Microsoft: Lekken niet binnen 60 dagen gepatcht
Microsoft zal ernstige beveiligingslekken niet binnen zestig dagen patchen zoals Google wil, zo laat het Security.nl weten. De softwaregigant onthult vandaag een nieuw initiatief voor het rapporteren van beveiligingslekken. Daarbij stapt het af van "responsible disclosure" en kiest het voor Coordinated Vulnerability Disclosure. "Eigenlijk is er niet zoveel veranderd, aan het eind van de dag gaat het om een meer gecoördineerde aanpak", zegt Jerry Bryant, Security Program Manager van het Microsoft Security Response Center.
Volgens de softwaregigant is er een gezamenlijke vijand en moeten zowel onderzoekers als leveranciers nauwer samenwerken. Ook al zijn sommige onderzoekers voorstander van full-disclosure, wil Microsoft toch met ze werken. "We begrijpen de reden, maar zijn geen voorstander van full-disclosure."
Verantwoord
In het kader van Coordinated Vulnerability Disclosure vraagt het onderzoekers of ze bij het kiezen voor full-disclosure toch eerst de softwaregigant willen waarschuwen, ook al is het maar een dag van tevoren. Dat geeft Microsoft de gelegenheid om bijvoorbeeld een fix-it tool te ontwikkelen. Bij de afgelopen zes zero-days verscheen er in alle gevallen binnen een paar dagen een fix-it oplossing, die gebruikers via één muisklik een workaround laat toepassen. "Ook al is er sprake van full-disclosure, we willen toch onze klanten beschermen."
Een andere reden is de term "responsible disclosure" die Microsoft lange tijd hanteerde. Daardoor leek het alsof onderzoekers die zich hier niet aan hielden, onverantwoord bezig waren. Veel van de discussies gingen dan ook over het woord "responsible", in plaats van het probleem in kwestie.
Appels en peren
Gisteren kwam Google met een nieuwe opzet voor het rapporteren van beveiligingslekken. De zoekgigant vindt dat ernstige kwetsbaarheden binnen zestig dagen gepatcht moet worden. Microsoft wil daar niet aan. "We leggen ons niet vast aan een bepaald tijdvenster", merkt Bryant op.
Dat roept natuurlijk de vraag op waarom Google wel ernstige problemen binnen zestig dagen kan verhelpen en Microsoft niet. Maar volgens Bryant is het appels met peren vergelijken. De software van Microsoft draait op miljoenen verschillende systemen en bestaat uit allerlei verschillende versies. "Er is geen eenvoudige formule om binnen een bepaalde tijd met een update te komen. Het noemen van een tijdslijn is voor ons onmogelijk".
Google
Daarbij wijst Bryant naar het ATL-lek dat Microsoft vorig jaar parten speelde. Zelfs de onderzoekers die dit probleem vonden, zeiden dat het niet eenvoudig was op te lossen, mede omdat het probleem ook in de software van derden aanwezig was.
In het geval van het Support en Help Center-lek in Windows XP en Server 2003 werd het probleem binnen 33 dagen opgelost. Dat was alleen mogelijk omdat het twee platformen betrof. De situatie van Microsoft verschilt met die van Google, merkt Bryant op. Aanpassingen aan webapplicaties van Google hoeven alleen aan de backend te worden doorgevoerd. "Dat is niet met de desktop of server te vergelijken."
Lijkt mij logisch. Microsoft bepaalt toch ook niet welk beleid Google hanteert.....
En het is ook wel correct dat Microsoft het vaker in meerdere platformen / versies moet oplossen. Maar soms lijkt het ook of Microsoft iets te laks is om een fout snel op te pakken / op te lossen. Maar goed, hopen dat het beter wordt.
Door Jan15,
Hmm persberichten schrijven hoort er ook bij, je moet de mensen toch informeren, maar ik vind wel dat Microsoft met zoveel medewerkers best wat sneller kan handelen, dat doen ze bij Linux ook.
Vroeger kon het wel, en nu ineens niet meer? en dan beweren ze ook nog steeds dat hun O.S. zo veel veiliger is geworden,
en daar versta ik dan onder minder fouten, dus minder patches, dus minder werk, voor bijv Vista of Windows7.
En 70% weet niet eens van die fix-tools af, en klikken enkel op het update-icoon in de taakbalk, of hebben de auto functie
aanstaan. Het groote gevaar ligt ook bij die 70% van de huis en tuin gebruiker.
Dus werk aan de winkel als je je mensen beter wil beschermen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
