Nieuws

Onopgemerkt SP2 firewall lek voldeed niet aan criteria

vrijdag 17 december 2004, 10:29 door Redactie, 14 reacties

Afgelopen dinsdag kwam Microsoft met 5 security bulletins voor verschillende lekken in Windows. Dit waren echter niet de enige patches, zoals je gisteren kon lezen. Er verscheen namelijk nog een update voor een kritiek lek in de Windows XP Service Pack 2 Firewall. Deze patch werd echter stilletjes door Microsoft uitgebracht. Het lek, waardoor iedereen toegang tot de computer heeft als de gebruiker via een inbelverbinding internet, werd niet op de security pagina van Microsoft geplaatst, maar als Knowlegde Base artikel gepubliceerd. Microsoft heeft nu laten weten dat details van het lek niet in de patchcyclus van december waren meegenomen "omdat het niet aan de security criteria van een lek voldeed. Deze criteria worden regelmatig herzien en we proberen een uitleg te bieden die voldoet aan de wensen van onze klanten". In dit artikel legt Microsoft precies uit wanneer iets een security lek is. (SMH)

Microsoft koopt anti-spywarebedrijf GIANT

Security overlevingsgids voor 2005

Reacties (14)

17-12-2004, 11:50 door Anoniem

Dit was toch algemeen bekend?
Inbel netwerken zijn altijd al een probleem geweest.

17-12-2004, 11:58 door Anoniem

Dus volgens Microsoft's definitie zijn insecure defaults
geen security lekken. Tuurlijk!

17-12-2004, 12:00 door wimbo

"waardoor iedereen toegang tot de computer heeft als de
gebruiker via een inbelverbinding internet"
Als dat geen security lek is weet ik het ook niet meer......
Een firewall hoort mensen buiten te houden en niet
pro-actief binnen te laten.

Aan de andere kant valt dit wel onder de (oude) microsoft
strategie; default 'everyone full control'

17-12-2004, 12:09 door G-Force

De ISC-handler trok gisteren aan de bel over deze kwestie zodat er alarm
geslagen kon worden. Er zijn niet veel mensen die XPSP2 hebben
gecombineerd met een inbelverbinding, maar dit soort problemen horen
niet thuis in een goede firewall. Ik heb daarom liever een firewall van een
gerenomeerd bedrijf dan het knoeiwerk van Microsoft.

17-12-2004, 12:27 door Anoniem

Klopt niet . Die update en de info omtrent deze update waren wel degelijk
aanwezig op Technet. (http://support.microsoft.com/kb/886185). Jullie
blijven volharden in het verspreiden van onjuiste informatie. Ik vrees dat
deze reactie door big-brother bij security.nl gecensureerd gaat worden.

17-12-2004, 12:37 door Anoniem

"Onopgemerkt SP2 firewall lek voldeed niet aan criteria"

Waar moet een lek dan wel aan voldoen?

17-12-2004, 12:58 door Anoniem

Door Anoniem
Klopt niet . Die update en de info omtrent deze update waren wel degelijk
aanwezig op Technet. (http://support.microsoft.com/kb/886185).

Bovendien wordt de configuratie-wijziging, want meer is het eigenlijk niet,
volautomatisch via Windows Update geïmplementeerd.

17-12-2004, 13:11 door Anoniem

Door Anoniem
"Onopgemerkt SP2 firewall lek voldeed niet aan criteria"

Waar moet een lek dan wel aan voldoen?

EIGEN WORDT ER BEDOELD:
"Onopgemerkt SP2 firewall lek voldeed niet de DEFINITIE van
een LEK"
Hierop heeft MS deze definitie aangepast zodat bij een
volgende soortgelijke situatie de FIX welk meegenomen wordt
in de maandelijkse patch-cyclus.

Zaken die niet binnen het filter vallen worden niet
meegenomen in de maandelijkse patch-cyclus. Deze verschijnen
kennelijk separaat via andere kanalen.

17-12-2004, 13:31 door Anoniem

Op vrijdag 17 december 2004 12:27 schreef Anoniem:
> Klopt niet . Die update en de info omtrent deze update waren
> wel degelijk aanwezig op Technet.

Waar het hier om gaat is dat van deze critical patch geen bulletin
is verschenen, en hier ontbreekt:
http://www.microsoft.com/technet/security/current.aspx
http://www.microsoft.com/technet/security/bulletin/ms04-dec.mspx

Veel mensen (met name die met inbelverbindingen) houden niet van
automatische updates en halen alleen strikt noodzakelijk patches
op. Zij die security-minded zijn (zoals ik) checken de bulletins van
Microsoft en gaan ervan uit dat ze daarmee goed worden geinformeerd,
wat dus NIET het geval is. M.i. een slechte zaak die mijn vermoeden
versterkt dat het aantal openlijk gepubliceerde patches per jaar
vooral een marketing aangelegenheid is.

Ook wil je als security pro soms weten wanneer een patch is
uitgebracht en ook dan zoek je in de bulletins. Ten slotte is een
MS04-XXX nummer veel makkelijker te onhouden dan zo'n
6-cijferig getal waar geen datum o.i.d. in te herkennen is.

Nog een puntje, Microsoft heeft op 14 dec. ook MS04-028 uitgebreid:
http://www.microsoft.com/technet/security/Bulletin/MS04-028.mspx
Ook hier kom je alleen achter door ofwel WindowsUpdate te draaien,
ofwel alle webpages van Microsoft te lezen, of doordat iemand dit
op NTBugtraq (dat was mijn bron) of hier :) post.

Overigens heb ik de XPSP2-firewall blunder van Microsoft afgelopen
woensdag al gemeld, zie http://www.security.nl/article/9534/1
om 13:49.

Erik van Straten

17-12-2004, 13:47 door Anoniem

Opmerkelijk dat-ie niet standaard enkel op een interne range
luistert en/of accepteert en/of op een interne interface
bind en/of dat dit niet in te stellen is. Heb ik met Samba,
met of zonder firewall, toch echt geen last van.

17-12-2004, 19:51 door Anoniem

Door Anoniem
. Ik vrees dat
deze reactie door big-brother bij security.nl gecensureerd
gaat worden.

stel je niet aan, man.

18-12-2004, 02:40 door Anoniem

Door Anoniem
Zij die security-minded zijn (zoals ik) checken de bulletins van
Microsoft en gaan ervan uit dat ze daarmee goed worden
geinformeerd, wat dus NIET het geval is. M.i. een slechte
zaak die mijn vermoeden versterkt dat het aantal openlijk
gepubliceerde patches per jaar vooral een marketing
aangelegenheid is.
Erik van Straten

Microsoft == Marketing (vandaar de M)
Dus inderdaad, wat wel en niet en hoe en hoevaak en hoeveel
naar buiten gebracht wordt == allemaal marketing.
Microsoft kent geen toeval.

21-12-2004, 09:25 door Anoniem

voor een inbel verbinding gebruik je toch linux .Het is
bijna geen doen om met een inbel verbinding winxp te
gebruiken. Boven dien moet je ook nog elke keer je virus
scanner bijwerken Je bent alleen al met windows xp een
kapitaal kwijt aan tijd en telefoon kosten om Je systeem op
orde te houden.
Heb linux naast windows jaren gebruikt met een telefoon
moden zonder virus scanner nooit ergens last van gehad

22-12-2004, 10:38 door Anoniem

Door Anoniem
voor een inbel verbinding gebruik je toch linux .Het is
bijna geen doen om met een inbel verbinding winxp te
gebruiken. Boven dien moet je ook nog elke keer je virus
scanner bijwerken Je bent alleen al met windows xp een
kapitaal kwijt aan tijd en telefoon kosten om Je systeem op
orde te houden.
Heb linux naast windows jaren gebruikt met een telefoon
moden zonder virus scanner nooit ergens last van gehad

ADSL is OOK een inbelverbinding...

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Is geen nieuwe auto krijgen ook al schade onder de AVG?

20-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik las in een recent arrest dat een garagebedrijf onder de AVG(!) aansprakelijk werd gehouden voor een ...

12 reacties

Lees meer