image

Microsoft patcht "stiekem" 2 security bugs

donderdag 6 mei 2010, 11:01 door Redactie, 10 reacties

Volgens security bedrijf Core security heeft Microsoft in het geniep 2 DNS bugs gefixed in haar recente update MS10-024. Het gaat om problemen in Microsoft Exchange en de SMTP services, welke onderdeel vormen van Windows 2000, XP, 2003, en 2008. Volgens Nicolás Economou van Core is het niet juist dat Microsoft belangrijke informatie over de bugs achterhoudt. "Hierdoor is het mogelijk dat belangrijke aanvals scenario's over het hoofd worden gezien bij het maken van een analyse van het bulletin" stelt de researcher. Microsoft reageerde door te stellen dat het niet alle varianten van een aanval meeneemt in haar bulletins, maar dat de ergst mogelijke aanval altijd wordt meegenomen.

Reacties (10)
06-05-2010, 13:20 door eMilt
Microsoft had deze twee bugfixes inderdaad beter kunnen benoemen omdat het hier gaat om een cache poisoning probleem.

Trouwens de installatie van deze patch zorgde er bij mij voor dat op alle servers de settings van de SMTPSVC service gereset werden naar default settings. Ook niet echt fijn Microsoft...
06-05-2010, 13:39 door ekim
Als MS "hush hush" doet over het patchen van zo'n probleem, zal de kans erg groot zijn dat dit op grote schaal is misbruikt. Of sla ik nu heel ver naast die plank?

yay -1? lol
06-05-2010, 16:23 door Anoniem
Door ekim: Als MS "hush hush" doet over het patchen van zo'n probleem, zal de kans erg groot zijn dat dit op grote schaal is misbruikt. Of sla ik nu heel ver naast die plank?

yay -1? lol

jaaj -2 als ik een account had LOL
06-05-2010, 17:43 door Anoniem
Ik denk dat je er niet ver naast zit met je gedachte ekim héhé.
En btw ik wil ze geen steen gooien en ze houden het wel in het oog, maar in dit geval sloeg MS de plank mis niet u.
06-05-2010, 18:30 door [Account Verwijderd]
[Verwijderd]
06-05-2010, 18:31 door [Account Verwijderd]
[Verwijderd]
07-05-2010, 07:53 door Anoniem
Geen patches gezien hier...
07-05-2010, 08:49 door Anoniem
Door ekim: Als MS "hush hush" doet over het patchen van zo'n probleem, zal de kans erg groot zijn dat dit op grote schaal is misbruikt. Of sla ik nu heel ver naast die plank?

Microsoft lijkt juist problemen bekend te maken die al misbruikt worden. Want dan heeft het ook geen zin om de patch geheim te houden. De criminelen kennen het probleem al. En als je het bekend maakt, is de kans groot dat men deze patch zo snel mogelijk uitrolt.

Peter
07-05-2010, 13:20 door Dev_Null
Geeft me geen lekker gevoel, dat stiekume patchen.
- Aan de ene kant wil je niet te koop lopen als fabrikant met de gevonden lekken,error.
- en als ict dienstenleverancier ben je aan de grillen van je fabrikanten overgeleverd,
- Aan de klanten kant, kan ik me de vraag voorstellen.... wat vertellen ze me nog meer niet?

Wie weet is deze geheimzinnigheid, een leuke aanleiding tot een "patch-check service", waarbij een 'net-uitgebrachte patch" geheel doorgelicht, ge-reverse-engineerd gaat worden, door een 3e, neutrale party, om objectief nieuws uitte brengen wat er werkelijk is "gepatched".
07-05-2010, 14:57 door Anoniem
Ook hier niets gemerkt ....

Chung Hui & Jorrit C
Sectrust.ams.osd/Crew
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.