image

Adobe en Microsoft tegen onofficiële patches

vrijdag 17 september 2010, 11:52 door Redactie, 4 reacties

Zowel Adobe als Microsoft waarschuwen gebruikers voor het installeren van onofficiële patches voor beveiligingslekken. Gisteren publiceerde het Turkse beveiligingsbedrijf Ramz Afzar een eigen oplossing voor een zero-day lek dat hackers actief misbruiken en dat Adobe pas op 4 oktober patcht. De Belgische PDF-expert Didier Stevens merkt op dat Adobe niet zolang bezig is met het ontwikkelen van een patch, maar dat de meeste tijd in het testen gaat zitten.

Volgens Adobe is een DLL-bestand gelijk aan een EXE-bestand. "Gebruikers moeten nooit executables van een onbetrouwbare leverancier op hun machine installeren." Verder hebben gebruikers geen garantie dat toekomstige Adobe updates na het installeren van de onofficiële update nog goed werken. Daarnaast is het mogelijk dat aanpassingen aan het DLL-bestand de functionaliteit van het product ondermijnen, "wat kritieke werkstromen kan ontregelen."

Risicomanagement
Ook Microsoft benadrukt dat het ontwikkelen van een patch niet de meeste tijd kost, maar het testen. "We hebben meer dan 600 miljoen downloads als we een update uitbrengen. Als we 'slechts' 10% van de systemen breken waarop de update is geïnstalleerd, zou het een gigantische denial of service zijn", zegt beveiligingschef Roger Halbheer. Hij vraagt zich ook af hoe goed de onofficiële patch getest is.

Halbheer vraagt zich ook af in hoeverre de leverancier van onofficiële patches zijn te vertrouwen en of die te verwijderen is. "Het is eigenlijk allemaal risicomanagement." Gebruikers moeten in ieder geval nooit zomaar een onofficiële patch installeren, zo besluit hij.

Reacties (4)
17-09-2010, 12:10 door Zeurkool
Mensen die wat van ontwikkelen afweten, weten ook dat er een periode van testen aan vast zit. Zeker voor een complex besturingssysteem zal een dergelijk omvangrijke patch goed getest moeten worden.
Geen probleem mee.
17-09-2010, 12:48 door Bitwiper
Door Redactie: Volgens Adobe is een DLL-bestand gelijk aan een EXE-bestand. "Gebruikers moeten nooit executables van een onbetrouwbare leverancier op hun machine installeren."
Rekening houdend met het gigantische aantal lekken (en 0-day exploits) in Adobe software, wat is een "onbetrouwbare leverancier"?

En Microsoft roept om het hardtst dat andere softwaremakers onveilig DLL's en EXE bestanden naladen, waarna hun eigen apps net zo lek blijken en/of er ook van uitgaan dat dergelijke binaries wel in CWD (Current Working Directory) te vinden zullen zijn. Wat voor soort leverancier is Microsoft daarmee?
17-09-2010, 13:23 door Mysterio
Als je kijkt naar de eisen en mogelijkheden die tegenwoordig aan een besturingssysteem hangen dan is het niet gek dat niet alle vormen van misbruik er tijdens het ontwikkelen uit te halen zijn. Wat geen excuus is om brakke software af te leveren (denk aan de eerste uitgaven van Vista of Windos ME) maar je kunt ook niet eisen dat de ontwikkelaar als een soort helderziende alles meteen kunnen afvangen.

Een probleem oplossen hoeft niet perse moeilijk te zijn, maar om het zo te doen dat je geen andere problemen creëert is een heel ander verhaal. Gebruikers moeten nooit zomaar iets installeren. Adobe en Microsoft kunnen het nooit ondersteunen wanneer iedereen met een eigen fix aan komt zetten.
17-09-2010, 13:51 door Didier Stevens
Adobe en Microsoft (en andere software leveranciers) distanciëren zich vooral van third-party patches omwille van juridische redenen, en niet omwille van technische redenen.

Ze vrezen dat indien ze geen duidelijke waarschuwing geven, ze later gemakkelijker aansprakelijk kunnen gesteld worden voor problemen die voortvloeien uit het gebruik van third-party patches.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.