En hoppa! Weer eentje! Nog meer functionaliteit 'tijdelijk' uitzetten (nadat je de print spooler al moest uitzetten).

En ja, ik weet het, Linux heeft de Sequoia local privilege escalation, maar ja, daarvoor zijn natuurlijk al patches beschikbaar, die ook gemakkelijk zijn te installeren. Ik ben benieuwd hoe lang het Microsoft gaat kosten om patches te maken en uit te rollen. In ieder geval wachten tot de volgende Patch Tuesday? #kots

als je anno 2021 nog 'functionaliteit' toevoegt, moet je wel zeker weten dat het veilig kan...
dat is bij bijna alle windows features van de afgelopen 10 jaar zeker niet het geval.

Kan de Europese unie geen boete geven of zo, zodat ze meer gedwongen worden betere developers te nemen.

Gebruik jij Linux alleen maar voor de query: microsoft,windows site:security.nl ?

https://duckduckgo.com/?q=microsoft%2C+windows+site%3Asecurity.nl&df=m&ia=web

...want je zit er altijd als een roofvogel bovenop.

Ik gebruik sinds v.17 Linux Mint en ik denk bij dit en vergelijkbaar nieuws over Microsoft: "Het gaat mij niet aan".

Dat zie ik niet zo snel gebeuren, want de bureaucratie van de Europese Commissie, en die van de EU lidstaten zelf, zit gekluisterd aan Microsoft. Het grootkapitaal in de VS zal er alles aan doen om deze afhankelijkheid in stand te houden, zodat de uitbuiting van de EU, die als een digitale kolonie van de VS fungeert, ongestoord voort kan gaan.

https://www.investigate-europe.eu/en/2017/europes-dire-dependency-on-microsoft/

Ik wil je niet teleurstellen maar: https://www.cvedetails.com/top-50-products.php

1 Debian Linux Debian OS 5092
2 Android Google OS 3750
3 Ubuntu Linux Canonical OS 2985
4 Mac Os X Apple OS 2759
5 Linux Kernel Linux OS 2678
6 Windows 10 Microsoft OS 2313
7 Iphone Os Apple OS 2299

Ik gebruik het beiden. En we weten allemaal dat als Linux de plaats had ingenomen elke cybercrimineel daar weer een business model om opzet. Part of the deal denk ik dan. Zal misschien wat langer duren maar "elk slot"is te kraken. Dit is wel heel ernstig natuurlijk.

Ik weet nog die presentatie van Steve Balmer... developers developers... moesten veilig programmeren meer embedden. Ik dacht bij mezelf succes. Want ik ben ook developer geweest en een switch gemaakt naar security. Het leeft niet echt bij developers tenzij het verplicht wordt en er op afgerekend wordt. Maar voorkomen is 100 keer beter natuurlijk. De industrie moet zich veel meer richten op compilers die zich ook op security issues richten.

Een developer is doorgaans bezig met zijn deadline en het oplossen van issues. Security komt altijd ergens achteraan wat niet hoort natuurlijk.

MS zal het wel weer oplossen maar het is wel een les voor bepaalde overheidsdiensten die zwaar op MS leunen. Maar dat kwijnt ook weer weg nadat de patch is doorgevoerd.

Zal een manager niet bommen die denkt. Oke lek wanneer is het opgelost. Wat zijn de consequenties ..resources material en human en costs...
Klaar

Leger en veiligheidsdiensten is weer andere koek natuurlijk... hoop ik. Maar die hebben weer toeleveranciers...

Ach we zijn lekker bezig het gaat om Risk mitigation.

niets lullig hoor, maar als mijn bank windows gebruikt op kantoor bijvoorbeeld, dan gaan dit soort fratsen wel impact ook op mij hebben... het is voor de hele wereld beter als dit soort zooi er niet zou zijn!

Appels met peren vergelijkingen, dat is hier al zo vaak ontkracht. Bovendien: alle software bevat fouten, het gaat erom: a) hoe snel en hoe goed de problemen worden opgelost; b) of de oplossing voor het ene probleem niet een ander probleem veroorzaakt (met name bij spaghetticodebouwwerken een probleem, zo blijkt); c) hoe goed is je updatemechanisme? (is het traag en moet je bijna altijd rebooten, of is het snel, robuust en betrouwbaar en hoef je alleen te rebooten indien écht nodig).

Ah als het je niet uit komt is het appels en peren?

a) Onder het kopje Windows 10 valt alleen het besturingssysteem. Onder de kopjes <vul-distro-in>Linux vallen alle te installeren packages (in tegenstelling tot Windows installeer je onder Linux normaliter via de package manager dus daar valt zowat alle software onder die er voor Linux is).

b) De verschillende Linux distributies hebben een gigantische doorsnede, die het beeld vertekent. De verschillen tussen de Linux distributies zitten 'm voornamelijk in de gebruikte package manager en wat distributiespecifieke software; de hoofdmoot is onder alle distributies ongeveer gelijk.

c) Indien je de focus beperkt tot Windows 10 en Linux kernel, kijk dan eens onder 2021 (doorklikken op beide kopjes) want de Linux kernel (vanaf 1999) is heel wat ouder dan Windows 10 (vanaf 2015) dus het is gewoon misleidend om dan de totalen op te gaan voeren.

d) Dat geldt ook voor <vul-distro-in>Linux (meestal veel ouder) en Windows 10 (2015) dus ook daar misleidend om de totalen op te gaan voeren.

Appels met peren dus (en dat is hier al vaak uitgekauwd); "Lies, damned lies, and statistics"

https://en.wikipedia.org/wiki/Lies,_damned_lies,_and_statistics

Wat snap je hier niet aan?
5 Linux Kernel Linux OS 2678
6 Windows 10 Microsoft OS 2313

Linux kernel is enkel Linux kernel
Windows 10 is meer dan Windows kernel.

Lees mijn reactie nog eens goed. Klik op Windows 10 en zie dat hier voor de totalen die je noemt vanaf 2015 wordt opgeteld; klik op Linux Kernel en zie dat hier voor de totalen die je noemt vanaf 1999 wordt opgeteld. Als je de recente cijfers gebruikt (bv. voor alleen 2021) dan kom je op: Windows 10: 309 en Linux Kernel: 108.

N.B. Als je doorklikt op Windows 10 en naar de vulnerabilities kijkt dan valt daar zo te zien hoofdzakelijk onder wat bij Linux onder 'kernel' valt (er zijn ook aparte kopjes voor bv. Internet Explorer). Dus de woordkeus Windows 10 vs. Linux kernel is ook al misleidend.

De andere punten die ik aan heb gedragen zijn net zo geldig. Dus appels met peren vergelijking; bagger site; "Lies, damned lies, and statistics".

https://en.wikipedia.org/wiki/Lies,_damned_lies,_and_statistics

Ik moet hierin Toje Fos gelijk geven.

Kijk eens goed naar die pagina. De cijfers die je citeerde zijn van de categorie "All Time Leaders". Dat betekent dat je daar cijfers die zo'n 30 jaar omvatten (Linux kernel, Debian) vergelijkt met cijfers die zo'n 6 jaar omvatten (Windows 10). Je krijgt een eerlijker beeld als je bijvoorbeeld op 2020 klikt en ziet wat de cijfers voor de produkten in hetzelfde jaar waren. Dan wordt het ranglijstje opeens heel anders: eerst Android, dan drie Windows-versies, dan pas een Linux-distributie.

Maar ook dat is geen eerlijke vergelijking omdat er ongelijksoortige produkten worden vergeleken. In de cijfers voor een Windows-versie zullen niet alle cijfers voor MS Office en diverse andere pakketten meegenomen zijn, omdat dat afzonderlijke produkten zijn. Maar een Linux-distributie is inclusief al dat soort software, dus wat binnen dat produkt valt is aanzienlijk veel meer dan bij Windows.

Je kan makkelijk controleren dat dit klopt door op een telling te klikken. Dat levert een lijst met CVE's op. Doe je dat voor Windows 10 dan krijg je allerlei kwetsbaarheden in onderdelen van Windows 10 te zien. Doe je dat voor Debian dan krijg je naast kwetsbaarheden in de Linux-kernel en andere onderdelen van het basissysteem ook allerlei kwetsbaarheden in optionele pakketten te zien: in Java, in PDF-readers, in Media-Wiki, in mailsoftware, in Firefox, noem maar op, het staat er allemaal bij.

Ook niet onbelangrijk: niemand installeert alles. Het is lang geleden dat ik Windows heb geïnstalleerd, maar ik neem aan dat je daar nog steeds de nodige opties hebt om onderdelen wel of niet te installeren. Lekken in niet geïnstalleerde onderdelen raken je niet. Het beeld bij een Linux-distributie is nog veel extremer omdat zowat alles wat je aan software bovenop je OS installeert ook onderdeel van de distributie is en wordt meegerekend in deze cijfers. Debian bestaat (met de repository's die ik gebruik) nu uit zo'n 85.000 pakketten, waarvan ik er nog geen 3.000 geïnstalleerd heb op mijn desktopsysteem. Dat is nog geen 4% van de beschikbare pakketten. Dan zullen lekken in ruim 96% van de pakketten die tot Debian worden gerekend mijn systeem niet raken.

Het is een vergelijking tussen heel ongelijksoortige dingen, in meerdere opzichten. Het is daarom nogal onzinnig dat deze en soortgelijke websites hoe dan ook allerlei ranglijstjes produceren.

En het is onzinnig om elkaar ermee om de oren te slaan. Door te denken dat het een argument is demonstreer je alleen maar dat je niet begrijpt waar je naar kijkt. Da's geen verwijt overigens, ik heb er zelf zelf ook ooit zo naar gekeken, tot ik beter begon op te letten.

Ik ook :-)

Je hebt gelijk,er zit een bug in die pagina, als je op 2021 klikt krijg je niet de stats van 2021...

Het vergelijken van Windows en Linux blijft lastig omdat je bij Linux wel enkel de kernel kunt bekijken maar bij Windows niet.
Telt de gui wel of niet mee? (om maar wat te noemen)

Waar het me meer om ging is die negatieve reaktie, het gaat nergens over. Het lijkt wel alsof de strijd nog steeds Linux vs Windows is..
Gebruik het OS wat pas bij het doel van je toepassing.

Als je een goede vergelijking wilt maken, dan moet je wel de juiste tabel kiezen: die op basis van de CVSS Score.

https://www.cvedetails.com/top-50-vendor-cvssscore-distribution.php


Niet alleen worden de meeste kwetsbaarheden in het Microsoft ecosysteem gevonden (het huidig totaal staat op 7882), maar naar verhouding ook de meest ernstige (ruim 27% van de kwetsbaarheden onder Microsoft Windows heeft een fatale CVVS score van 9+). Microsoft staat al decennia jaren op nummer 1 als het meest kwetsbare ecosysteem.

Dat is ook niet echt duidelijk, Microsoft maakt veel meer dan Windows alleen, het is een enorm ecosysteem van vele producten.
Linux is enkel de kernel.
Oracle heeft een OS, verschillende database producten en nog andere meuk.
etc..

zucht... kunnen jullie nu besluiten of het nu wel of juist niet zinnig is CVEs te tellen oid? dit zijn zo van die oefenloze discussies steeds... Veel belangrijker vind ik ook hoe lang het duurt voordat je een fix / update hebt, hoe stabiel die is en hoe vaak die dingen kaput maakt en ik denk dat we daar wel een zeer pijnlijk verschil in kwaliteit zouden zien als we dat eens zouden vergelijken!

https://tweakers.net/nieuws/184678/lokale-windows-gebruikers-kunnen-registry-file-met-adminwachtwoordhashes-inzien.html

met daarbij https://docs.microsoft.com/en-us/windows-server/security/kerberos/passwords-technical-overview

"The NT hash is simply a hash. The password is hashed by using the MD4 algorithm and stored.
...
Neither the NT hash nor the LM hash is salted."

dat is dus heel snel met wat rainbow tables aangepakt.... en dan zijn die WWen meteen te gebruiken om andere machines binnen te komen...

kneuzen!

https://en.wikipedia.org/wiki/Crypt_(C)#NT_hash_scheme

beter is een sha512 met 5000 rounds en een salt van 128 bits: https://akkadia.org/drepper/SHA-crypt.txt

En ook hier weer appels en peren vergelijken. Hoe kun je nu alle (bv) Microsoft software vergelijken met (alleen) de Linux kernel. En overigens worden de meeste vulnerabilities nog veroorzaakt door configuratie fouten.

Zoals eerder al is opgemerkt, het gaat helemaal niet om het aantal, maar hoe snel er patches beschikbaar zijn. Oracle is waarschijnlijk een van de slechtste. Daar zitten ook meer juristen dan developers.

Debian, Redhat en Ubuntu (Canonical) zijn complete enterprise-grade distributies die ieder op basis op de Linux kernel werken. Wat ik uit de bovenstaande afgebeeldde CVSS Score tabel afleid, is dat zowel in absolute als relatieve zin de meest ernstige kwetsbaarheden (score categorie 9+) minder frequent voorkomen onder de genoemde vier op Linux gebaseerde systemen, dan onder een omgeving die is ingericht met Microsoft Windows.

Objectief vergelijken blijft is en blijf moeilijk, maar een betere vergelijking van complete ecosystemen dan op basis van de CVSS Score is er waarschijnlijk niet, afgezien van de financiële cijfers uitgedrukt in TCO (total cost of ownership). Er spelen veel factoren in mee. Waar het zeer op aan komt is hoe snel de meest kritieke kwetsbaarheden worden gevonden en hoe snel ze worden verholpen. De open systemen genieten daarin het voordeel.

Windows Server ook kwetsbaar voor lek dat aanvaller SYSTEM-rechten geeft
donderdag 22 juli 2021, 11:27 door Redactie

https://www.security.nl/posting/713384/Windows+Server+ook+kwetsbaar+voor+lek+dat+aanvaller+SYSTEM-rechten+geeft

gelukkig krijgen we ( tenminste kopen ) Windows 11

ja met heel veel verbeteringen !!! aan de GUI... we kunnen niet wachten n op de vernieuwe ronde hoekjes van onze vensters !!

sjonge sjonge sjonge sneue zooi hoor!

En dan nog haalt het het qua uiterlijk, features en stabiliteit bij lange na niet bij bv. KDE onder Linux. Het 'professionele' bedrijf wéér de oren gewassen.

voor die mensen die het niet geheel begrijpen:

https://en.wikipedia.org/wiki/MD4#Security

"... generating a collision is now as cheap as verifying it (a few microseconds)."

en

"In 2011, RFC 6150 stated that RFC 1320 (MD4) is historic (obsolete)."

dat is een mening... er zijn genoeg mensen die de nieuwe ronde hoekjes en ronde gaten in windows 11 wel heel erg mooi vinden!

Héé, dat zou je kunnen automatiseren ;-)


Argus Panoptes.

Inderdaad! Wist je dat er in röntgenapparaten ook WIndows zit? Ik heb ergens gelezen dat dit is gedaan omdat er daar meer programmeurs voor waren te vinden.

De strijd tegen closed source spaghetticodebouwwerken is heilig!