Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » MS belooft beterschap; IIS-lek was echter gepatched

MS belooft beterschap; IIS-lek was echter gepatched

Door Tamara van Hal, dinsdag 29 juni 2004 17:52
Bron: SecurityFocus, submitter: Zwerver, views: 16.064

Topman Bill Gates verdedigt de werkwijze van zijn bedrijf om het onlangs gevonden lek in IIS tegen te gaan, zo lezen we op SecurityFocus. Het lek werd door Russische criminelen gebruikt om met behulp van geïnfecteerde websites een trojan te installeren op de computers van nietsvermoedende thuisgebruikers. Deze trojan ontfutselde hen bankwachtwoorden en creditcardnummers en stuurde deze terug naar de criminele organisatie. Om dit te kunnen doen maakte men, behalve van een lekkend IIS, ook gebruik van een tweetal gaten in Internet Explorer. Deze openingen werden al op zes juni ontdekt, maar zijn volgens Symantec nog niet door Microsoft gepatcht.

Virus - groene doodskop (kleiner)Ook werd er gebruik gemaakt van een controversiële feature van de browser, die lokale HTML-documenten toestaat om bestanden op de computer te veranderen of te overschrijven. Al in augustus waarschuwden veiligheidsexperts ervoor dat deze optie gevaarlijk kon zijn wanneer zij in combinatie met veiligheidslekken in de browser misbruikt kan worden. In een toespraak wees Gates erop dat de hier gebruikte gaten al binnen twee dagen gepatcht waren.

Hij wees erop dat in april al patches voor IIS waren te vinden, die deze aanval hadden kunnen voorkomen als websitebeheerders deze op tijd hadden geïnstalleerd. Ondanks het feit dat de softwaregigant blijkbaar in staat is om snel actie te ondernemen, wilde Gates zich niet laten vastleggen aan een bepaalde tijd waarin een lek gedicht zou moeten zijn. Hij zei wel dat de patchtijd zal blijven dalen. Als laatste commentaar gaf Gates het publiek mee dat het voor de veiligheid van de users van belang is dat zijn bedrijf deze gebruikers ervan overtuigt dat zij hun veiligheidsupdates automatisch moeten laten verlopen.

Volgende 19:30 Sikatronics vs. OCZ in DDR550-geheugenduel
Vorige 17:08 'Dell ontwikkelt Opteron-servers'
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 65 reacties zichtbaar650 Off-topic / Irrelevant: 63 reacties zichtbaar63+1 On-topic: 47 reacties zichtbaar47+2 Informatief: 15 reacties zichtbaar15+3 Spotlight: 4 reacties zichtbaar4
«  1  2  3  »

Door coensel, dinsdag 29 juni 2004 18:15

Score: 1
Ik zou zo zeggen, neem een weekje vrij, code je eigen OS en dan spreken we wel weer verder, he!

Door CyberAngel, woensdag 30 juni 2004 09:37

Score: 1
Ik heb net een week vrij gevraagd aan mijn baas. Dan kan ik volgende week mijn eigen OS maken. Ik denk dat ik het Lidows ga noemen. }>

Overigens ik vind dat Microsoft het tegenwoordig heel goed doet met het automatisch update-systeem zodat je niet steeds moet controleren of er updates zijn. En ook het feit dat fouten sneller hersteld worden. Bij ons duurt het af en toe een maand voor er een patch is voor een fout. Bij Microsoft doorgaans amper 2 dagen.

Door Wildfire, dinsdag 29 juni 2004 18:20

Score: 1
Die opmerking slaat nergens op, zelfs het strengst gecontroleerde stuk software zal nog bugs en dergelijke bevatten. Foutvrij bestaat niet.

Door assembler, dinsdag 29 juni 2004 20:44

Score: 0
Jawel hoor :Y)

Kijk maar naar mijn basic programma:

REM Dit is het begin.
END
REM Hier is het einde.

Zo, daar zit geen ene fout in :7

Door hellbringer, dinsdag 29 juni 2004 21:01

Score: 0
Volgens mij moet je in BASIC altijd beginnen met een BEGIN
En iedere regel met een nummer (1,2,3 enz)

Door Floort, woensdag 30 juni 2004 01:15

Score: 0
Volgens mij hangt het van het BASIC "dialect" af.
Ik ken een versie van basic die niet elke regel hoefd te nummeren.

Door bitflusher, woensdag 30 juni 2004 01:32

Score: 1
en mijn pin code type ik ook bugvrij in :7

Door CyberAngel, woensdag 30 juni 2004 09:40

Score: 1
Je moet wel beginnen met Begin maar je hoeft geen niet in alle BASIC versies regelnummers te gebruiken :)

Door Chatslet, woensdag 30 juni 2004 10:07

Score: 1
Pinnen is anders niet zo bug vrij als je denkt. Als je flink op de knopjes van een pin automaat gaat rammen krijg je namelijk een blauw scherm :D hier in het dorp lukt dat vrij aardig :D

Door Chatslet, woensdag 30 juni 2004 10:07

Score: 1
Reminder: Weet je nog van het lek in de linux kernel die hier recent werd besproken? Die was ook al een aantal versies aanwezig.

Door boesOne, dinsdag 29 juni 2004 17:56

Score: 2
Als laatste commentaar gaf Gates het publiek mee dat het voor de veiligheid van de users van belang is dat zijn bedrijf deze gebruikers ervan overtuigd dat zij hun veiligheidsupdates automatisch moeten laten verlopen.
Waarom is het voor onze veiligheid van belang als alles automatisch gaat?

Denk dat het juist tegenovergesteld is: Het is voor de veilighied van de gebruikers van belang dat ze erop gewezen worden dat windows erg onveilig is en je goed op moet letten...

Door Jan_IA, dinsdag 29 juni 2004 17:59

Score: 2
Natuurlijk is het wél in ons voordeel als alles automatisch verloopt. Denk je eens in, nooit meer consumenten die hun provider/winkel platbellen vanwege een virus, met de mededeling 'omdat de PC het niet doet', geen besmette servers meer die kwetsbaar zijn voor exploits die al maanden bekend en gepatched zijn, etc.

Door keez550, dinsdag 29 juni 2004 18:10

Score: 3
Totdat iemand een bug ontdekt in de automatische updater, en daar een trojan voor bouwt. Of de update server weet te faken zodat je updates ineens ook uit Rusland komen...

Door Crazy D, dinsdag 29 juni 2004 18:36

Score: 1
Als ze dat goed doen, zie je het verschil ook niet als je handmatig update, dus dat maakt daar niet echt voor uit...

Door Ritch, dinsdag 29 juni 2004 19:48

Score: 1
Behalve dat de frequentie van het handmatig updaten veel lager ligt dan het automatisch updaten, dus is de kans op problemen veel groter...

Door BWzes03, dinsdag 29 juni 2004 19:03

Score: 2
Gelukkig gaat het niet automatisch. Als het wel automatisch zou gaan, krijg je heel veel telefoontjes van boze gebruikers m'n applicatie werkt niet meer...
Heel veel bedrijven doen juist stringente controles op patches zodat alle applicaties blijven werken.
Laast hadden we weer zo'n patch, na installatie bleek een server applicatie te crashen. Na met de vendor te hebben gebeld bleken zij ook dat probleem te hebben, nog even een week wachten met installeren van de patch, want de patch voor de patch is nog niet klaar......

Door Gody, woensdag 30 juni 2004 00:21

Score: 2
Je moet zowieso ook altijd opletten met update's en upgrade's. Blind patchen en update is net zoiets als per ongeluk in een live-database gaan lopen verwijderen. Maargoed, gelukkig heb je geen problemen ermee gehad omdat je hebt gewacht.

Door kroeske, woensdag 30 juni 2004 01:33

Score: 0
@ godyvdb:
wat is dat dan weer voor onzin? ik neem aan dat als jij een product koopt, en de daarbij behorende updates aangeleverd krijgt, dat je er dan ook vanuit mag gaan dat die updates het doen, en dat je oude systeem het ook blijft doen zoals je gewend bent?

als je nou beta tester zou zijn of iets dergelijks, dan lijkt het me nog tot daar aan toe, maar om nou als end-user te gaan zitten wachten tot de bugs uit de bugpatches zijn verdwenen gaat me wel heel erg ver....

Door rooicity, woensdag 30 juni 2004 07:50

Score: 1
Bij een beetje bedrijf hebben ze daar een oplossing voor ... OTAP heet het ....

Ontwikkel
Test
Acceptatie
en dan pas Produktie

Door vanDee898, woensdag 30 juni 2004 13:26

Score: 1
Het systeem blijft wel werken, maar het zijn vaak niet-microsoft applicaties die na een patch / service pack niet meer werken.

Ik heb het zelf meegemaakt dat een DLL na het installeren van Service Pack 2 (Win2k) niet meer werkte.

Door raptorix, woensdag 30 juni 2004 00:25

Score: 1
Je kan in ieder geval instellen dat ie de updates automatisch download, en een notifier geeft als er belangrijke updates zijn, in dat geval heb je alles in je eigen hand, en mis je niet per ongeluk een essentiele patch.

Door mkessels, dinsdag 29 juni 2004 17:57

Score: 3
gebruikers ervan overtuigd dat zij hun veiligheidsupdates automatisch moeten laten verlopen.

En dan is het maar wachten op een hack van windows update waardoor heel de wereld (nou ja, de windows gebruikers) zonder werkende pc komt te zitten. Ik wil het dus toch liever handmatig blijven doen bij mijn kritische toepassingen (die daarom ook niet aan het internet hangen...)

Door Jan_IA, dinsdag 29 juni 2004 17:59

Score: 1
Goh, ik heb zo'n vaag vermoeden dat MS er wel voor zorgt dat hun WU servers veilig zijn :+

Door mkessels, dinsdag 29 juni 2004 18:06

Score: 2
Als die ook op windows draaien, dan zit daar natuurlijk ook een fout in op het moment dat een patch nog niet is uitgebracht... Zolang er gaten zitten in windows, heb je windows update nodig. Dus in windows update zitten dan dus ongeveer per definitie gaten...

Als microsoft een goede veiligheidsanalyse gedaan zou hebben, draaien ze dus hun WU servers dus op een ander OS. Dan ben ik wel nieuwsgierig op welk systeem dat dus is.

Door keez550, dinsdag 29 juni 2004 18:13

Score: 1
windowsupdate.microsoft.com (windowsupdate.microsoft.nsatc.net):

Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET

dus.... ;)

Door n4m3l355, dinsdag 29 juni 2004 19:04

Score: 1
ik denk dat je iets fout gedaan hebt. met een fingerprint krijg ik een i686 linux bakkie als return
dus geen IIS

ik vraag me af hoelang bill zichzelf eigenlijk blijft geloven met hetgeen wat ze doen. ze weten hoe het ervoor staat met hun software en hoe 'snel' ze zijn... hoe kunnen ze dan zo schijnheilig blijven imo :s

toch een auto-updater is voor de gemiddelde computer gebruiker denkelijk beter dan het installeren van virussen of updates. de meeste krijgen dat niet eens voor elkaar

Door Zarc.oh, dinsdag 29 juni 2004 20:36

Score: 1
netcraft.com geeft aan dat het Windows Server 2003 met Microsoft-IIS/6.0 is.
maar een fingerprint is waarschijnlijk betrouwbaarder dan een banner

Door Domokoen, dinsdag 29 juni 2004 21:44

Score: 1
Er draait wel IIS op, maar de caching wordt gedaan door Akamai met linux bakken. Akamai heeft overal in de wereld in datacenters caching servers staan die de load voor sites als Windows Update verdelen.

Door burne, dinsdag 29 juni 2004 19:51

Score: 0
Afgaande op de 'prestaties' qua veiligheid de afgelopen jaren vertrouw je Microsoft op hun grote blauwe ogen?

Door register, dinsdag 29 juni 2004 20:29

Score: 1
Die WU servers moeten niet zo enorm veilig zijn. De duizenden servers die voor de gebruikers zichtbaar zijn (zeg maar de caches), zijn niet eens van MS zelf, maar van Akamai. Ze draaien trouwens Linux...
De patches die erop staan zijn getekend met een private key, die wél uiterst goed beveiligd moet zijn. De WU client zal een patch zonder de juiste signature niet installeren, dus een WU server kraken helpt je niet onmiddelijk veel verder. Zelfs alle WU servers kraken helpt je niet meteen verder.
Het is dus vooral zaak om de private key uiterst goed te beveiligen. Dat is heel wat gemakkelijker dan duizenden servers die aan het internet moeten hangen.

Door solatis, dinsdag 29 juni 2004 18:02

Score: 0
zijn bedrijf deze gebruikers ervan overtuigd dat zij hun veiligheidsupdates automatisch moeten laten verlopen.

foei! dat moet natuurlijk overtuigt zijn...

Door Adrian-, dinsdag 29 juni 2004 18:05

Score: 0
waarom zouden hun servers wel veilig zijn als ze windows ook niet veilig krijgen?

Door LeHeraut, dinsdag 29 juni 2004 18:06

Score: 2
Ach zo lang de meeste mensen er niet van snappen dat ze hun gegevens kwestbaar zijn en het idee hebben dat ze goed beschermd zijn omdat windows automatisch update en ze een virusscanner hebben die ook automatisch update vinden ze het al best. Pas als de gemiddelde consument wat kritischer gaat worden dan zal MS gestraft worden voor het beleid dat ze nu voeren

Door berend_engelbrecht, dinsdag 29 juni 2004 19:44

Score: 1
In dit geval zou het probleem er juist niet geweest zijn als Windows Update wel automatisch uitgevoerd zou zijn op de besmette servers. Zoals bekend is de fout die de IIS server hack mogelijk maakt opgelost in update 835732, die in april 2004 gepubliceerd is.

Ik ben het onmiddelijk met je eens als je zegt dat Windows een product is dat veel fouten bevat, maar feit is ook dat er veel vaker problemen ontstaan doordat er grote groepen mensen zijn die niet snel genoeg de aangeboden updates uitvoeren en ook nog eens geen virusscanner hebben of niet beseffen dat ze die moeten bijhouden, dan dat er problemen ontstaan door het wel uitvoeren van de updates. Waren er dus maar meer mensen die "het idee hebben dat ze goed beschermd zijn omdat windows automatisch update en ze een virusscanner hebben die ook automatisch update", dan waren we al een hele stap verder.

Door DavidAxe, woensdag 30 juni 2004 00:11

Score: 2
Daar heb je inderdaad gelijk in, maar dat maakt het gebruik van Windows servers wel erg duur omdat er dus eigenlijk continu iemand op moet letten. Ik ben benieuwd of deze kosten ook worden mee gerekend als Microsoft Linux met Windows vergelijkt.
Een automatische update feature kan natuurlijk nooit op een server draaien tenzij je er geen problemen mee hebt als een bepaalde server ineens niet meer naar behoren werkt. Een OS patch verandert dingen in een OS en daardoor kan het gebeuren dat bepaalde applicaties niet meer werken.

Door silentsnake, dinsdag 29 juni 2004 18:19

Score: 0
zijn bedrijf deze gebruikers ervan overtuigd dat zij hun veiligheidsupdates automatisch moeten laten verlopen.
Dus moeten ze geen Windows gebruiken voor die machines. Zo simpel is het. Als die update machines plat gaan en alles gaat automatisch, betekend het dus dat elke willekeurige PC gemakkelijk door het lek in kwestie overgenomen kan worden/services platleggen/wat dan ook.

Maar ja, de vraag is, wil MS dit überhaupt wel? Of zullen ze té ijdel zijn en hun eigen producten voorrang geven ten kosten van de klant?

edit:

Beetje een dubbelpost geloof ik |:(

Door spoor12b, dinsdag 29 juni 2004 18:35

Score: 2
Ik denk dat auto - windowsupdate zwaar op digitale certificaten gebouwd is. Dat hack je gelukkig niet zomaar...

Door bitflusher, woensdag 30 juni 2004 01:41

Score: 1
i second that.

ik heb al eens problemen met windows update (automatisch en niet automatisch) gehad. certificaat service liep niet dus geen updates.

een inside job met een foute update met certificaat van ms eraan is theoretisch mogenlijk maar weinig reeel ;)

Door Floor, woensdag 30 juni 2004 12:28

Score: 0
Ben ik paranoide? ;)
Als je bekijkt hoe 9-11 is voorbereidt dan is het zeker niet onmogelijk. Eerlijk gezegd denk ik dat mensen die bij MS aan zulke kritieke informatie kunnen dan ook zwaar gescreend worden.
Er hangt teveel van af bij MS om "klakkeloos" mee om te gaan.

Door Andre-85, dinsdag 29 juni 2004 18:42

Score: 0
"Daar kan het zelfs nog een tikkeltje erger zijn omdat het opensource is."
Dit is echt onzin IMHO. Doordat linux opensource is, kunnen patches veel sneller gemaakt worden omdat in principe iedereen een patch kan maken en verbeteringen aanbrengen. Bij Microsoft Windowsligt het anders, daar is een beperkt aantal ontwikkelaars die toegang hebben tot de broncode, oa. daardoor duurt het langer voordat er een patch is.

Door LeHeraut, dinsdag 29 juni 2004 18:44

Score: 0
Gepost door netblade - dinsdag 29 juni 2004 - 18:35
en ja hoor daar heb je ze weer. De uber zeikers. Alsof jullie wel een OS zoals windows kunnen schrijven

Tuurlijk zou ik dat kunnen, stukje cake zelfs. Maar ja Bill Gates was me voor. :+

Door Little Penguin, dinsdag 29 juni 2004 18:45

Score: 2
Je doet alsof open source software (OSS) niet vaak gebruikt wordt, 2/3 van de websites draaien op Apache (in combinatie met Linux of FreeBSD/OpenBSD/NetBSD). Voor internet servers wordt er juist heel vaak voor OSS software gekozen...

Blijft de vraag waarom open software als Apache (dat overigens ook voor Windows beschikbaar is...) minder last heeft van grote attacks dan Windows. Ik denk dat hier 3 redenenen voor zijn:

1. De beheerdere van de machine heeft vaak meer verstand van computers (ik zeg vaak, niet altijd!) en werkt de systemen dus beter bij. Bij Windows/IIS is het niet per definitie zo dat er iemand is die verstand van het systeem is...

2. Om bij web-servers te blijven, Apache werkt op een veelheid van systemen (Linux, Net/Open/FreeBSD, MacOS X en ook Windows) en processor architecturen (x86,PowerPC, ARM). Gevolg is dat het moeilijker is om een altijd werkende exploit te schrijven. Duidelijk een voordeel van OpenSource Software.

3. Er zijn minder client-PCs die op Linux draaien en Apache aab boord hebben dus is er een hogere drempel om exploits voor deze toepassingen te schrijven, men moet tenslotte eerst een computer van Linux en Apache voorzien voor men aan het virus kan beginnen; terwijl IIS soms al geinstalleerd is op de computer of in elk geval betrekkelijk gemakkelijk te installeren is - vrijwel iedereen heeft wel een Windows (2000,XP) computer...

Door Iblies, dinsdag 29 juni 2004 18:39

Score: 1
Deze openingen werden al op zes juni ontdekt, maar zijn volgens Symantec nog niet door Microsoft gepatcht.
Weer een reden om er voor te zorgen dat een ander niet-microsoft bedrijf zorgt voor anti-virus want anders krijgen we de volgende situatie,

nieuw virus/trojan;
microsoft update de viruslijsten<nieuwste rage, automatische update van viruslijst uitzetten, of zorgen dat hij niet meer werkt, weinig mensen die er zich zorgen om maken totdat alles stopt>;
eind van de maand krijgen we een nieuwe update om het te patchen.

Door Maverick, dinsdag 29 juni 2004 18:44

Score: 1
Ik snap niet dat microsoft zijn beleidt mbt patches nog steeds niet bijgesteld heef, hoop dat dit met longhorn wel veranderd. want in 99/100 gevallen vindt microsoft het lek en brengt een patch uit met uitleg wat het lek was. hierop gaan de exploits pas komen, en pakken dus de mensen die niet patchen.

Waarom doen ze het niet zo dat zo OF altijd automatisch lekken laten dichten, gewoon zorgen dat dit moeilijk uit te schakelen is, waardoor alleen mensen die weten wat ze doen het uitzetten, en gewoon bugfixes uitbrengen zonder te zeggen wat ze dichten. dan weten de mensen met kwade bedoelingen ook het lek niet meteen te vinden. evt allebei voor de beste veiligheid.

Of zitten hier juridische dingen aan ten grondslag, dat microsoft verplicht is te lekken te melden :?

Door XyritZz, dinsdag 29 juni 2004 19:36

Score: 1
Nog beter: de gebruiker een melding geven dat er een patch is, met als ze willen technische details over wat er gepatched wordt en wat nou de preciese fout was.

Besluit de gebruiker de patch niet te installeeren: Windows blokkeert al het internet verkeer.

In het geval van een cruciale windows patch: windows geeft bij opstarten een melding om de patch te downloaden, wordt deze genegeerd: PC wordt automatisch afgesloten.

Dan wil iedereen ineens wel die patches gaan installeeren.

Door crisp, dinsdag 29 juni 2004 22:59

Score: 1
Er zijn genoeg gevallen bekent waarbij je na het installeren van een patch ook niet meer kon internetten, maar naar een mooi BSOD kon kijken - ik meen dat MS04-11 ook dergelijke uitwerkingen had op sommige XP systemen (dat is dus de patch die genoemde lekken in IIS dicht - de IE exploits die door de Russen zijn misbruikt zijn nog steeds niet gepatched).
«  1  2  3  »

Op dit item kan niet meer gereageerd worden.

Volgende 19:30 Sikatronics vs. OCZ in DDR550-geheugenduel
Vorige 17:08 'Dell ontwikkelt Opteron-servers'
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011