Microsoft ontkent zerodaylek in Exchange: in augustus al gepatcht
Een kwetsbaarheid in Exchange waardoor een geauthenticeerde aanvaller code op de server kan uitvoeren is al in augustus gepatcht, zo stelt Microsoft dat daarmee berichtgeving van securitybedrijf ZDI ontkent. Het Zero Day Initiative (ZDI) kwam deze week met een blogposting en advisories over vier kwetsbaarheden in Exchange waar een geauthenticeerde aanvaller misbruik van kan maken. Een aanvaller zou in dit geval over inloggegevens van bijvoorbeeld een e-mailaccount moeten beschikken om de misbruik van de lekken te kunnen maken.
Volgens het ZDI is remote code execution met een van de kwetsbaarheden mogelijk en maken de andere drie diefstal van informatie mogelijk, waaronder ook gevoelige informatie. Het securitybedrijf stelt dat het Microsoft op 7 september over de problemen informeerde. Drie weken later liet het techbedrijf weten dat er niet direct voor de vier problemen een patch zou verschijnen. Ook liet Microsoft niet weten wanneer een update te verwachten zou zijn.
"In een notendop: dit wordt mogelijk verholpen of niet. Als ze beslissen om het te verhelpen kan de patch over een jaar of drie jaar verschijnen. We weten helemaal niets", aldus het ZDI. Tegenover Bleeping Computer laat Microsoft weten dat de kwetsbaarheid die remote code execution mogelijk maakt al in augustus is verholpen. De overige drie problemen zullen worden verholpen indien nodig, aldus Microsoft, dat tevens stelt dat het niet mogelijk is om met twee van de lekken gevoelige klantgegevens te stelen of rechten te verhogen, zoals het ZDI beweert.
En nu?
Iedere software bevat bugs, sommige worden geupdate/gefixt andere niet.
Microsoft is een heel groot bedrijf dat heel veel software maakt dus ja Microsoft brengt heel veel fixes voor heel veel software uit.
Als je maar 1 stukje software maakt hoef je ook maar 1 stukje te onderhouden en breng je vast minder vaak fixes uit.
Als je nou SQL Server zou vergelijken met MySQL bijvoorbeeld (en dan ook 1 even oude versie nemen van elk) maak je een juiste vergelijking.
Iedere software bevat bugs, sommige worden geupdate/gefixt andere niet.
Software van Microsoft staat bekend om haar gebrekkige ontwerp & kwaliteit, vandaar dat ze het lachertje zijn van de softwarewereld.
Software van Microsoft staat bekend om haar gebrekkige ontwerp & kwaliteit, vandaar dat ze het lachertje zijn van de softwarewereld.
In de echte wereld zie je dat de software van Microsoft zeer weinig patches nodig heeft in vergelijking met andere software makers.
Denk bv aan Adobe. Ik weet dat we per maand veel meer kritische Adobe vulnerabilities moeten fixen in het handjevol pakketten dat we van hen gebruiken, dan van alle Microsoft software die we gebruiken bij elkaar.
Iedere software bevat bugs, sommige worden geupdate/gefixt andere niet.
Software van Microsoft staat bekend om haar gebrekkige ontwerp & kwaliteit, vandaar dat ze het lachertje zijn van de softwarewereld.
Ik denk dat je in een bubbel leeft. in de echte wereld staat Microsoft erg hoog aangeschreven als het gaat om software ontwikkeling en support. Er zijn software leveranciers die er een beetje met de pet naar gooien naar Microsoft hoort daar niet bij.
Software van Microsoft staat bekend om haar gebrekkige ontwerp & kwaliteit, vandaar dat ze het lachertje zijn van de softwarewereld.
Ik denk dat je in een bubbel leeft. in de echte wereld staat Microsoft erg hoog aangeschreven als het gaat om software ontwikkeling en support. Er zijn software leveranciers die er een beetje met de pet naar gooien naar Microsoft hoort daar niet bij.
#ROFL (iets met onder een steen leven)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
