Nieuws

Microsoft stopt ondersteuning verschillende versies .NET Framework

donderdag 7 april 2022, 09:54 door Redactie, 10 reacties

Microsoft stopt op 26 april de ondersteuning van verschillende versies van het .NET Framework. Deze versies zullen dan geen beveiligingsupdates meer ontvangen en gebruikers wordt aangeraden om te upgraden naar een nieuwere versie. Het .NET Framework wordt gebruikt voor het ontwikkelen en draaien van applicaties op Windows.

Over iets minder dan drie weken zal de support van .NET Framework 4.5.2, 4.6 en 4.6.1 worden stopgezet, zo laat Microsoft via het Windows message center en een blogposting weten. Aanleiding voor de beslissing is het uitfaseren van SHA-1. Het secure hash algorithm (SHA) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden.

Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Sinds 2005 zijn er echter collision-aanvallen op het SHA-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Al sinds 2011 wordt daarom aangeraden SHA-1 uit te faseren. Microsoft besloot in 2019 het veiligere SHA-2-algoritme voor het signeren van Windows-updates te gebruiken en verwijderde in 2020 alle Windows-gesigneerde SHA-1-content van het Microsoft Download Center.

Nu moeten ook bepaalde versies van het .NET Framework eraan geloven. Deze versies zijn gesigneerd met SHA-1. Microsoft zegt dat gezien het aantal downloads en het gebruik van de verschillende versies van het .NET Framework het updaten van .NET Framework 4.6.2 en nieuwer om nieuwe digitale certificaten voor het installatiebestand te ondersteunen voor 98 procent van de gebruikers voldoende zou moeten zijn. Het deel van de gebruikers dat nog met .NET Framework 4.5.2, 4.6 of 4.6.1 werkt zal dan ook moeten upgraden om updates te blijven ontvangen.

Minister Bruins Slot bevestigt gebruik van privémail door Hugo de Jonge

Burgemeester Femke Halsema gebruikte privémail voor werk

Reacties (10)

07-04-2022, 10:09 door Anoniem

Kijk zo gaat dat. Je kunt er wel op rekenen dat de issues veroorzaakt door bugs in oude versies die niet meer geupdate
worden veel meer impact hebben dan het risico dat iemand een met SHA-1 gesignede vervalste versie binnenhaalt, maar
de onderzoekertjes hebben weer hun zin gehad, hun theoretische risico inventarisatie heeft de wereld weer wat
onveiliger gemaakt. Maar niet getreurd, het budget voor volgend jaar is weer veilig gesteld.

07-04-2022, 10:57 door Anoniem

Door Anoniem: ... maar de onderzoekertjes hebben weer hun zin gehad, hun theoretische risico inventarisatie heeft de wereld weer wat onveiliger gemaakt. Maar niet getreurd, het budget voor volgend jaar is weer veilig gesteld.

De fout die je maakt is om te denken dat die lekken niet ontdekt worden als de "onderzoekertjes" die ze nu melden bij softwarebouwers stoppen ernaar te zoeken. Ze worden wél ontdekt, namelijk door een andere groep "onderzoekertjes", die lekken niet meldt maar ze juist misbruikt. Dat zijn criminelen die verdienen aan het exploiteren van lekken. En die zijn net zo goed in staat om lekken te ontdekken als de groep "onderzoekertjes" die ze wel netjes melden.

Het wordt niet veiliger als de goedaardige "onderzoekertjes" stoppen met wat ze doen. Het effect zou zijn dat het altijd de kwaadaardige "onderzoekertjes" zijn die de lekken vinden, en dan krijg je dat lekken altijd pas bekend worden bij de softwarebouwers als ze al misbruikt worden. Zoals het nu gaat kunnen die de reparatie van een kwetsbaarheid meestal al uitrollen voordat het misbruik ervan begint.

07-04-2022, 11:34 door Anoniem

Door Anoniem: Kijk zo gaat dat. Je kunt er wel op rekenen dat de issues veroorzaakt door bugs in oude versies die niet meer geupdate
worden veel meer impact hebben dan het risico dat iemand een met SHA-1 gesignede vervalste versie binnenhaalt, maar
de onderzoekertjes hebben weer hun zin gehad, hun theoretische risico inventarisatie heeft de wereld weer wat
onveiliger gemaakt. Maar niet getreurd, het budget voor volgend jaar is weer veilig gesteld.

Al sinds 2011 wordt daarom aangeraden SHA-1 uit te faseren en wat is nu echt jouw probleem?

07-04-2022, 11:35 door Bitje-scheef

Dit gaat wel e.a. aan problemen opleveren denk ik.

07-04-2022, 11:43 door Anoniem

Door Anoniem: Kijk zo gaat dat. Je kunt er wel op rekenen dat de issues veroorzaakt door bugs in oude versies die niet meer geupdate worden veel meer impact hebben dan het risico dat iemand een met SHA-1 gesignede vervalste versie binnenhaalt, maar de onderzoekertjes hebben weer hun zin gehad, hun theoretische risico inventarisatie heeft de wereld weer wat onveiliger gemaakt. Maar niet getreurd, het budget voor volgend jaar is weer veilig gesteld.

Het goed praten van bekende en geïdentificeerde security problemen komt effectief neer op het accepteren van het risico dat deze misbruikt worden. Dat wordt wel eens vergeten door degene die soort argumenten gebruikt om te besluiten dat een security probleem niet opgelost hoeft te worden.

Waarmee ik niet wil zeggen dat het een verkeerde beslissing is, alleen dat je ook de gevolgen daarvan moet accepteren als die zich voordoen.

07-04-2022, 12:49 door Anoniem

Door Bitje-scheef: Dit gaat wel e.a. aan problemen opleveren denk ik.

Daarom zijn er altijd problemen met MS producten.

07-04-2022, 14:05 door Xavier Ohole

Microsoft stopt ondersteuning verschillende versies .NET Framework
donderdag 7 april 2022, 09:54 door Redactie

@Redactie: Wat hier staat is dat Microsoft stopt met het ondersteunen van verschillende versies van het .NET Framework. Dus dat er geen verschillende versies meer zullen zijn, "there can be only one". Dat is echter niet wat er wordt bedoeld. De kop zou derhalve beter kunnen zijn: Microsoft stopt ondersteuning van een aantal versies v.h. .NET Framework

07-04-2022, 16:45 door Anoniem

Dat Microsoft stopt wil nog niet zeggen dat anderen stoppen want .NET is toch open source geworden?

09-04-2022, 19:01 door Anoniem

Door Bitje-scheef: Dit gaat wel e.a. aan problemen opleveren denk ik.

Nee hoor, eindelijk een aanleiding om antieke troep uit te faseren.

10-04-2022, 21:23 door Anoniem

Dotnet ging de dll-hel oplossen - en heeft dat vervangen door wat anders, is het beter?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer