image

Expert vreest meer Microsoft-noodpatches door Google

vrijdag 6 februari 2015, 15:12 door Redactie, 9 reacties

Het programma van Google om naar kwetsbaarheden in populaire software te zoeken kan dit jaar voor meer noodpatches van Microsoft zorgen. Daarvoor waarschuwt Lane Thanes van beveiligingsbedrijf TripWire. De zoekgigant kondigde vorig jaar de oprichting van het Project Zero Team aan.

Dit is een team van elite hackers en onderzoekers die zowel in de software van Google als andere leveranciers naar beveiligingsproblemen zoeken. Zodra er een kwetsbaarheid wordt gevonden krijgt de betreffende leverancier 90 dagen de tijd om het probleem te verhelpen. Daarna worden de details automatisch openbaar gemaakt, ongeacht of er een beveiligingsupdate beschikbaar is.

"Gemiddeld zal Microsoft, gezien de vaste patchdinsdag en het rigide tijdsvenster van Project Zero, slechts 70 tot 80 dagen de tijd hebben om patches voor door Google ontdekte kwetsbaarheden te ontwikkelen, te testen en uit te rollen", waarschuwt Thanes. Google publiceerde begin dit jaar al de details van verschillende Windowslekken, tot ergernis van Microsoft. De impact van de lekken viel echter mee, waardoor de softwaregigant geen noodpatch uitbracht en de lekken via de standaard patchdinsdag verhielp.

Reacties (9)
06-02-2015, 15:43 door meinonA
Ik snap/zie het probleem eigenlijk niet. Een kwart jaar is toch een hele schappelijke tijd om iets te fixen?
06-02-2015, 16:37 door Anoniem
Door meinonA: Ik snap/zie het probleem eigenlijk niet. Een kwart jaar is toch een hele schappelijke tijd om iets te fixen?

Ik heb afgelopen jaar een paar gaten aangemeld bij leveranciers. Die 90 dagen is nog kort vergeleken bij wat sommige bouwers aanhouden. Eentje is al ruim een half jaar bezig met "breng de laatste patches aan en test het maar weer". Als we de spullen niet zelf gebruikten, zou ik de informatie openbaar maken.

Peter
06-02-2015, 19:09 door Anoniem
Beter een noodpatch extra dan langer bloot worden gesteld aan een 0-day.
Ik snap daarom de vrees ook niet echt.
06-02-2015, 19:21 door Anoniem
Ik vrees de niet-openbare exploits van, om maar een partij te noemen, VUPEN, véél meer dan het (incompetente?) patch-beleid van MS.

Les 1 marketing: "Een ontevreden klant die daar melding van maakt, is een trouwe klant!"
07-02-2015, 14:01 door [Account Verwijderd] - Bijgewerkt: 07-02-2015, 14:01
[Verwijderd]
07-02-2015, 17:52 door Anoniem
In 2003 sloten Google en Mozilla (Firefox) een overeenkomst om elkaars browser te testen en gevonden problemen aan elkaar te melden.(Dus niet publiekelijk.) De enige fabrikant die hier niet aan mee wilde werken was.... Microsoft.
Steve Balmer zei het zo "Microsoft is perfect (!!!!! -"perfectly capable") in staat om zelf mogelijke fouten in de eigen producten te vinden en op te lossen. Dank u." Nou, dat hebben we dan gezien.
07-02-2015, 17:59 door Anoniem
@mijzelf.
Steve Balmer moet natuurlijk Steve Ballmer zijn.
09-02-2015, 09:09 door Anoniem
Door Krakatau: De kop van het artikel zou moeten zijn: Expert juicht meer Microsoft-noodpatches door Google toe.

Het werd hoog tijd dat Microsoft door externe onafhankelijke toetsing bij de (security) les wordt gehouden! Hulde voor Google hierbij!

Het probleem is niet het melden van fouten. Het probleem is, dat MS een schema heeft waarop het patches uitbrengt. Dit is gedaan, om het beheerders makkelijker te maken om de spullen bij te houden. Voor iedere tussentijdse patch moet een heel circus worden opgetuigd om in een grote onderneming alles veilig te krijgen. Vergeet niet, dat zo'n bedrijf moet testen of er systemen zijn, die niet tegen die patch kunnen. Wanneer dat het geval is, moet worden beoordeeld hoe groot het risico van het lek voor de onderneming is en wat er moet gebeuren om dat risico weg te krijgen. Dit doe je liever niet ad hoc maar volgens een planbaar schema.
09-02-2015, 23:04 door Anoniem
Best eigenaardig wat in het register van Win staan zowel Google en Firefox in dacht ik.

Ik weet het al niet zeker meer maar ik wipte ze er in alle geval uit. :o)

Dat Google maar naar zijn eigen rommel kijkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.