Microsoft patcht ernstig XP-lek toch binnen 60 dagen
Microsoft zal aanstaande dinsdag vier patches uitbrengen, waarmee het vijf ernstige beveiligingslekken in Windows en Office verhelpt. Onder de gepatchte kwetsbaarheden bevinden zich ook twee 'zero-days' in Windows XP en Windows 7. Het lek in het Windows Help en Support Center werd op 10 juni door Google-onderzoeker Tavis Ormandy onthuld. Hij had Microsoft vijf dagen eerder ingelicht, maar omdat de softwaregigant het lek niet binnen zestig dagen had willen patchen, besloot hij tot full-disclosure over te gaan. Eén van de dingen die de onderzoeker zich afvroeg, was of Microsoft nu wel het lek binnen de door hem gevraagde tijd kon oplossen.
En hij lijkt gelijk te krijgen, want een maand na de openbaarmaking heeft de softwaregigant een update gereed. Toch zijn de meningen over de actie van Ormandy verdeeld. Aan de ene kant zou hij grote bedrijven en overheidsinstanties tegen zero-day aanvallen hebben beschermd. Maar hetzelfde lek wordt nu zeer actief gebruikt voor het besmetten van duizenden eindgebruikers met malware. Microsoft waarschuwde vorige week nog dat het een toename van het aantal aanvallen zag.
Windows 7
Verder verschijnt er ook een update voor een ernstig lek in de 64-bit versie van Windows 7, waardoor aanvallers kwetsbare systemen kunnen overnemen. Het lek is aanwezig in de Canonical Display Driver, die weer wordt gebruikt voor weergave van het Aero glass theme. Een aanvaller zou systemen kunnen laten crashen en herstarten, maar ook het uitvoeren van willekeurige code is in theorie mogelijk. Microsoft liet eerder al weten dat het gat niet op afstand te misbruiken is.
Naast deze twee updates verschijnen er nog twee andere beveiligingsupdates voor Microsoft Office. De patchdinsdag van juli is tevens de laatste patchronde voor Windows 2000 en Windows XP met Service Pack 2. Gebruikers krijgen het advies om naar XP SP3 of Windows 7 te upgraden.
oh ,wacht ,dat zijden ze van alle voorgangers ook.
Alle lekken die er dan nog in zitten,worden niet vermeld.
Daar komen hackers dan achter,die vervolgens melden dat ze wat hebben gevonden.
Dan pas komen er vroeg of laat van de software fabrikant pas de belangrijkste patches uit voor hun programma.
Ze zeiden, Een aanvaller ZOU systemen kunnen laten...
Ik ben toch steeds blij dat ze het nog nakijken en de nodige patches uitbrengen, soms niet al te snel maar ja.
De vraag is dan ook weer, welk systeem is er eigenlijk 100% veilig??
Spijtige van de zaak is dat de PC's die hier op XP Professional draaien het zeker zo goed doen dan die op Win7, juist echt heel zware programma's en de nieuwe reeks spellen daar laat XP het afweten.
Win 7 is al een stuk veiliger hoor maar er zijn altijd van die idioten die wel iets vinden om de boel te verzieken of om eigen geldgewin.
Het probleem zijn de mensen die er mee moeten werken....
Ik geef Microsoft helemaal gelijk, want niemand inclusief Google kan vantevoren bepalen hoelang
de ontwikkeling, eventuele correcties en het complete uittesten van een patch in beslag zullen nemen.
Google wist ook vantevoren wat het als antwoord zou verwachten en heeft met vreugde opzettelijk
het lek binnen 5 dagen gepubliceerd en niet dat alleen maar ook de weg gewezen om er misbruik van te maken!
Als de smoes van Google waar zou zijn, waarom dan niet ook eerst 60 dagen gewacht?
Dit redactie, getuigt van kwader trouw en sch..t hebben aan de internetgebruikers in het algemeen
en de zakelijke klanten van een concurrent in het bijzonder. Dezelfde mensen en bedrijven die ook Google hebben groot gemaakt.
Het gemak waarmee Google tot deze waardeloze actie is overgegaan getuigt ook van een schaamteloze arrogantie!
Ormandy eiste dat Microsoft binnen een week zou antwoorden OF ze binnen 60 dagen een fix gingen uitbrengen. Dat gebeurde niet, en daarom publiceerde hij. Microsoft heeft dus nooit geweigerd binnen 60 dagen een fix uit te brengen, Microsoft gaf gewoon niet snel genoeg antwoord. Een en ander stelt de zaken dus echt in een ander daglicht.
Daarnaast is er weinig aandacht voor de het feit dat Ormandy werkt voor concurrent Google, en dat het motief achter deze aktie waarschijnlijk marketing-technisch was (beschadigen van de concurrentie). Wat dat betreft vind ik dat Ormandy nou niet erg netjes bezig was, en of hij ooit van plan was om het lek -niet- publiek te maken ? Ik betwijfel het ten zeerste.
Een beveiligingsonderzoeker die vulnerabilities gebruikt als wapen om de concurrent marketing-technisch te bestrijden verdient in mijn ogen zeer weinig respect.
oh ,wacht ,dat zijden ze van alle voorgangers ook.
Het probleem zijn de mensen die er mee moeten werken....
Niet mee eens,
de achterliggende code is de boosdoener, als we kijken naar een andere O.S. bijvoorbeeld OpenBSD, dan is die toch stukken veiliger dan alle Windows O.S.(en). Alles begint bij het schrijven van goede code.
Tevens gaat Microsoft voor het geld,en OpenBSD niet, Microsoft wil veel gadgets, software in zijn O.S. en OpenBSD pas als het veilig is. Microsoft is commercieel, en wil heel veel, zonder beter over security na te denken. Want bijna iedere 2 weken
met patches uitkomen noem ik niet echt veilig. Maar ja, het maakt toch niks uit, want Microsoft blijft de markt bepalen, en
de meeste mensen stappen toch niet over op een ander O.S..
Windows7 zou het O.S. zijn, maar het blijkt het toch weer net niet te zijn.
Goede code schrijven, en controleren is het motto.
oh ,wacht ,dat zijden ze van alle voorgangers ook.
Ubuntu wordt ook tot veilig benoemd, maar nu lezen we dus dat die ook een "gapend" lokaal lek had.
Dus om dat nou over windows 7 te zeggen en niet over ubuntu, terwijl net als ubuntu win7 'slechts' een lokaal lek had is een beetje hypocriet, of niet?
Ubuntu is een progressieve telg, die vrij veel recente pakketten in zijn pools opneemt.
Vind je een local exploit voor een BSD, of een generieke local exploit voor linux (dus niet distro afhankelijk)(en voor specifieke kernel versie) dan zit je over dezelfde zaken te praten.
Een local exploit in ubuntu zou je moeten vergelijken met een local exploit voor windows XP SP X met software configuratie van a,b en c, en als een van de variabelen niet de juiste versie is werkt het gat niet.
Maar je hebt gelijk dat de gaten in microsoft software worden bekeken als : een fout in mijn product ! en ik heb hiervoor betaald !
Terwijl gaten in linux distro's eerder met de mantel der liefde onder de mat geveegd worden en bekeken worden als progressie, weer een fout minder !
Maar echt ongelijk hebben ze daar toch ook niet bij vind ik ... linux is nu eenmaal community effort dat gradueel blijft en blijft verbeteren, hier word niemand voor betaald en betaal je zelf ook niets voor .....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
