." Hij vergelijkt het met het krijgen van een lekke band, om die vervolgens met een donut te "plakken". De donut laat je doorrijden, zei het trager en waarschijnlijk niet zo soepel.

"Het is niet ideaal, maar een noodoplossing voor je lekke band die handig is totdat je een plaksetje koopt of de band vervangt, afhankelijk van de situatie. Stel je voor dat je te horen krijgt dat je permanent met die donut moet rondrijden. Ik denk niet dat je erg blij zult zijn, met name als je vaak op de snelweg zit. Waarom zouden wij dan blij moeten zijn met het accepteren van noodoplossingen als patches, met name als we ons in een multi-user omgeving bevinden."

Reacties (12)
16-07-2009, 13:39 door [Account Verwijderd]
[Verwijderd]
16-07-2009, 13:40 door Anoniem

een zeer ernstig beveiligingslek in Windows gewoon laten zitten
Wat een onzin. Met het killbit is het lek prima verholpen. Waarschijnlijk was het niet mogelijk om alle mogelijke configuraties goed te testen in de twee weken dat het lek algemeen bekend is.
16-07-2009, 14:54 door Anoniem
Volgens Microsoft zijn er geen 'by-design uses' voor de genoemde control.
http://blogs.technet.com/msrc/archive/2009/07/06/microsoft-security-advisory-972890-released.aspx

Van mij mogen ze ActiveX ook helemaal afschaffen. Het is gewoon slecht bedacht (vooral toen er nog geen cryptografische handtekeningen voor vereist waren).
16-07-2009, 15:24 door Anoniem
Door Anoniem: Volgens Microsoft zijn er geen 'by-design uses' voor de genoemde control.
http://blogs.technet.com/msrc/archive/2009/07/06/microsoft-security-advisory-972890-released.aspx
.
Als er geen by-design use voor deze control is, waarom zit 'ie dan in Windows?
16-07-2009, 15:41 door Anoniem
Dit is geen nieuws, als microsoft een keer geen prutswerk levert is het nieuws.
16-07-2009, 18:22 door Anoniem
Dat die lekker naar een andere OS gaat. Blijf ik gewoon bij Vista64bit.
16-07-2009, 19:18 door Anoniem
Door Anoniem:
Wat een onzin. Met het killbit is het lek prima verholpen. Waarschijnlijk was het niet mogelijk om alle mogelijke configuraties goed te testen in de twee weken dat het lek algemeen bekend is.

Z'n punt is nou juist dat het al 20 maanden bekend is.

De definities die hij geeft aan "patch" en "mitigation" deel ik overigens niet. "To patch" is een lapje over een gat in je kleren naaien, een slordige reparatie uitvoeren door zolang iets erop te bevestigen. Niet per se een term voor de definitieve reparatie.
16-07-2009, 20:11 door Axnozum
Ze moeten echt eens stoppen met dat idiote activeX!
Maarja, Microsoft probeert al zoooo lang om een "standaard" te ontwikkelen die wereldwijd geaccepteerd gaat worden, en dit lukt ze steeds niet omdat de code erg slecht is.

Frontpage (extensions) - FAIL!
ASP - FAIL!
VB - FAIL!
dot.net - FAIL!
MSSQL - FAIL
etc. etc.

Kom op, het heeft al jaren geduurt voordat MS eindelijk eens het .png format ging accepteren. Ze zullen altijd blijven volhouden dat hun formats/apps het beste zijn en jammer genoeg trappen te veel bedrijven er in omdat Microsoft wel een goede marketing afdeling heeft en er veel te veel slechte adviseurs rondlopen die ook veel te veel betaald krijgen voor slecht advies.

Microsoft software is best te gebruiken, begrijp me niet verkeerd, maar let er goed op wat je wel en niet gebruikt. Desktops kan je er best op draaien, maar ik zou nooit een server met MS-meuk inrichten en al helemaal niet op hun standaarden gaan draaien.
17-07-2009, 01:24 door Anoniem
Door Anoniem:

een zeer ernstig beveiligingslek in Windows gewoon laten zitten
Wat een onzin. Met het killbit is het lek prima verholpen. Waarschijnlijk was het niet mogelijk om alle mogelijke configuraties goed te testen in de twee weken dat het lek algemeen bekend is.
Ten eerste schakelt de killbit alle functionaliteit uit van het component. Als problemen verhelpen hetzelfde is als beschikbaarheid van het gehele component omzeep helpen dan noem ik dat geen lek dichten, laat staan beveiligen. Beveiligen is geen doel op zicht, maar bij Microsoft denken ze daar regelmatig anders over: ze schakelen steeds vaker en makkelijker de software uit omdat er weer een flink lek in zit wat ze niet, of pas na lange tijd, eens repareren.

Ten tweede is twee weken misschien als vakantie weinig tijd, maar we hebben het hier over een multinational die miljardenwinsten maakt en duizenden experts in dienst heeft om dit fouten in software te maken en ze er weer uit te halen. Software waarvan ze zelf de broncode hebben ontworpen en geschreven hebben. Maar in plaats van daar een fractie van te investeren in het daadwerkelijk dichten van de lekken slopen ze liever de functionaliteiten. Klant "Meneer deze autobanden blijken uit de fabriek te komen met op enkele plaatsen te weinig profiel. Dat is gevaarlijk." Microsoft twee weken later: "Nou, dan gaat u maar even zonder banden rijden. En verwacht niet dat we u nog nieuwe banden leveren." Het draait bij Microsoft enkel om flink winst maken en zo min mogelijk investeren in het oplossen van gaten die de klant treffen. En zo gaat het vaak bij software makers, al jaren lang.
17-07-2009, 08:49 door Anoniem
Door Axnozum: Ze moeten echt eens stoppen met dat idiote activeX!
Maarja, Microsoft probeert al zoooo lang om een "standaard" te ontwikkelen die wereldwijd geaccepteerd gaat worden, en dit lukt ze steeds niet omdat de code erg slecht is.

Frontpage (extensions) - FAIL!
ASP - FAIL!
VB - FAIL!
dot.net - FAIL!
MSSQL - FAIL
etc. etc.

Kom op, het heeft al jaren geduurt voordat MS eindelijk eens het .png format ging accepteren. Ze zullen altijd blijven volhouden dat hun formats/apps het beste zijn en jammer genoeg trappen te veel bedrijven er in omdat Microsoft wel een goede marketing afdeling heeft en er veel te veel slechte adviseurs rondlopen die ook veel te veel betaald krijgen voor slecht advies.

Microsoft software is best te gebruiken, begrijp me niet verkeerd, maar let er goed op wat je wel en niet gebruikt. Desktops kan je er best op draaien, maar ik zou nooit een server met MS-meuk inrichten en al helemaal niet op hun standaarden gaan draaien.

Amen
17-07-2009, 09:57 door Van Hoorne
Door Axnozum: Ze moeten echt eens stoppen met dat idiote activeX!
Maarja, Microsoft probeert al zoooo lang om een "standaard" te ontwikkelen die wereldwijd geaccepteerd gaat worden, en dit lukt ze steeds niet omdat de code erg slecht is.

Frontpage (extensions) - FAIL!
ASP - FAIL!
VB - FAIL!
dot.net - FAIL!
MSSQL - FAIL
etc. etc.

Kom op, het heeft al jaren geduurt voordat MS eindelijk eens het .png format ging accepteren. Ze zullen altijd blijven volhouden dat hun formats/apps het beste zijn en jammer genoeg trappen te veel bedrijven er in omdat Microsoft wel een goede marketing afdeling heeft en er veel te veel slechte adviseurs rondlopen die ook veel te veel betaald krijgen voor slecht advies.

Microsoft software is best te gebruiken, begrijp me niet verkeerd, maar let er goed op wat je wel en niet gebruikt. Desktops kan je er best op draaien, maar ik zou nooit een server met MS-meuk inrichten en al helemaal niet op hun standaarden gaan draaien.

Waarom ga je het ze niet even zelf vertellen? Kun je gelijk vertellen wat je allemaal beter weet.
25-07-2009, 12:53 door Van Hoorne
http://techworld.nl/technologie/8340/linus-torvalds-microsofthaat-is-een-ziekte.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.