Expert vreest meer Microsoft-noodpatches door Google
Het programma van Google om naar kwetsbaarheden in populaire software te zoeken kan dit jaar voor meer noodpatches van Microsoft zorgen. Daarvoor waarschuwt Lane Thanes van beveiligingsbedrijf TripWire. De zoekgigant kondigde vorig jaar de oprichting van het Project Zero Team aan.
Dit is een team van elite hackers en onderzoekers die zowel in de software van Google als andere leveranciers naar beveiligingsproblemen zoeken. Zodra er een kwetsbaarheid wordt gevonden krijgt de betreffende leverancier 90 dagen de tijd om het probleem te verhelpen. Daarna worden de details automatisch openbaar gemaakt, ongeacht of er een beveiligingsupdate beschikbaar is.
"Gemiddeld zal Microsoft, gezien de vaste patchdinsdag en het rigide tijdsvenster van Project Zero, slechts 70 tot 80 dagen de tijd hebben om patches voor door Google ontdekte kwetsbaarheden te ontwikkelen, te testen en uit te rollen", waarschuwt Thanes. Google publiceerde begin dit jaar al de details van verschillende Windowslekken, tot ergernis van Microsoft. De impact van de lekken viel echter mee, waardoor de softwaregigant geen noodpatch uitbracht en de lekken via de standaard patchdinsdag verhielp.
Ik heb afgelopen jaar een paar gaten aangemeld bij leveranciers. Die 90 dagen is nog kort vergeleken bij wat sommige bouwers aanhouden. Eentje is al ruim een half jaar bezig met "breng de laatste patches aan en test het maar weer". Als we de spullen niet zelf gebruikten, zou ik de informatie openbaar maken.
Peter
Ik snap daarom de vrees ook niet echt.
Les 1 marketing: "Een ontevreden klant die daar melding van maakt, is een trouwe klant!"
Steve Balmer zei het zo "Microsoft is perfect (!!!!! -"perfectly capable") in staat om zelf mogelijke fouten in de eigen producten te vinden en op te lossen. Dank u." Nou, dat hebben we dan gezien.
Het werd hoog tijd dat Microsoft door externe onafhankelijke toetsing bij de (security) les wordt gehouden! Hulde voor Google hierbij!
Het probleem is niet het melden van fouten. Het probleem is, dat MS een schema heeft waarop het patches uitbrengt. Dit is gedaan, om het beheerders makkelijker te maken om de spullen bij te houden. Voor iedere tussentijdse patch moet een heel circus worden opgetuigd om in een grote onderneming alles veilig te krijgen. Vergeet niet, dat zo'n bedrijf moet testen of er systemen zijn, die niet tegen die patch kunnen. Wanneer dat het geval is, moet worden beoordeeld hoe groot het risico van het lek voor de onderneming is en wat er moet gebeuren om dat risico weg te krijgen. Dit doe je liever niet ad hoc maar volgens een planbaar schema.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
