image

Microsoft publiceert criteria voor patchen van beveiligingslekken

woensdag 13 juni 2018, 10:55 door Redactie, 10 reacties

Microsoft heeft criteria voor het patchen van beveiligingslekken gepubliceerd zodat onderzoekers weten waar ze aan toe zijn als ze een kwetsbaarheid bij de softwaregigant melden. Volgens Microsoft willen beveiligingsonderzoekers meer duidelijkheid of een gemelde kwetsbaarheid zal worden gepatcht.

De nu gepubliceerde "Security Servicing Commitments" moeten hiervoor zorgen (pdf). Het document stelt dat er twee vragen centraal staan bij de beslissing om een beveiligingsupdate te ontwikkelen. De eerste is of de kwetsbaarheid een belofte van een beveiligingsgrens of beveiligingsfeature van Microsoft schendt. Ten tweede wordt gekeken of het beveiligingslek dusdanig ernstig is dat het in aanmerking voor een update komt. Wanneer het antwoord op beide vragen "ja" is, zal de kwetsbaarheid een update ontvangen.

Het document laat verder zien welke beveiligingsgrenzen en beveiligingsfeatures in de producten van Microsoft aanwezig zijn en hoe de ernst van een beveiligingslek wordt bepaald. Daarin laat Microsoft weten dat als een beveiligingslek als Ernstig of Belangrijk is beoordeeld en het betrekking heeft op een beveiligingsgrens of beveiligingsfeature, de kwetsbaarheid via een beveiligingsupdate zal worden verholpen. Ernstige beveiligingslekken zijn kwetsbaarheden waardoor een aanvaller zonder interactie van gebruikers op afstand code op het systeem kan uitvoeren.

Reacties (10)
13-06-2018, 13:20 door Anoniem
Dit zouden meer bedrijven moeten doen. Publiek inzicht geven wanneer een onderzoeker mag verwachten dat een probleem zal worden verholpen.

Wat de onderzoekers vaak niet melden is welk belang ze zelf hebben om een security bug belangrijk te maken. Bounty hunters hebben er belang bij om swag of geld te ontvangen en hun cv te pimpen. Studenten en universiteiten hebben er belang bij om hun onderzoek en studie te promoten om hun cv te pimpen en meer studenten en geld te ontvangen. Andere onderzoekers hebben er belang bij om hun eigen ego te strelen en anderen hun mening op te leggen.

Waarom bedrijven het publiek geen inzicht geven? Omdat ze bang zijn voor kritiek op beslissingen. Omdat ze openlijk geen beslissingen te durven nemen over de toekomst. Omdat ze geen flauw benul hebben wanneer ze een fout wel of niet belangrijk genoeg vinden (en dan de ene keer wel patchen en de andere keer niet).
14-06-2018, 09:04 door -karma4 - Bijgewerkt: 14-06-2018, 09:13
Door Anoniem: Dit zouden meer bedrijven moeten doen. Publiek inzicht geven wanneer een onderzoeker mag verwachten dat een probleem zal worden verholpen.

Weet je wat nog veel beter is dan protocollen voor spin doctors verzinnen? Beveiligingsproblemen tijdig oplossen!

https://www.security.nl/posting/564323/Ongepatcht+Windows-lek+onthuld+nadat+Microsoft+deadline+mist
14-06-2018, 10:13 door karma4
Door The FOSS:
Weet je wat nog veel beter is dan protocollen voor spin doctors verzinnen? Beveiligingsproblemen tijdig oplossen!
De tweede posting in dit draadje en de start met de negatieve adhing is weer begonnen. Zoals gewoonlijk vanuit ..
De communicatieve vaardigheden om er positief in te steken om samen iets aan informatieveiligheid te doen ... tja
Als enkel bashing beheerst schiet het niet op.
14-06-2018, 11:05 door -karma4
Door karma4:
Door The FOSS:
Weet je wat nog veel beter is dan protocollen voor spin doctors verzinnen? Beveiligingsproblemen tijdig oplossen!
De tweede posting in dit draadje en de start met de negatieve adhing is weer begonnen.

Mijn reactie is on topic!
14-06-2018, 11:33 door Anoniem
Door karma4:
Door The FOSS:
Weet je wat nog veel beter is dan protocollen voor spin doctors verzinnen? Beveiligingsproblemen tijdig oplossen!
De tweede posting in dit draadje en de start met de negatieve adhing is weer begonnen. Zoals gewoonlijk vanuit ..
De communicatieve vaardigheden om er positief in te steken om samen iets aan informatieveiligheid te doen ... tja
Als enkel bashing beheerst schiet het niet op.

kom uit je dogma! je helpt hier niemand mee.
15-06-2018, 06:43 door karma4
Door Anoniem:
kom uit je dogma! je helpt hier niemand mee.
Het dogma van linux is good microsoft is bad is iets waar niemand wat mee opschiet.
Eric Arthur zijn verhaaltje was ooit verplichte kost.
15-06-2018, 08:24 door -karma4 - Bijgewerkt: 15-06-2018, 08:27
Door The FOSS:
Door Anoniem: Dit zouden meer bedrijven moeten doen. Publiek inzicht geven wanneer een onderzoeker mag verwachten dat een probleem zal worden verholpen.

Weet je wat nog veel beter is dan protocollen voor spin doctors verzinnen? Beveiligingsproblemen tijdig oplossen!

https://www.security.nl/posting/564323/Ongepatcht+Windows-lek+onthuld+nadat+Microsoft+deadline+mist

Door karma4:
Door Anoniem:
kom uit je dogma! je helpt hier niemand mee.
Het dogma van linux is good microsoft is bad is iets waar niemand wat mee opschiet.

Wie heeft het over Linux? Dat is off-topic! Het gaat hier specifiek over Microsoft Windows !

Door karma4: Eric Arthur zijn verhaaltje was ooit verplichte kost.

Hou toch op! Schertsfiguur!
17-06-2018, 06:25 door karma4
Door The FOSS: Hou toch op! Schertsfiguur!
Ik vond het nogal lachwekkend overkomen een post met jouw medegelovigen. Alle noodzaak om linux op te hemelen want het zou zoveel beter met linux zijn. Iot smartphones de gafa bedrijven nooit iets van oligopolie.

Inderdaad de voorgangers verketteren andergelovigen. Ik heb het niet zo met voorgangers van religies.
Gezien je ad hominem houding moet ik we goed zitten.
17-06-2018, 08:48 door -karma4 - Bijgewerkt: 17-06-2018, 09:05
Door karma4:
Door The FOSS: Hou toch op! Schertsfiguur!
Ik vond het nogal lachwekkend overkomen een post met jouw medegelovigen.

Goed... De feiten uit die post:

Ongepatcht Windows-lek onthuld nadat Microsoft deadline mist

zaterdag 2 juni 2018, 13:47 door Redactie, 38 reacties

Het Zero Day Initiative (ZDI), een securitybedrijf dat onderzoekers betaalt voor het melden van onbekende kwetsbaarheden, heeft een beveiligingslek in Windows geopenbaard waarvoor nog geen update beschikbaar is en waardoor een aanvaller op afstand code kan uitvoeren.

...

Microsoft werd op 23 januari over het probleem ingelicht. Precies drie maanden later liet Microsoft weten dat het problemen had om de kwetsbaarheid zonder proof-of-concept exploit te reproduceren. Een dag later op 24 april stelde het ZDI dat de exploit al met de eerste bugmelding in januari was verstuurd en stuurde de exploit opnieuw.

Op 1 mei bevestigde Microsoft de ontvangst van de exploit. Het ZDI geeft organisaties 120 dagen de tijd om een gemelde kwetsbaarheid te verhelpen, waarna de details openbaar worden gemaakt.
17-06-2018, 09:52 door Anoniem
1) Als je ctrl-f op deze pagina doet en zoek naar het woord linux, dan is de eerste hit in een post van karma en niet van iemand anders. karma is dus de persoon die de topic veranderd van een puur MS verhaal naar een ander OS. ook karma is weer de eerste die onfatsoenlijk doet en met termen als gelovigen en bashen begint te sprinkelen. typisch.

2) on topic, het protocol is een beetje 'vaag' want je zou immers bij intorductie van nieuwe technologie in MS producten geen enkele security beloftes doen en als er dan een ernstig probleem is je verantwoordleijkheid ontlopen door te stellen dat je niets beloofd had. er is nog altijd iets als gezond boeren verstand en dat mensen mogen verwachten dat er een basis kwaliteit gehandhaafd wordt op security vlak en dat MS daar op aansprakkelijk gesteld kan worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.