Microsoft legt uit wanneer het beveiligingslekken patcht
Microsoft heeft een document gepubliceerd waarin het uitlegt wat het als beveiligingslekken beschouwt en wanneer kwetsbaarheden worden gepatcht. In juni verscheen al een vroege versie van het document, waarvan nu de definitieve versie is uitgebracht (pdf). Volgens de softwaregigant gaat het echter om een dynamisch document dat in de loop van de toekomst zal worden aangepast.
Het document stelt dat er twee vragen centraal staan bij de beslissing om een beveiligingsupdate te ontwikkelen. De eerste is of de kwetsbaarheid een belofte van een beveiligingsgrens of beveiligingsfeature van Microsoft schendt. Ten tweede wordt gekeken of het beveiligingslek dusdanig ernstig is dat het in aanmerking voor een update komt. Wanneer het antwoord op beide vragen "ja" is, zal de kwetsbaarheid een update ontvangen.
Vervolgens worden alle beveiligingsgrenzen benoemd die Microsoft voor Windows heeft opgesteld en of die in aanmerking voor een update komen wanneer er een kwetsbaarheid in wordt gevonden. Ook worden beveiligingsfeatures genoemd die tegen dreigingen moeten beschermen en in aanmerking voor een update komen. Het gaat dan om features zoals BitLocker, Secure Boot en Windows Hello. Zowel in het geval van de beveiligingsgrenzen als -features is Microsoft van plan om eventueel gevonden kwetsbaarheden te patchen.
Voor zogeheten "Defense-in-depth security features", waaronder User Account Control (UAC), AppLocker en verschillende beveiligingsmaatregelen die exploits moeten voorkomen, heeft Microsoft geen plan om eventueel gevonden problemen te verhelpen. Ook zullen onderzoekers niet worden beloond voor het vinden en melden van problemen in een deel van deze security features. Onderzoekers die erin slagen om de exploitbescherming van Microsoft te omzeilen kunnen echter wel op een beloning rekenen. Microsoft hoopt met het document onderzoekers meer duidelijkheid te geven of een gemelde kwetsbaarheid zal worden gepatcht.
Tja, als je als bedrijf een beetje krap bij kas bent dan moet je gaan beknibbelen op de veiligheid. Wat heet 'ernstig'? Slechts een 'klein aantal' zal gebruikers worden besmet en ten prooi gaan vallen aan ransomware. Altijd patchen om dat hoe dan ook uit te sluiten? Welnee! Da's veels te duur!
U bent wel erg negatief. U hebt in geen enkel bedrijf vertrouwen??
Tja... Als er updates beschikbaar maar je wilt niet de moeite nemen om ze te installeren... Dan is het eigen schuld dikke bult nietwaar?
Linux heeft de updates maar je wilt ze niet installeren? Of bedoel je de software die door 'commerciëlen in stacks neergezet zijn'. Wil je die ook niet updaten? Wel netjes alle updates voor alles installeren hoor! Dat is altijd beter. Dan moeten die updates er wel zijn natuurlijk. En zo zijn we weer bij het topic aangeland. Microsoft: wij gebruikers willen updates voor alle beveiligingsproblemen! Kom nou niet aan met 'dat is te duur' of 'dat kost teveel moeite'. Jullie hebben al genoeg geld verdiend aan ons gebruikers en doen dat ook nog steeds.
Je beschrijft nu exact hoe er in enterprises over updaten/bijwerken gedacht wordt. Daarom worden de serveromgeving nauwelijks goed bijgewerkt. O ja, het gaat dan wel erg vaak om OSS Linux die als niet onderscheidende software via commerciëlen in stacks neergezet zijn.
Je haalt twee dingen door elkaar. Bij Linux zijn de patches na een ernstig veiligheidslek héél snel na bekendwording vrijgegeven (spreek uit 20 jaar ervaring op het Linux platform). Maar als beheerders ervoor kiezen deze niet te installeren, dan is dat niet de schuld van Linux, maar de schuld van degene die de Linux machines beheren.
Anders is het met Windows: gebruik je Windows, en je wilt een ernstig beveiligingslek zo snel als mogelijk dicht timmeren, dan kan het niet omdat Microsoft ze niet (tijdig) vrij geeft. En dan zit je noodgedwongen met een niet gepatcht systeem.
Zullen we vanaf nu bovenstaande verschil als leidraad nemen in je toekomstige postings? Dat houdt de discussie eerlijk(er).
Als je in gradaties van security issues gaat denken ben je eigenlijk al niet meer geloofwaardig als het gaat om veiligheid. ELK risico, hoe klein ook, zal ALTIJD zo snel als mogelijk verholpen moeten worden teneinde je gebruikers te beschermen tegen ongewenste situaties.
Ik proef hier toch wel enige incompetentie. Het belang van de gebruiker wordt hier niet als speerpunt gezien. Kwalijke zaak, te meer ook omdat je verwacht dat als je een computer met een besturingssysteem koopt (gedwongen, dat ook nog eens een keer), deze ook online de hoogst haalbare veiligheid tracht te behalen. Microsoft garandeert dat niet eens, laat staan dat ze een poging wagen om het ook te bieden.
Je haalt twee dingen door elkaar. Bij Linux zijn de patches na een ernstig veiligheidslek héél snel na bekendwording vrijgegeven (spreek uit 20 jaar ervaring op het Linux platform). Maar als beheerders ervoor kiezen deze niet te installeren, dan is dat niet de schuld van Linux, maar de schuld van degene die de Linux machines beheren.
wilt een ernstig beveiligingslek zo snel als mogelijk dicht timmeren, dan kan het niet omdat Microsoft ze niet (tijdig) vrij geeft. En dan zit je noodgedwongen met een niet gepatcht systeem.
Zullen we vanaf nu bovenstaande verschil als leidraad nemen in je toekomstige postings? Dat houdt de discussie eerlijk(er).
Er worden complete stacks door vommerciëlen neergezet waar de verkoper jouw sprookje beweerd maar de praktijk tegengesteld is.
Kun je je ms haatbril met roze linux kleuren eens afzetten dan wordt de inhoudelijke discussie een stuk beter.
Overigens Android bijwerken gaar fantastisch, niet heus. Iot me linux kent geen beveiligingsproblemen. Gij gelooft dat?
Je haalt twee dingen door elkaar. Bij Linux zijn de patches na een ernstig veiligheidslek héél snel na bekendwording vrijgegeven (spreek uit 20 jaar ervaring op het Linux platform). Maar als beheerders ervoor kiezen deze niet te installeren, dan is dat niet de schuld van Linux, maar de schuld van degene die de Linux machines beheren.
wilt een ernstig beveiligingslek zo snel als mogelijk dicht timmeren, dan kan het niet omdat Microsoft ze niet (tijdig) vrij geeft. En dan zit je noodgedwongen met een niet gepatcht systeem.
Zullen we vanaf nu bovenstaande verschil als leidraad nemen in je toekomstige postings? Dat houdt de discussie eerlijk(er).
Er worden complete stacks door vommerciëlen neergezet waar de verkoper jouw sprookje beweerd maar de praktijk tegengesteld is.
Kun je je ms haatbril met roze linux kleuren eens afzetten dan wordt de inhoudelijke discussie een stuk beter.
Overigens Android bijwerken gaar fantastisch, niet heus. Iot me linux kent geen beveiligingsproblemen. Gij gelooft dat?
Zet je Microsoft Windows spellingscontrole even aan en hou alsjeblieft eens op over IoT en Android want dat heeft wederom helemaal NIETS met dit topic te maken.
Je haalt twee dingen door elkaar. Bij Linux zijn de patches na een ernstig veiligheidslek héél snel na bekendwording vrijgegeven (spreek uit 20 jaar ervaring op het Linux platform). Maar als beheerders ervoor kiezen deze niet te installeren, dan is dat niet de schuld van Linux, maar de schuld van degene die de Linux machines beheren.
wilt een ernstig beveiligingslek zo snel als mogelijk dicht timmeren, dan kan het niet omdat Microsoft ze niet (tijdig) vrij geeft. En dan zit je noodgedwongen met een niet gepatcht systeem.
Zullen we vanaf nu bovenstaande verschil als leidraad nemen in je toekomstige postings? Dat houdt de discussie eerlijk(er).
Er worden complete stacks door vommerciëlen neergezet waar de verkoper jouw sprookje beweerd maar de praktijk tegengesteld is.
Kun je je ms haatbril met roze linux kleuren eens afzetten dan wordt de inhoudelijke discussie een stuk beter.
Overigens Android bijwerken gaar fantastisch, niet heus. Iot me linux kent geen beveiligingsproblemen. Gij gelooft dat?
Ik heb ruim 16 jaar ervaring, en ik zie dat het updatebeleid onder Linux stukken sneller en beter is dan onder Windows systemen. Dat een beheerder de systemen niet patcht kan te maken hebben met laksigheid, beleid van het bedrijf of een andere reden. Vanuit de OS-bouwers zijn de patches altijd héél snel gereleased na een grote veiligheidsissue.
Dat is gewoon zo, Karma4! Als je anders beweert diskwalificeer je je andermaal. Zoals jij dingen weergeeft heb ik trouwens helemáál niet het idee dat je regelmatig met Linux systemen hebt gewerkt. Maar soit, vergeet dat even, want het gaat nu hier om het OS van de "gewone" gebruiker. De Windows gebruikers hebben afgelopen dinsdag hun patch mogen ontvangen. Op al mijn Linuxbakken stond de patch voor deze issue al dezelfde morgen ná uitbraak klaar om geïnstalleerd te worden. Dat is niet door mij verzonnen, maar een feit. En dus is dat toch beter geregeld dan onder Windows?
Android is gebouwd op een door Google gemodificeerde Linux-kernel, en de (sub)lagen daarboven zijn ontwikkeld en worden onderhouden door diezelfde Google. Dan kun je dus Linux niet op één hoop gooien met Android. Dat Google op het Android platform er een rommeltje van maakt qua updates is wederom niet de schuld van de Linux-ontwikkelaars, maar van Google.
Mark Twain zei ooit: First get your facts right, and later you can distort them as you please. Deze wijsheid is jou op het lijf geschreven, nietwaar?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
