image

Niets mis met security Microsoft in september

dinsdag 12 oktober 2004, 08:55 door Redactie, 39 reacties

De security van Microsoft is niet zo slecht als veel mensen denken, althans, als we de afgelopen maand bekijken. Secunia heeft namelijk een analyse van alle software lekken, die in september en begin oktober verschenen, gemaakt. Microsoft staat met 1,3% van alle advisories op de 10e plaats. Open source distributies Gentoo, Red Hat en Fedora bezetten de eerste drie plekken. In totaal vinden we 8 open source distributies terug in de Top 10. Con Zymaris, woordvoerder van Open Source Victoria, vindt dat de genoemde vergelijking niet opgaat, aangezien open-source aanbieders meer applicaties ondersteunen. Linux aanbieder Gentoo ontwikkelt bijvoorbeeld "10 tot 20 tot 30" meer applicaties dan Microsoft. De softwaregigant laat in dit artikel weten dat men vertrouwt op het onderzoek van Forrester Research, waaruit zou blijken dat Microsoft minder lekken heeft en sneller op ontdekte lekken reageert.

Reacties (39)
12-10-2004, 09:39 door Anoniem
Achjah, redhat/gentoo die hebben duizenden programma's, dus
meer advisories.
Microsoft Windows heeft geen duizenden programma's.
Patches in opensource zijn er meestal al voordat je het weet.
De laatste paar patches van Microsoft voor diversen
problemen, lieten al respectievleijk 11, 6 en 4 maanden op
zich wachten.

Forrester heeft misschien wel gelijk, Microsoft heeft minder
lekken (lekken die ze zelf in een advisory zet, want er zijn
veeeel meer lekken in de welbekende IE lek-lijsten van
diverse security onderzoekers) en komt sneller met patches.
Maar ze zijn van 6-12 maanden opgeschoven naar 4-8 maanden,
dus er is nog steeds ruimte voor verbetering.

Het wordt tijd dat Microsoft binnen 48 uur met een patch op
de proppen kan komen, want steeds vaker lopen de welbekende
windows/ie security researchers achter de spyware jongens aan.
12-10-2004, 09:53 door Anoniem
Een mooi spreekwoord vind ik nog steeds "Lies, damned lies
and statistics".

Hoezo, liegen met statistiek? En uiteraard is Microsoft
Windows het veiligste OS op deze aarde. Bovendien, met
gebruikers als Mr. Tonino hoef je je informatie helemaal
niet te beveiligen :-)
12-10-2004, 09:55 door Anoniem
Dit is appels met peren vergelijken. Als er een bug in gimp
zit dan kan je dat Linux (oid) toch niet aanrekenen? Het
zelfde wanneer er een lek in Adobe PS zit, dan wordt het
toch ook niet bij het totaal van MS opgeteld?
12-10-2004, 10:00 door Anoniem
Door Anoniem
Dit is appels met peren vergelijken. Als er een bug in gimp
zit dan kan je dat Linux (oid) toch niet aanrekenen? Het
zelfde wanneer er een lek in Adobe PS zit, dan wordt het
toch ook niet bij het totaal van MS opgeteld?
Als het standaard geinstalleerd is in een Linux distributie kan je ze het zeker
wel aanrekenen. Maar je kan het net zo min Microsoft aanrekenen als jij geen
MS Office geinstalleerd hebt staan, terwijl er wel een security advisory wordt
uitgebracht voor dat pakket.
12-10-2004, 10:33 door Anoniem
Iedereen kan nu wel gaan lopen brullen, ik zie gewoon een plaatje met MS
op de 10e plaats. En dan kan je wel dingen roepen over meer programma's
of weet ik veel maar wat moet ik daarmee. Er wordt toch geen vooraf gedane
bewering mee beargumenteerd. Er staat gewoon een statistiekje op het
scherm en alle Linux puistjes staan weer op hun achterste mephisto's.
12-10-2004, 10:36 door Anoniem
Kijk, gentoo maakt de meeste progressie door :)
12-10-2004, 10:41 door Anoniem
hehe wel grappig, "open source" "traditional vendor", hoe
zou dat eruit zien als je er "progressive vendor" en
"propietary/closed source" van maakt?
12-10-2004, 10:54 door Maartenh
ik denk dat je het moet bekijken van de kant wie het meeste patches
uitbrengt ten behoeven van de beveiliging van het besturings systeem.
aangezien de meeste linux mensen hun updates bij houden en de meeste
windows gebruikers dit niet doen....
mag je dan zelf een conclusie hier van maken
12-10-2004, 10:59 door Anoniem
Door Anoniem
Iedereen kan nu wel gaan lopen brullen, ik zie gewoon een plaatje met MS
op de 10e plaats. En dan kan je wel dingen roepen over meer programma's
of weet ik veel maar wat moet ik daarmee. Er wordt toch geen vooraf gedane
bewering mee beargumenteerd. Er staat gewoon een statistiekje op het
scherm en alle Linux puistjes staan weer op hun achterste mephisto's.

Afgaande op m'n eigen ervaring heb ik de laatste tijd aanzienlijk meer last
gehad met Linux dan Microsoft problemen (OS bugs). Mijn beeld is dat het
plaatje in grote lijnen wel klopt.
12-10-2004, 11:11 door Wouter van Vliet
Goed, gentoo heeft dan bijna elf procent van de uitgebrachte
advisories in handen, microsoft ongeveer een en fedora
precies vijf. Leuke getalletjes, maar zijn er ook gegevens
bekend over de lekken waar geen advisories voor uitgebracht
zijn?

Er wordt gesteld dat Microsoft sneller reageert op gebreken
dan de rest van de top 10 - maar met weinig advisories zie
ik dat er niet aan af. Progressive Venders (fka Open Source)
hebben, naar mijn idee, meer de neiging advisories uit te
brengen voor kleine problemen. En dan komt dus de count veel
hoger te staan.

Maar goed, dit zijn uiteraard slechts wat gedachten - het
zou me verbazen maar het is mogelijk dat Microsoft inderdaad
veiliger aan het worden is.
12-10-2004, 11:53 door Anoniem
Door Anoniem
Door Anoniem
Iedereen kan nu wel gaan lopen brullen, ik zie gewoon een plaatje met MS
op de 10e plaats. En dan kan je wel dingen roepen over meer programma's
of weet ik veel maar wat moet ik daarmee. Er wordt toch geen vooraf gedane
bewering mee beargumenteerd. Er staat gewoon een statistiekje op het
scherm en alle Linux puistjes staan weer op hun achterste mephisto's.

Afgaande op m'n eigen ervaring heb ik de laatste tijd aanzienlijk meer last
gehad met Linux dan Microsoft problemen (OS bugs). Mijn beeld is dat het
plaatje in grote lijnen wel klopt.



Zijn er andere mensen met vergelijkbare ervaring?? Of tegenovergestelde?
12-10-2004, 12:08 door Anoniem
Dit raakt kant noch wal. Gentoo is een meta-distro en stelt
zo ongeveer elke nieuwe release van elk stukje
linux-software dat ergens ter wereld is geschreven in
portage beschikbaar (een van de redenen waarom het gebruikt
wordt, scheelt verschrikkelijk veel geklooi als je geen
mainstream configuratie hebt), en heeft daar bovendien van
elk pakket meerdere releases in staan. Dan kom je op een
aantal advisories waar geen andere 'vendor' aan kan tippen.

('Standaard' installaties vergelijken is overigens net zo
onzinnig, Gentoo is standaard 'kaal', daar zit default niet
eens vi bij....)
12-10-2004, 12:51 door Anoniem
Gentoo: 8000 packages voor 15 platforms = 120000 applicaties
Microsoft: 200 applicaties

Gentoo = 600 * Microsoft

Terwijl aantal advisories Gentoo = 10 * Microsoft

Dit wil zeggen dat Microsoft het nog altijd 60 MAAL SLECHTER
doet dan Gentoo.


Ook schrijft Microsoft niet echt veel advisories uit voor
Beta producten terwijl Gentoo dat wel doet.
12-10-2004, 13:17 door Anoniem
Even het lijstje kwetsbare software van de (critical) bug
van Microsoft:

* Windows XP
* Windows XP Service Pack 1 (SP1)
* Windows Server 2003
* Internet Explorer 6 SP1
* Office XP SP3
Note Office XP SP3 includes Word 2002, Excel 2002,
Outlook 2002, PowerPoint 2002, FrontPage 2002, and Publisher
2002.
* Office 2003
Note Office 2003 includes Word 2003, Excel 2003,
Outlook 2003, PowerPoint 2003, FrontPage 2003, Publisher
2003, InfoPath 2003, and OneNote 2003.
* Digital Image Pro 7.0
* Digital Image Pro 9
* Digital Image Suite 9
* Greetings 2002
* Picture It! 2002 (all versions)
* Picture It! 7.0 (all versions)
* Picture It! 9 (all versions, including Picture It!
Library)
* Producer for PowerPoint (all versions)
* Project 2002 SP1 (all versions)
* Project 2003 (all versions)
* Visio 2002 SP2 (all versions)
* Visio 2003 (all versions)
* Visual Studio .NET 2002
Note Visual Studio .NET 2002 includes Visual Basic
.NET Standard 2002, Visual C# .NET Standard 2002, and Visual
C++ .NET Standard 2002.
* Visual Studio .NET 2003
Note Visual Studio .NET 2003 includes Visual Basic
.NET Standard 2003, Visual C# .NET Standard 2003, Visual C++
.NET Standard 2003, and Visual J# .NET Standard 2003.
* .NET Framework 1.0 SP2
* .NET Framework 1.0 SDK SP2
* .NET Framework 1.1
* Platform SDK Redistributable: GDI+


Het gaat niet om kwantiteit, het gaat om kwaliteit...
12-10-2004, 13:19 door Anoniem
Professionele onderzoekers doen een bevinding, en de
amateuristische computer hobby-isten van security.nl weten
het natuurlijk weer beter..... Wat had je ook anders kunnen
verwachten...
12-10-2004, 13:31 door Anoniem
Door Anoniem
Professionele onderzoekers doen een bevinding, en de
amateuristische computer hobby-isten van security.nl weten
het natuurlijk weer beter..... Wat had je ook anders kunnen
verwachten...

Dan ben jij de meest idiote van die computer hobby-isten!
12-10-2004, 13:46 door Anoniem
Juist, eindelijk eens mensen met kennis over Gentoo die
reageren.
Voor de sceptische mensen die het niet willen geloven, kijk
maar eens hoeveel nieuwe versies van packages die er per dag
uit komen: http://packages.gentoo.org/

Ik denk dat je er bij zwaar linux gebruik maar een paar
procent van in gebruik hebt. Bovendien, met gentoo kan je
alleen al tussen 3 systemloggers kiezen, 3+ mailservers, etc.
Dus tja.... dan kom je er wel idd :)
12-10-2004, 14:05 door Anoniem
Even door de secunia lijst gaan en het volgende kan
geconcludeerd worden:
1. Gentoo heeft pech in september
2. Microsoft heeft geluk
3. Nog niet verholpen security problemen van Microsoft zijn
in aantallen meer dan een paar maal zo groot als die van
Gentoo. :) (Toevallig dat ze dat niet meerekenen in het
onderzoek!)
12-10-2004, 14:33 door Anoniem
Jammer dat je weer moet aanmelden voor dit artikel, geen zin
in. Het zal wel niet mogen maar het zou prettig zijn als het
artikel ff gekut en pastaad werd.
Is dit de eerste keer dat Micosoft zo laag staat? Mooi, dan
kun je misschien voorzichtig vaststellen dat hun beveiliging
nu eindelijk op het niveau begint te komen dat je van een
modern os mag verwachten. Goeie zaak.
Nogmaals, ik heb het artikel zelf niet gelezen maar heb toch
de volgende opmerkingen/vragen:
- alleen aantallen beveiliginsperikelen zegt weinig, het
gaat om de ernst.
- hoesnel waren de patches beschikbaar en waren die goed?
Microsoft heeft al vaker patches uitgebracht die niet (goed)
werken.
Het zou jammer zijn voor de leuke discussies hier maar
uiteindelijk is iedereen erbij gebaat als
Microsoft-producten ècht veiliger worden.
12-10-2004, 15:58 door Anoniem
En maar lullen maar de praktijk bewijst het keer op keer dat linux minder
veilig is. Het wordt haast zielig om het niet te geloven.
12-10-2004, 16:58 door Anoniem
Appels en peren vergelijken - is niet voorbehouden aan hobbyisten.
MS 'bundelt' fixes, alleen critical fixes worden apart gemeld. En wat is een lek -
doet definitie? Sommige linux distro's zijn groter, andere kleiner. - meer apps
is meer bugs. Naar bepaalde applicaties die in sommige distro's zitten wordt
beter gekeken dan naar anderen. En zo zijn er nog een aantal variabelen.
Deze complextiteit is vervelend, zowel voor de religieuzen omtrent
besturingssystemen als voor de mensen die het niet boeit - de managers en
andere kopers. Vaststellen wat onder bepaald gebruik in een bepaalde
context de beste keuze is, zal wel té genuanceerd zijn en kan je zo moeilijk
hard roepen.

Maar ja, secunia wil zijn eigen lists promoten, dus een dergelijk onderzoekje
help wel. Hebben ze vast van Gartner c.s. afgekeken.
12-10-2004, 17:08 door Anoniem
Tja, zo blijkt idd maar weer dat Linux een butt OS is. Zie bijvoorbeeld: http://uptime.netcraft.com/up/today/top.max.html. Windows staat in
tegenstelling tot Linux *wel* in de top 10!
12-10-2004, 17:23 door Anoniem
Door Anoniem
Tja, zo blijkt idd maar weer dat Linux een butt OS is. Zie bijvoorbeeld: http://uptime.netcraft.com/up/today/top.max.html. Windows staat in
tegenstelling tot Linux *wel* in de top 10!

Ja:
fc.yarmouth.k12.me.us
Max: 1739
Last: 22
Hier zie je hoe dat komt, ze draaien sinds een paar maanden op win2k:
http://uptime.netcraft.com/up/graph?site=fc.yarmouth.k12.me.us

Als je naar uptime gaat kijken is windows juist een erg slecht os, bijna bij
elke security update moet je daar rebooten...
12-10-2004, 17:56 door Anoniem
12-10-2004, 18:38 door Anoniem
*LOL* Het in tegenstelling tot andere OS's redelijk
onbesproken BSD
12-10-2004, 18:47 door Anoniem
beetje krom onderzoek. als er minder overvallen bij de
politie van een willekeurige stad worden gemeld betekend dat
dan autmatisch dat die stad veiliger is.
12-10-2004, 18:49 door Anoniem
"Niets mis met security Microsoft in september"

Onzin. De getoonde grafiek toont slechts de hoeveelheid
uitgegeven advisories.
Wanneer je een andere vergelijking wilt maken tussen
snelheid en hoeveelheid security-problemen welke zijn
opgelost verkrijg je een grafiek dat vervelend toont hoe
slecht het inderdaad met Microsoft's security is gesteld,
ook in September.

Het gaat er niet om hoeveel nieuws er in een maand wordt
ontdekt, maar hoeveel en met welke snelheid de voorafgaande
zijn opgelost, als ze zijn opgelost, in geval van Microsoft
of ze nog worden opgelost dit jaar.
12-10-2004, 19:12 door Anoniem
Door Anoniem
"Niets mis met security Microsoft in september"Onzin. De
getoonde grafiek toont slechts de hoeveelheid uitgegeven
advisories.
Welke grafiek?
12-10-2004, 19:19 door Anoniem
Door Anoniem
Tja, zo blijkt idd maar weer dat Linux een butt OS is. Zie
bijvoorbeeld: http://uptime.netcraft.com/up/today/top.max.html.
Windows staat in
tegenstelling tot Linux *wel* in de top 10!
De lijst in deze URL bestaat uit 50 posities, die vrijwel
uitsluitend door BSD/OS en FreeBSD bezet zijn. Inderdaad,
Windows staat in de top 10, op de 9e plaats. Windows komt 2
maal voor, linux 3 maal. Als je de kwaliteit van een OS op
deze lijst moet baseren, is de conclusie eenvoudig. Geen
Windows, geen linux maar FreeBSD, Solaris of BSD/OS.
12-10-2004, 22:40 door Anoniem
Zo en de statestieken worden eens flink omgegooit voor de
aankomende maand, krijg net een e-mail van
waarschuwingsdienst.nl en krijg me toch een lijst om me oren
met updates :-))

Ik zag hem al eerder voorbij komen op astalavista.com maar
dacht dat dit oud nieuws was.

Weet niet of volgende link direct werkt, anders kan je het
simpel terug vinden via www.waarschuwingsdienst.nl.

http://www.waarschuwingsdienst.nl/render.html?it=1001
12-10-2004, 23:51 door Anoniem
Inderdaad, ze moesten noodgedwongen de grote hoeveelheid
hoog kritieke Microsoft lekken samenvatten, inclusief
IIS+WebDAV, MSIE, Exchange, Excel, Powerpoint/Visio Viewer
JPEG Processing Buffer Overflow, NetDDE Buffer Overflow, RPC
Runtime Library Vulnerability, NNTP Component Buffer
Overflow Vulnerability, etc.
12-10-2004, 23:53 door Anoniem
Door Anoniem
Als je de kwaliteit van een OS op
deze lijst moet baseren, is de conclusie eenvoudig. Geen
Windows, geen linux maar FreeBSD, Solaris of BSD/OS.
:) Windows en Linux zijn passé
13-10-2004, 00:09 door Anoniem
Het is nogal wat werk om de juiste info van Secunia te
halen. Maar wat ik bijvoorbeeld zag is dat een update voor
apache, ook enkele malen als update voor httpd genoemd wordt
onder diverse linux-distro's. Dan krijg je in 1 week (40) 3
updates voor (waarschijnlijk) hetzelfde probleem alleen
onder verschillende distributies.
Dat betekent ook dat als niet alle linux-kwetsbaarheden voor
alle linux-distributies gelden. En dat geldt ook voor
Microsoft natuurlijk.
Dus de aantallen zeggen verrot weinig. En dat zegt men ook
in een artikel op
http://www.computerweekly.com/Article131513.htm : "A product
is not necessarily more secure because fewer vulnerabilities
are discovered".
Ik meen me te herinneren dit artikel al een keer op
http://www.security.nl gezien te hebben.
13-10-2004, 02:12 door Anoniem
Dat betekent ook dat als niet alle
linux-kwetsbaarheden voor
alle linux-distributies gelden. En dat geldt ook voor
Microsoft natuurlijk.
Nee. Je gaat eigenlijk voorbij aan het feit dat je niet
alleen diverse Linux distributies hebt met verschillende
samenstellingen van packages en gebruikte deamons: per
installatie fluctueert de samenstelling in de vorm van
feitelijk geïnstalleerde en in gebruik zijnde packages en
deamons eveneens. In Linux heb je immers die keuze.
Deze flexibiliteit ken je onder Windows grotendeels niet,
dat laatst genoemde configuratie aanzienlijk meer vatbaar
maakt voor griepjes.
13-10-2004, 10:04 door Anoniem
Als we een minimale linux installatie nemen met een X client en
een browser en mail client , en we nemen een standaard windows
systeem waar geen extra software op draait behalve IE en OE,
dan wil ik het plaatje nog wel eens bekijken.
13-10-2004, 10:12 door Anoniem
Jongens de nieuwe lijst is uit voor MS, ze hebben kennelijk gewacht totdat
dit onderzoek was afgerond.

MS scoort er weer 12 bij, waarbij 10 zeer ernstig.....
13-10-2004, 15:44 door Sebastian
Door Anoniem
Als we een minimale linux installatie nemen met een X client en
een browser en mail client , en we nemen een standaard windows
systeem waar geen extra software op draait behalve IE en OE,
dan wil ik het plaatje nog wel eens bekijken.
Dat zou ik als ik jou was niet nalaten dat ook eens te
bekijken. Een dergelijke situatie pakt dan ook uit in het
voordeel van Linux.
14-10-2004, 16:41 door Anoniem
Door Anoniem
Door Anoniem
Tja, zo blijkt idd maar weer dat Linux een butt OS is. Zie
bijvoorbeeld: http://uptime.netcraft.com/up/today/top.max.html.
Windows staat in
tegenstelling tot Linux *wel* in de top 10!
De lijst in deze URL bestaat uit 50 posities, die vrijwel
uitsluitend door BSD/OS en FreeBSD bezet zijn. Inderdaad,
Windows staat in de top 10, op de 9e plaats. Windows komt 2
maal voor, linux 3 maal. Als je de kwaliteit van een OS op
deze lijst moet baseren, is de conclusie eenvoudig. Geen
Windows, geen linux maar FreeBSD, Solaris of BSD/OS.
Duh..... Het gaat toch ook alleen maar om Linux en Windows
op security.nl? Mensen hier kennen waarschijnlijk niets
anders, dus keek ik alleen naar Windows en Linux. Maar je
hebt gelijk hoor, BSD en Solaris staan hoger. Ik vind het
alleen zo grappig om het bloed onder de nagels van de Linux
activisten te halen.
14-10-2004, 17:11 door Anoniem
Door AnoniemIk vind het
alleen zo grappig om het bloed onder de nagels van de Linux
activisten te halen.
Ik (mcse NT,2000 en 2003) zie mezelf inmiddels ook wel als
'linux-activist' maar onder mijn nagels komt nog geen bloed
vandaan. Ik leg het je graag allemaal nog een keertje uit.
Maar het pleziertje is je gegund hoor :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.