Expert vreest meer Microsoft-noodpatches door Google
Het programma van Google om naar kwetsbaarheden in populaire software te zoeken kan dit jaar voor meer noodpatches van Microsoft zorgen. Daarvoor waarschuwt Lane Thanes van beveiligingsbedrijf TripWire. De zoekgigant kondigde vorig jaar de oprichting van het Project Zero Team aan.
Dit is een team van elite hackers en onderzoekers die zowel in de software van Google als andere leveranciers naar beveiligingsproblemen zoeken. Zodra er een kwetsbaarheid wordt gevonden krijgt de betreffende leverancier 90 dagen de tijd om het probleem te verhelpen. Daarna worden de details automatisch openbaar gemaakt, ongeacht of er een beveiligingsupdate beschikbaar is.
"Gemiddeld zal Microsoft, gezien de vaste patchdinsdag en het rigide tijdsvenster van Project Zero, slechts 70 tot 80 dagen de tijd hebben om patches voor door Google ontdekte kwetsbaarheden te ontwikkelen, te testen en uit te rollen", waarschuwt Thanes. Google publiceerde begin dit jaar al de details van verschillende Windowslekken, tot ergernis van Microsoft. De impact van de lekken viel echter mee, waardoor de softwaregigant geen noodpatch uitbracht en de lekken via de standaard patchdinsdag verhielp.
Ik heb afgelopen jaar een paar gaten aangemeld bij leveranciers. Die 90 dagen is nog kort vergeleken bij wat sommige bouwers aanhouden. Eentje is al ruim een half jaar bezig met "breng de laatste patches aan en test het maar weer". Als we de spullen niet zelf gebruikten, zou ik de informatie openbaar maken.
Peter
Ik snap daarom de vrees ook niet echt.
Les 1 marketing: "Een ontevreden klant die daar melding van maakt, is een trouwe klant!"
Steve Balmer zei het zo "Microsoft is perfect (!!!!! -"perfectly capable") in staat om zelf mogelijke fouten in de eigen producten te vinden en op te lossen. Dank u." Nou, dat hebben we dan gezien.
Het werd hoog tijd dat Microsoft door externe onafhankelijke toetsing bij de (security) les wordt gehouden! Hulde voor Google hierbij!
Het probleem is niet het melden van fouten. Het probleem is, dat MS een schema heeft waarop het patches uitbrengt. Dit is gedaan, om het beheerders makkelijker te maken om de spullen bij te houden. Voor iedere tussentijdse patch moet een heel circus worden opgetuigd om in een grote onderneming alles veilig te krijgen. Vergeet niet, dat zo'n bedrijf moet testen of er systemen zijn, die niet tegen die patch kunnen. Wanneer dat het geval is, moet worden beoordeeld hoe groot het risico van het lek voor de onderneming is en wat er moet gebeuren om dat risico weg te krijgen. Dit doe je liever niet ad hoc maar volgens een planbaar schema.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
