Nieuws

Door Microsoft gevonden lekken traag gepatcht

donderdag 29 juli 2010, 16:01 door Redactie, 5 reacties

Beveiligingslekken die werknemers van Microsoft in de producten van andere leveranciers ontdekken worden maar langzaam gepatcht. Dat is te lezen in het jaarrapport van het Microsoft Vulnerability Research Program (MSVR). Van alle gerapporteerde kwetsbaarheden was 55% na een jaar nog altijd niet gepatcht. Een beter resultaat dan in 2008, toen het om 87% ging. Verder nam het aantal lekke leveranciers af. Vorig jaar werden er kwetsbaarheden bij 19 leveranciers ontdekt, terwijl dat een jaar eerder er 32 waren.

Microsoft noemt de trend positief en is niet verrast dat 55% van de lekken langer dan een jaar op een patcht wacht. "De meeste lekken die Microsoft ontdekt zijn low-level problemen in de architectuur die niet eenvoudig zijn te verhelpen en leveranciers hebben vaak veel tijd nodig om een effectieve oplossing te ontwikkelen en die grondig te testen."

Aanpak
Een voorbeeld van het MSVR was het ernstige lek in de Microsoft Active Template Library (ATL), die met Visual Studio wordt geleverd. Ontwikkelaars gebruiken ATL voor het maken van ActiveX controls en andere componenten. De controls die met de kwetsbare library waren ontwikkeld liepen volgens Microsoft ook risico om aangevallen te worden. Uiteindelijk hadden 37 verschillende leveranciers met het probleem te maken, die Microsoft allemaal werden ingelicht.

Ondanks alle adviezen en begeleiding hadden slechts twaalf ontwikkelaars na het gehele proces het lek gepatcht. Daarnaast had Microsoft voor zes ActiveX controls een kill-bit uitgebracht. "Ondanks de in het algemeen positieve resultaten, maakt de ATL-respons duidelijk dat de software-industrie nog steeds veel werk te verrichten heeft om een gezamenlijke, consistente aanpak te ontwikkelen voor het reageren op beveiligingslekken", aldus Microsoft.

Microsoft
Een aanpak die steeds belangrijker wordt, want 84,5% van alle gerapporteerde kwetsbaarheden in de tweede helft van 2009 bevonden zich in applicaties en add-ons. Besturingssystemen zijn voor 9,5% van alle lekken verantwoordelijk, gevolgd door browsers met 6,1%. Verder blijkt dat 5,2% van alle lekken die in dezelfde periode werden gemeld op naam van Microsoft komen.

Afname incidenten verrast beveiligers (Podcast)

Veel spyware in Android en iPhone apps

Reacties (5)

29-07-2010, 16:28 door -ItsMe-

Van alle gerapporteerde kwetsbaarheden was 55% na een jaar nog altijd niet gepatcht. Een beter resultaat dan in 2008, toen het om 87% ging.

Ja, maar ze moeten zich nog steeds schamen.
D'r is niks leukers dan statistiek...

Goed, maar het gaat natuurlijk om het feit dat fouten gevonden worden en dan vervolgens gepatcht. Dan is het nogal schandalig dat ze er kennelijk in meer dan de helft van de gevallen er meer dan een jaar over doen. Stel je nu eens voor dat je een gat van 1m bij 1m in het wegdek van bijvoorbeeld de A1 hebt zitten. Gevaarlijk, kritiek zelfs, en er dan een jaar over doen om het te dichten? Het is raar dat ze dit met droge ogen durven te zeggen.

29-07-2010, 17:11 door Anoniem

ItsMe, wel even verder lezen. Ze waren afhankelijk van/ gaven anderen de tijd om met oplossingen te komen ;-)

30-07-2010, 02:15 door Duck-man

"Ontwikkelaars gebruiken ATL voor het maken van ActiveX controls en andere componenten. De controls die met de kwetsbare library waren ontwikkeld liepen volgens Microsoft ook risico om aangevallen te worden."

Ja ja nu snap ik het. Er is een lek in een MS product en die wordt door derden gebruikt in hun software. MS ontdekt het lek repareert dit lek (hoop ik) en nu moeten de derden hun software weer opnieuw maken.
oke duidelijk verhaal.

30-07-2010, 09:17 door Anoniem

Door Anoniem: ItsMe, wel even verder lezen. Ze waren afhankelijk van/ gaven anderen de tijd om met oplossingen te komen ;-)

Lekker excuus om niets te hoeven doen.

30-07-2010, 09:57 door -ItsMe-

Door Anoniem: ItsMe, wel even verder lezen. Ze waren afhankelijk van/ gaven anderen de tijd om met oplossingen te komen ;-)

Tja, zo lusten we er nog wel een paar, niet? Gelukkig knipoog je erbij, anders zou ik het serieus nemen.... Zo hebben ze, als ik me niet vergis (want het is lang geleden), bijna anderhalf jaar op hun handen gezeten om het lek te dichten dat het toe liet om de XP firewall (als het de naam al mocht dragen...) van buiten af uit te zetten. Maar een goede reden heb ik nooit gehoord.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer