image

Microsoft beschrijft oorzaak eigen kwetsbaarheden via CWE-standaard

woensdag 10 april 2024, 10:44 door Redactie, 3 reacties
Laatst bijgewerkt: 10-04-2024, 13:04

Microsoft gaat de oorzaak van kwetsbaarheden in de eigen producten voortaan via de CWE-standaard beschrijven. CWE staat voor Common Weakness Enumeration en is een industriestandaard waarmee de onderliggende oorzaak van een kwetsbaarheid wordt beschreven zoals bijvoorbeeld 'verkeerde invoervalidatie', 'gebruik van hard-coded credentials' of 'verkeerde authenticatie'.

Volgens Microsoft moet het gebruik van de CWE-standaard binnen de eigen beveiligingsbulletins voor betere discussies zorgen over het vinden en voorkomen van dergelijke kwetsbaarheden in bestaande software en hardware, en ze ook in toekomstige updates en releases zoveel mogelijk te beperken. "Als industrie kunnen we niet managen wat we niet kunnen meten. Door onze eigen kwetsbaarheden van nauwkeurige CWE's te voorzien, alsmede sectorgenoten op te roepen hetzelfde te doen, is de sleutel tot het systematisch begrijpen, verhelpen en neutraliseren van gehele klasse kwetsbaarheden", aldus Microsofts Lisa Olson.

Reacties (3)
10-04-2024, 14:31 door Anoniem
Ze lijken tegenwoordig overal standaards voor te maken. Maar een goede standaard om de (laatste) releases van een stuk software/firmware op te halen heb ik nog nergens gezien. Je moet bij ieder product maar weer uitzoeken hoe je aan de laatste versie komt of ook maar te weten komt dat er een nieuwe versie is.
Door Anoniem: Ze lijken tegenwoordig overal standaards voor te maken. Maar een goede standaard om de (laatste) releases van een stuk software/firmware op te halen heb ik nog nergens gezien. Je moet bij ieder product maar weer uitzoeken hoe je aan de laatste versie komt of ook maar te weten komt dat er een nieuwe versie is.
Als ze zich nu ook nog eens zelf aan die standaarden zouden houden, maar dat doen ze meestal ook niet.
Kijk maar bijvoorbeeld naar het ODF document formaat, enorm agressief gepusht door MSFT maar vervolgens zelf volledig implementeren ho maar.
En tja wat dit betreft, leuk het anders op te schrijven, maar bouw eerst eens fatsoenlijke software dan hebben we het daarna wel over hoe je de overgebleven security gaten fatsoenlijk documenteert.
11-04-2024, 08:39 door Anoniem
Mooi zo je eigen 'onafh' codes te gebruiken, die zijn absoluut niet vatbaar voor any bias vanuit MS at all he... ik voorspel systematische subtiele veranderingen van definities die 'hoe vreemd' dingen zullen gaan verwateren!

enne jonges.... 'gebruik van hard-coded credentials' komt die dan vaak voor?

wat een puin!

https://it.slashdot.org/story/24/04/10/2135253/microsoft-employees-exposed-internal-passwords-in-security-lapse
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.