Zes actief misbruikte zerodays in Windows verholpen met de juni-update

Microsoft heeft in de update van juni zes zeroday-kwetsbaarheden gedicht die actief misbruikt werden. Een van deze zes kwetsbaarheden wordt aangemerkt als kritiek. De kwetsbaarheid bevindt zich in het MSHTML-platform.

Microsoft meldt de zerodays in de releasenotes van de patch. Van de zes misbruikte kwetsbaarheden is CVE-2021-33742 aangemerkt als kritiek. Het lek in het MSHTML-platform maakt remote code execution mogelijk via onder andere Internet Explorer en andere applicaties die gebruikmaken van MSHTML. De kwetsbaarheid is ontdekt door Google's Threat Analysis Group.

De andere vijf kwetsbaarheden zijn aangemerkt als 'belangrijk'. Het gaat om CVE-2021-31955, CVE-2021-31956, CVE-2021-33739, CVE-2021-31199 en CVE-2021-31201.

Tot slot was er nog een zevende zeroday, maar volgens Microsoft is deze voor zover bekend niet misbruikt. Het gaat om een kwetsbaarheid in Windows Remote Desktop: CVE-2021-31968. In totaal lost Microsoft met de juni-update vijftig beveiligingsproblemen op in Windows.

Reacties (62)

Noxious 8 juni 2021 20:47

Gaat dit om de oude Edge? Of maakt de nieuwe Chromium-gebaseerde versie ook nog gebruik van MSHTML?

Ook verwacht ik dat andere componenten die HTML tonen deze kwetsbaarheid hebben? (Zoals de .Net webbrowser component)

Henk Poley @Noxious • 9 juni 2021 10:58

De nieuwe Edge wordt overigens onafhankelijk van Windows geüpdatet, op de achtergrond, een beetje net als Chrome en Firefox. Kan natuurlijk ook nog steeds vandaag een CVE-waardige bug in bekend zijn gemaakt. Maar dat zou dan een haast toevallige samenloop van omstandigheden zijn.

De laatste Edge Chromium fix met een CVE was op 3 juni: https://docs.microsoft.co...ft-edge-relnotes-security

Auteur

Robert Zomers @Noxious • 8 juni 2021 20:53

Goed punt. Ik kan zo snel niet vinden of Edge hier gebruik van maakt. Alleen dat Edge nu EdgeHTML gebruikt. Dus ik heb het wat genuanceerd.

jozuf @Robert Zomers • 8 juni 2021 21:07

De oude edge gebruikt edgehtml, de nieuwe gewoon chromium/blink.
MSHTML word gebruikt in alles wat op IE is gebaseerd. Dat zijn o.a. Wat oudere .net componenten zoals bv System.Windows.Forms.WebBrowser.

Daar zijn echter alternatieven voor zoals Webview/webview2. Webview gebruikt edgehtml, webview2 gebruikt blink.

[Reactie gewijzigd door jozuf op 24 juli 2024 10:28]

Bux666 @jozuf • 9 juni 2021 11:15

MSHTML wordt (werd) ook gebruikt door oudere versies van Outlook/Outlook Express.

McBacon @jozuf • 11 juni 2021 15:21

Voorzover ik weet is de Microsoft 365 login popup ook op basis van IE.

P1nGu1n

@Robert Zomers • 8 juni 2021 21:04

Edge (legacy) maakt gebruik van EdgeHTML, Edge (Chromium) gebruikt Blink.

Zidane007nl @Robert Zomers • 8 juni 2021 21:04

Microsoft Edge Legacy gebruikt EdgeHTML. De huidige versie is op Chromium gebaseerd en gebruikt Blink.

faim @Noxious • 8 juni 2021 21:03

Nee MSHTML wordt alleen gebruikt door Internet Explorer, niet door Edge of 'Chromium'-Edge. Maar wel door bijvoorbeeld Microsoft Help.

Noxious @faim • 8 juni 2021 21:10

Oorspronkelijk stond Edge ook in het artikel. Ik meen wel dat de 'oude' Edge een mogelijkheid had tot IE-compatibility; mogelijk gebruikte dat MSHTML.

Eagle Creek

@Noxious • 8 juni 2021 21:19

Ook de nieuwe Edge Chromium heeft IE-mode en dat gebruikt MSHTML.

IE mode on Microsoft Edge makes it easy to use all of the sites your organization needs in a single browser. It uses the integrated Chromium engine for modern sites, and it uses the Trident MSHTML engine from Internet Explorer 11 (IE11) for legacy sites.

https://docs.microsoft.com/en-us/deployedge/edge-ie-mode

@Robert Zomers
@faim wél door Edge Chromium

[Reactie gewijzigd door Eagle Creek op 24 juli 2024 10:28]

Noxious @Eagle Creek • 8 juni 2021 23:03

Ah, dankjewel!

faim @Noxious • 8 juni 2021 21:36

Dat klopt inderdaad, als dit nog steeds in Chromium Edge zit, zal deze dat waarschijnlijk ook gebruiken. Al weet ik niet of deze kwetsbaarheden hier ook op toepassing van zijn, omdat dit naar mijn weten in een soort sandbox draait.

OhMyGod 8 juni 2021 20:45

Zijn dat zero days die al vanaf XP in windows hebben gezeten?

Nas T @OhMyGod • 8 juni 2021 20:49

Zou dat relevant zijn? Het kan zijn dat er een kwetsbaarheid gedeeld wordt tussen Windows XP en 10 en dat deze kwetsbaarheid pas onlangs is ontdekt. Dan kun je dit uitleggen als dat het probleem er al bij Windows XP in lag en nu pas is opgelost, of dat het probleem onlangs is gevonden en snel is opgelost, wat in mijn optiek dan eerlijker is (mits de kwetsbaarheid ook onlangs is gevonden).

GekkePrutser @Nas T • 8 juni 2021 21:46

De vraag kan ook een andere reden hebben: Niet iedereen zit al op Windows 10

Bij ons op het werk hebben we nog zat meuk op XP en 7 (alleen Vista niet echt). Ja het hoort niet, maar helaas ontkom je er niet altijd aan, met name in de fabrieken. Sommige productielijnen zijn gewoon in die tijd gebouwd en de leverancier is allang op de fles. Dan heb je het soms over kapitaalgoederen van miljoenen.

Uiteraard is dat oude spul allemaal tot in de puntjes afgeschermd maar je wil er natuurlijk toch rekening mee houden.

DrWaltman @GekkePrutser • 9 juni 2021 02:55

XP is niet nieuwswaardig. Als je XP nog op het internet durft te hangen ben je sowieso niet slim bezig.

En serieus, als je het over kapitaalgoederen met waarde van miljoenen hebt, heb je tijd zat gehad om dit te vervangen. Je kan er prima aan ontkomen met een goede bedrijfsvoering, dit soort oude systemen mogen gewoon echt niet meer in een netwerk aanwezig zijn.

Zoals je later ook zegt.

Er is niet een beetje 'technical debt' maar heel veel. Het is niet echt te behappen allemaal en het zou een enorme investering zijn het allemaal aan te passen.

Hoe langer het bedrijf dit uitstelt, hoe groter het veiligheidsprobleem. Het zal sowieso eens vervangen moeten worden, waarom pas als het te laat is? Dat is gewoon belabberde bedrijfsvoering, tenzij het werkelijk stand alone systemen zijn, maar dan kan het nooit een groot bedrijf zijn.

Het is echt zo droevig gesteld met IT veiligheid bij veel bedrijven, alsof ze wachten op ransomware als update waarschuwing.

Werkelijk bijzonder dat een toekomstbestendige oplossing niet wordt overwogen, omdat het misschien nog meer kost.

[Reactie gewijzigd door DrWaltman op 24 juli 2024 10:28]

Dennisdn @DrWaltman • 9 juni 2021 06:35

In de industriele omgevingen is XP nog heel "gebruikelijk". Stand-alone voor machines en die hangen dan niet aan het netwerk. Bijvoorbeeld omdat de machine in zeg 2002 een paar miljoen heeft gekost en de producent niet meer bestaat of de markt zo klein is dat de producent er geen nieuw besturingssysteem op zet.

Ik maak mij er meer zorgen over dat ik in kantooromgevingen nog Windows7 tegen kom die wél aan het netwerk hangen. Onder gewone gebruikers die geen idee hebben maar vooral nog in vergaderzalen enzo "oh die gebruiken we niet zo vaak".... Ergens denk ik dan altijd: laat die gastenwifi maar, ik zet mn eigen hotspot wel op.

[Reactie gewijzigd door Dennisdn op 24 juli 2024 10:28]

j1b2c3 @DrWaltman • 9 juni 2021 09:05

Wat jij voorstelt is totale onzin gemiddeld gaan productie
Machines gaan 20-30 jaar mee. Het is totale onzin om machines te vervangen omdat de software niet up to date is. dat kost kapitalen en bedrijven doen dat niet. Ik heb nog een paar xp laptops met drive software , en windows 7 computers met software die alleen onder7 draaien licenties ongeveer 10k per laptop. Zouden we alles moeten upgraden inc hadware en drives praat je gauw over een miljoen of 20. bedrijven geven liever 3-4 ton uit om de oudste machines electrisch om te bouwen als spare parts een probleem worden. En langzaam vernieuw je dan. Ik heb nog 1 productie lijn 20 jaar oud met siemens S5 en eind van het jaar gaat deze weg. En er komen 4 nieuwe lijnen met Tia portal. Bij

De cmputers van deze machines hangen nooit aan internet . En kun je prima afschermen met een firewall van je andere net werk . Vaak hebben bedrijven een productie en een bedrijfs netwerk.

Beilos @DrWaltman • 9 juni 2021 12:53

Je bent met deze opmerkingen wel een ongelofelijke IT cowboy.

Meestal is het patchen van systemen beperkt vanuit de vendor, een OS upgrade helemaal. Je vraagt dus een miljoenen investering aan hardware om het OS te upgraden. En dan heb ik het nog niet gehad over de kosten van downtime van de installaties/fabriek. De oorzaak hiervan ligt bij de vendor, dat zijn hardware boeren en IT support is vaak wat minder goed. (ik denk soms expres om de volgende generatie hardware te pushen) De klant zit met de frustratie.

Vervangen uitstellen? Hardware wordt afgeschreven en zolang het economisch rendabel is blijf je het gebruiken. (sommige fabrieken gebruiken nog pneumatische meet en regel sytemen van voor de electronica). Als software fouten vervolgens de enige reden zijn om het te vervangen, is de kwaliteit van de software dus een serieus probleem. Het is gewoon te idioot voor woorden dat een flowmeter 30 jaar mee kan maar na 10 jaar moet worden vervangen want er is nieuw protocol.

En veiligheid? Ik heb een vendor eens aangesproken waarom zijn meetsysteem over wifi beschikt en een internet protecol terwijl we dat niet gebruiken. Tjsa zat in het OS (uitgeklede versie van windows) en het was makkelijk om als extra features toe te voegen. USB poorten idem, we sealen die waar nodig.

Een oplossing is om alles op een lokaal netwerk te hangen met enkele bewaakte connecties naar het kantoor en dat wordt ook veel gebruikt. Maar de kwetsbarheden in het systeem zijn daarmee niet weg.

Werkelijk bijzonder hoe sommige mensen denken dat je om de 10 jaar de industrie in b.v. het Ruhrgebied opnieuw kunt opbouwen gewoon omdat er een foutje in IT zit.

sprankel @GekkePrutser • 8 juni 2021 23:47

Het is niet omdat de leverancier op de fles is dat dit wilt zeggen dat je niet kan ombouwen maar het kost je geld. Wij bouwen regelmatig packaged units (lees units die een leverancier als geheel komt zetten) om naar onze eigen open sturingssystemen maar dat is vaak heel de sturing terug van 0 opbouwen omdat er 0.0 gedocumenteerd is alsook zet de leverancier alles achter slot en grendel.

De discussie is lang geweest met productie managers dat wij als interne dienst te duur zijn en dat leveranciers dit veel goedkoper kunnen. UIteraard, die zetten dat daar, dat werkt en dan zijn ze weg, geen updates, geen hardware vervangingen gepland als in ooit maar die productie moet wel 30 jaar meegaan. En als ze support nodig hebben, daar heeft de productiemanager niet aan gedacht dus er ligt niets vast van prijzen, uiteraard krijgt men een gepeperde rekening als men 3 jaar later een probleem heeft.

Ondertussen zijn we wel zover gekomen dat de productiemanagers door hebben dat die packaged units helemaal niet zo goedkoop zijn als die leveranciers beweren, sommige haken zelfs botweg af als je een vast onderhouds contract vraagt alsook dat het ding 'secure' moet zijn alsook dat de support kosten op voorhand vast moeten liggen. En beetje bij beetje beginnen de productiemanagers door te hebben hoe de vork echt aan de steel zit en dat er zoiets bestaat als een lifecycle management.

Het is ook kwestie van hun vlakaf de vragen te stellen, hey, je hebt hier een nieuwe machine gezet, die servers die daaraan hangen, wie beheerd die? Wie gaat die vervangen na 5 jaar? Wie gaat die up to date houden? Als daar alleen maar euh euh euh op komt dan moet je echt met die mensen in gesprek gaan.

GekkePrutser @sprankel • 9 juni 2021 00:33

Ja, wat je zegt. Af en toe is er wel een project om zoiets te moderniseren maar ze lopen altijd tegen die dingen aan die je noemt. 0 documentatie. En zoiets kost miljoenen als het misloopt dus dan maar liever draaien op de manier zodat we weten dat het werkt en zoveel mogelijk afschermen... Het gaat om een enorm bedrijf. Er is niet een beetje 'technical debt' maar heel veel. Het is niet echt te behappen allemaal en het zou een enorme investering zijn het allemaal aan te passen.

sprankel @GekkePrutser • 9 juni 2021 23:36

Wij krijgen miljoenen subsidie om 1 project op te starten waarbij het ons uiteraard nog veel meer miljoenen kost, het is allemaal relatief.

Maar ik ken het maar al te goed, jamaar dat is historisch zo gegroeid, allemaal goed en wel maar wat er nu bijkomt, is dat dan goed gedocumenteerd? Is daar een plan van aanpak voor? Is het daar in orde?

En vaak is het antwoord in dergelijke sectoren, nee, ze hebben vaak geen flauw benul hoe het eigenlijk wel moet. En dan blijf je bezig uiteraard met een berg choas die groeit en groeit tot het eens gruwelijk fout gaat.

Want hoe je het draait of keert, als jij een installatie hebt waarbij je zo afhankelijk bent van 1 factor waarover niet nagedacht is, 0.0 documentatie bestaat en zo heilig is dat niemand er aub mag aankomen waarbij er "miljoenen" afhankelijk van zijn, dan heb je toch echt iets serieus fout gedaan. De oorzaak zit dan bij productiemanagers die niet de kennis hebben om dergelijke systemen te managen. En dat is in mijn ervaring nog het grootste struikelblok als je het wilt oplossen want dan voel je ze tegengas geven uit schrik dat naar boven zou komen dat dit aan de basis echt wel management is die compleet gefaald heeft in het verleden.

Echter de overheid gaat zich beginnen moeien waarbij er richtlijnen zijn dat installaties veilig moeten zijn op vlak van cybersecurity met certificatie per installatie waar men op termijn met het idee speelt om dat mee te nemen in de vergunningen. De bedrijven die dat al door hebben hangen al aan mijn telefoon, ik ga eens moeten spreken met mijn baas, de concurentie bied mij al 1500 brutto meer zonder dat ik terplaatse op gesprek ben geweest

DutchKevv 9 juni 2021 00:12

Wat is eigenlijk de achterliggende reden dat Google hier zoveel werk in stopt (naast goodwill)? Want je ziet op regelmatige basis security research van ze in hun grootste concurrentie.

Waarom zou Google helpen anderen veilig te maken als ze op hun zeuren dat Android enzo niet veilig is en ze ook geen moeite doen te helpen..

Iemand een idee?

Barryke @DutchKevv • 9 juni 2021 00:57

https://research.google/teams/security-privacy-abuse/

Lijstje altruïsche redenen, maar ook eenvoudigweg "Advance the state of the art." zodat ze zelf het speelveld bepalen.

Rickyyboy 8 juni 2021 20:50

Wat door de mens wordt gemaakt wordt ook door de mens gekraakt.

The Zep Man

Microsoft Windows
Microsoft
Networking en security

@Rickyyboy • 8 juni 2021 21:26

Good luck.

GekkePrutser @The Zep Man • 8 juni 2021 21:50

Een one-time pad is natuurlijk goed om in dit soort omstandigheden van stal te halen.

Maar er is natuurlijk een reden dat deze praktisch nooit gebruikt wordt. Het is vooral een theoretische constructie. Er zijn namelijk behoorlijke problemen mee. Ten eerste mag je gebruikte stukken van je pad nooit maar dan ook nooit hergebruiken. Ten tweede moet je dus van tevoren een veilig kanaal hebben met de ontvanger om de pad door te geven (wat veel encryptiescenario's onmogelijk maakt) en ten derde moet je van tevoren weten hoeveel data er ooit gestuurd gaat worden. Oh en de pad moet ook echt volledig random zijn

Niks van dat PRNG geneuzel.

Zodra je in de praktijk gaat werken, wordt alles een stuk ingewikkelder en komen er compromissen bij kijken omdat een mens ook geen onbeperkt geheugen heeft voor willekeurige data. Dus ik vind het wel een goede opmerking van @Rickyyboy. Alles wat daadwerkelijk gebruikt wordt door mensen bevat gewoon zwakheden. En die worden vroeg of laat uitgebuit.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 10:28]

HakanX @The Zep Man • 8 juni 2021 23:54

The resulting ciphertext will be impossible to decrypt or break if the following four conditions are met:
1. The key must be truly random.

En hoevaak is het bij beveiliging al bij punt 1 misgegaan? Vanwege een bug bleek het toch niet helemaal random te zijn.. Vaak genoeg hier op Tweakers en elders gelezen. Idee is goed, uitvoering blijft toch ook mensenwerk en onderhevig aan fouten. De programmeur kan nog zo zn best doen, maar is er in de processor weer iets waardoor random toch niet zo random is.

hjs 8 juni 2021 22:52

Net de update gedraaid en nu staat er opeens het weer op mijn taakbalk.
Hoover je je muis erover komt er toch een partij onzin nieuws naar boven

Gelukkig allemaal vrij makkelijk uit te zetten.

smirri 9 juni 2021 08:16

Waarom is de classificatie van de kritieke patch 7,5/7,0 en een belangrijke (CVE-2021-33739) 8,4/7,8
Zou de kritieke niet hoger moeten zijn dan een belangrijke qua score?

Noxious @Zackito • 8 juni 2021 20:57

Het feit dat ze lekken dichten is toch juist goed nieuws?

kuurtjes @Noxious • 8 juni 2021 22:30

Microsoft is één van de weinige bedrijven dat expliciet wacht met belangrijke security updates uit te brengen tot als het patch-dag is. Lekker veilig...

Rataplan_ @kuurtjes • 8 juni 2021 23:47

Wat een onzin. Als er echt serieuze bugs blootgelegd zijn brengen ze gewoon patches uit buiten het reguliere schema. Zie de Exchange problemen van begin maart die met een aantal out-of-band patches gedicht zijn.
Of de print problemen in maart, waarvoor ook out-of-band patches voor zijn gekomen: nieuws: Microsoft heeft tweede Windows 10-update vrijgegeven voor printproblemen

Wat dat betreft niks mis met het update schedule.

kodak

Networking en security

@kuurtjes • 8 juni 2021 23:54

Microsoft breng ook out-of-band security patches uit als klanten extra risico lopen. Dat criminelen 0-days gebruiken wil nog niet zeggen dat het meteen heel erg is. Vaak zijn die 0-days namelijk nogal kostbaar, dan komt het niet altijd goed uit om iedereen maar aan te vallen met de kans dat Microsoft een patch uitbrengt. Dat Microsoft er weet van heeft wil namelijk niet zeggen dat je risico dan is toegenomen. Je loopt waarschijnlijk meer risico als patches beschikbaar komen, omdat dan iedereen kan proberen te achterhalen wat het lek was om het goedkoper te kunnen gebruiken bij Microsoft klanten die te lang wachten met updaten.

Mangu429 @field33P • 9 juni 2021 08:14

Tja, dat is aan de IT-afdelingen. Daar kan Microsoft niets aan doen.

Zackito @Noxious • 8 juni 2021 21:08

Zeker is dat goed nieuws, reageerde meer op de aantal lekken van de afgelopen maanden. Krijg meer en meer het gevoel alsof het dweilen met de kraan open is.

Daoka @Zackito • 8 juni 2021 23:03

Ik verwacht zelf het mede komt door de ransomware en de botnets. Ja er zijn altijd mensen geweest die virussen en hacks maken. Maar ik heb wel het idee dat vooral door ransomware de illegale gedoe veel meer winstgevender is geworden en dus gewoon veel meer naar exploits gezocht wordt dan bijvoorbeeld 10 jaar geleden.

Nostalgmus

@Noxious • 8 juni 2021 21:28

Zoals zackito hierbovenr al aangeeft, als je een target bent dan is windows 10 ook gatenkaas en het is niet te overzien hoe het momenteel is.

https://www.cvedetails.co...Microsoft-Windows-10.html

Misschien eens op het darkweb rondspeuren hoeveel lekken er daar beschikbaar zijn

segil @Nostalgmus • 8 juni 2021 22:53

mwah, elk OS en elke software heeft bugs. Ook Apple, ook Android, etc. Alleen wordt hier bij MS wat meer aandacht aan besteed door de media. Geloof maar dat dezelfde hoeveelheid critical patches voor de andere platforms ook geregeld uitkomen.

Marctraider @Nostalgmus • 9 juni 2021 00:24

Denk dat W10 vooral gatenkaas is voor de gemiddelde gebruiker (En helaas betreft het ook een groot deel van de Tweakers hier

)

Een poweruser of iemand met wat technische kennis gooit er een mooi post-install scriptje overheen die even alle attack vectors dicht en onnodige meuk uitschakelt. (Een stuk makkelijker nog is dit over een LTSC install te gooien aangezien je daar al veel minder meuk op hebt)

En bv. custom firewall rules en vooral niet outbound connecties toelaten zonder consent (Wat wel de default is).

Niet heel moeilijk ook op een context menutje aan te maken die een powershell script oproept, voor executables om ze makkelijk door te laten. Snap niet waarom dit niet de default is.

Windows 10 heeft geen fatsoenlijke interactive outbound notification support.

[Reactie gewijzigd door Marctraider op 24 juli 2024 10:28]

boschhd @Zackito • 8 juni 2021 21:49

Dan kun je alle populaire software niet gebruiken: https://www.cvedetails.com/top-50-products.php
Alle populaire Linux distributie doen bovenin mee, en de browsers. Een Windows in de laatste versies.
Ik neem aan dat er zoveel CVEs zijn van deze sw omdat ze populair zijn, voor consument en crimineel, en daarom veel onderzocht worden.

SuperDre @Zackito • 8 juni 2021 22:25

Is ook niet anders bij bv linux hoor.

_Thanatos_ @Zackito • 9 juni 2021 09:54

Andere OS'en hebben ook hele sleuren aan security-problemen die gefixt moeten worden, alleen bij Windows is het heel zichtbaar door alle media-coverage.

Raizio @Zackito • 8 juni 2021 20:58

Nee, qua gebruik de grootste software in de wereld. Dit zal nooit ophouden. Dat is daarintegen geen reden om het niet te verkopen.

vgroenewold @Verwijderd • 8 juni 2021 21:36

Serieus?

Als je zo groot bent, dan ben je dus ook interessant voor hackers en oplichters. Er zijn mensen die 24/7 zo ongeveer fouten proberen te benutten in Windows, logisch want daar is het meeste mee te verdienen. Dat wilt niet zeggen dat het daarom dus zo lek als een mandje is, het komt bijv. ook voor in Linux, met als verschil dat het daar wat beter in elkaar lijkt te zitten waarschijnlijk vanwege het systeem in de basis en een overzichtelijkere kernel e.d.

Blorgg @vgroenewold • 8 juni 2021 21:59

Windows 10 is aantoonbaar slechter qua CVE's dan voorgaande Windows versies. In Windows 10 staat de teller momenteel op 2238:
https://www.cvedetails.co...Microsoft-Windows-10.html

Ter vergelijking Windows XP met 685 CVE's:
https://www.cvedetails.co...Microsoft-Windows-Xp.html

En Windows XP stond nou niet bepaald bekend om z'n veiligheid. Dus hoe denk je dat Windows 10 dan beschouwd wordt? Windows is al decennia lang de grootste en het is alleen maar slechter geworden de afgelopen jaren. Je zou denken dat als ze de grootste zijn dat ze dan ook genoeg geld binnenkrijgen om betere software te ontwikkelen. Of dat ze door hun jarenlange ervaring er simpelweg beter in zouden zijn geworden.

RGAT @Blorgg • 8 juni 2021 22:24

Twee verschillende besturingssystemen, bijna 20 jaar tussen de twee en je wilt ze 1 op 1 vergelijken

Of dacht je dat in 2003 er zelfs maar 0.1% zoveel mensen en geld betrokken waren bij het opsporen van lekken?... Dat is te vergelijken met dat elektrische auto's van 2021 minder veilig zijn dan die van 2003 want er zijn nu meer ongelukken waar ze bij betrokken zijn...

Overigens ironisch dat je dit zegt onder een artikel over een lek wat er dus waarschijnlijk al sinds XP in zit

Blorgg @RGAT • 9 juni 2021 08:51

Twee verschillende besturingssystemen, bijna 20 jaar tussen de twee en je wilt ze 1 op 1 vergelijken
Of dacht je dat in 2003 er zelfs maar 0.1% zoveel mensen en geld betrokken waren bij het opsporen van lekken?... Dat is te vergelijken met dat elektrische auto's van 2021 minder veilig zijn dan die van 2003 want er zijn nu meer ongelukken waar ze bij betrokken zijn...

Overigens ironisch dat je dit zegt onder een artikel over een lek wat er dus waarschijnlijk al sinds XP in zit

Jij beweerd 0.1%. Kom maar op met je bron daarvoor.

20 jaar ertussen, je zou denken dat ze in die 20 jaar van hun fouten hebben geleerd en beter zouden zijn geworden.

Ironisch? Als er nu echt 99,9% meer budget voor het opsporen van lekken zou zijn zoals jij beweerd, waarom heeft het dan toch nog 10 jaar geduurd?

Je doet het af alsof, ondanks de overweldigende hoeveelheid CVE's, Windows 10 veiliger is dan het onveilige Windows XP. Ik snap die redenatie niet. Er zijn nog nooit zoveel botnets geweest als tegenwoordig. Er is nog nooit zoveel ransomware geweest als tegenwoordig. Toch is het volgens jou veiliger? Hoe dan? Want zoals nu nogmaals blijkt kun je netjes alle Windows patches installeren en is het nog steeds zo lek als een mandje.

Oh, en ik weet niet wie mij downmod, maar je doet het fout. Moderatie gaat niet op basis van of je het ermee eens bent of niet. Het gaat erom of het on-topic is of niet. Een discussie over de hoeveelheid CVE's in Windows bij een artikel over CVE's in Windows is gewoon on-topic.

RGAT @Blorgg • 9 juni 2021 12:10

Je lijkt een direct verband te leggen tussen het aantal opgeloste lekken en hoe veilig iets is, maar dat is gewoon niet hoe het werkt.
XP komt uit een ander tijdperk voor computers, waar encryptie nog niet 'bestond' (als in het werd niet als cruciaal gezien zoals het tegenwoordig gelukkig wel wordt gezien).

0.1% was zelfs nog flink naar boven afgerond, ik zou het eerlijk gezegt nog veel kleiner inschatten, bron ervoor? Kijk maar eens op Tweakers zelf al voor cybersecurity op de FP en GoT... 10 jaar geleden waren er zelfs geen cybersecurity opleidingen, die zijn letterlijk de laatste 4-5-6 jaar begonnen, staat allemaal nog in de kinderschoenen dus het aantal gevonden lekken gaat de komende jaren waarschijnlijk haast exponentieel stijgen. Bedrijven hadden 10 jaar terug vaak geen boodschap aan beveiliging, veel bedrijven hebben dat nog steeds niet (zie de vele gehackte bedrijven met gelekte klantdata...).

Waarom denk je dat W10 na patchen nog steeds 'zo lek als een mandje' is? Nogmaals gevonden lekken is goed, je wilt juist dat er zoveel mogelijk lekken gevonden worden, betekent dat ze, in tegenstelling tot XP gevonden en opgelost worden. Denk je dat omdat we niet echt meer bij XP updaten dat het dan veilig is, je hoort geen problemen dus het is goed?

Als grootste oorzaak is het dat de lekken veel complexer zijn geworden. Waar je bij XP nog doodleuk met Wireshark wachtwoorden kon sniffen (dat is pas 'lek als een mandje') hebben we het bij W10 ondertussen over lekken in het OS, de BIOS/uEFI firmware, het hele USB stelsel (BadUSB) en zelfs de CPU zelf (Meltdown en Spectre als de start van die serie aan lekken).
We zijn gewoon een stuk verder gekomen en wat we 20 jaar terug acceptabel vonden is dat vandaag gewoon niet meer, beetje hetzelfde als dat tegenwoordig een auto zonder gordels niet veilig lijkt... Daarnaast is de dreiging gevorderd, hackers steken niet meer een USB met autoplay in je computer maar gebruiken BadUSB om de firmware van je USB hub controller te flashen naar eentje met malware die ook na herinstallatie van het OS achter blijft.

Ik zou zeggen lees je in in cybersecurity, reuze interessant onderwerp maar ook flink complex tegenwoordig

Dan kan je die cijfers op zulke websites ook beter interpreteren dan 'meer is slechter', het is dus grotendeels andersom

laptopleon @vgroenewold • 8 juni 2021 22:56

cc @Raizio Volgens deze logica worden systemen vaker gehackt, puur en alleen naarmate ze meer gebruikt worden. Dat is veel te kort door de bocht. Volgens die logica zou bijvoorbeeld Android veel vaker fouten moeten bevatten dan Windows en bijvoorbeeld macOS véél vaker 'kwetsbaarheden' moeten hebben dan Debian.

Als ik dit artikel mag geloven met het aantal kwetsbaarheden van diverse OS'en, is dat in werkelijkheid niet zo.

saren @laptopleon • 8 juni 2021 23:26

Debian wordt zover ik weet veel meer gebruikt dan MacOS. Debian wordt voornamelijk gebruikt voor servers, en niet zozeer voor desktops. Dat artikel dat je linkt geeft aan dat Debian op nummer 1 qua CVE's staat. Daar heb ik nog wel een kanttekening op.

Veilig vind ik Debian overigens zeker niet, daar niet van. Dat heeft echter niet alleen met de CVE's te maken, wat overigens subjectief kan zijn in wat de developer een CVE vindt, maar meer met het nare idee om zeer sporadisch security updates, package updates en kernel updates uit te voeren. Je draait altijd op verouderde software, met bugs die al lang gefixt zijn maar waarvan de nieuwe software niet geshipt wordt uit naam van 'stability'. Ik heb het dan nog niet eens gehad over zaken als de matige tot nietbestaande implementatie van sandboxing, de gehele kernel die in een geheugen-onveilige taal is geschreven, en nog een tal van andere redenen waarom het een onveilig OS is. Dit is een informatieve pagina voor meer informatie.

Je kunt verder een mobile operating system niet direct vergelijken met een desktop operating system. Het laatste zit qua veiligheid hopeloos veel slechter in elkaar dan het eerste. Dat heeft inderdaad niet puur en alleen met het aantal gebruikers te maken. Desktops zijn niet met security in mind ontworpen. Windows niet, MacOS niet, en linux distro's ook niet.

[Reactie gewijzigd door saren op 24 juli 2024 10:28]

Geuze @saren • 9 juni 2021 09:21

Nog nooit van backports gehoord?

Debian en andere distro's zoals red hat blijven inderdaad op oudere versies namelijk de versies waarmee een bepaalde release uitgekomen is. Dit is om comptabiliteit te kunnen verzekeren en geen rare wijzigingen waardoor software na een update plotseling niet meer werkt. En nee je zit echt niet te wachten op een update in je productie systeem waarbij de config ineens volledig veranderd.

Security issues die voor een bepaalde software gevonden en gerepareerd worden in de nieuwere versie.
worden door deze distro teams geanalyseerd en zo maken ze een patch voor de door hun ondersteunde versie.,

Dit houdt dus in dat ze wel oudere versies hebben maar wel met de security updates.

saren @Geuze • 9 juni 2021 09:45

Een excerpt uit de link die ik stuurde:

Distribution-Specific Issues
Debian, Ubuntu, RHEL, CentOS
Debian, among other distributions such as Ubuntu that freeze packages for a long time only ever backport security fixes that receive a CVE. However, this misses the majority of them. Most fixes do not receive CVEs because either the developer doesn’t care or because it’s not obvious whether or not a bug is exploitable at first.

Debian maintainers cannot analyze every single commit perfectly and backport every security fix. They have to rely on CVEs which people do not use properly.

For example, the Linux kernel is particularly bad at this (dit zijn 4 losse links achter elkaar). Even when there is a CVE for the issue, sometimes fixes still aren't backported such as in the Debian Chromium package which is still affected by many severe and public vulnerabilities, some of which are even being exploited in the wild.

[Reactie gewijzigd door saren op 24 juli 2024 10:28]

laptopleon @saren • 9 juni 2021 11:12

Debian wordt zover ik weet veel meer gebruikt dan MacOS. Debian wordt voornamelijk gebruikt voor servers, en niet zozeer voor desktops.

Het is lastig om hier concrete cijfers van te vinden en daarnaast worden juist dat soort webservers voor een beperkt aantal taken / situaties ingezet. Er kan niet iemand even een spelletje installeren, of een usb-stick mounten of zo. Dit maakt het aanvalsvlak veel kleiner en overzichtelijker.

Maar goed, laten even als uitgangspunt nemen dat er veel meer Debian installaties zijn, dan zouden er dus ook veel meer kwetsbaarheden op moeten duiken. Maar dat is niet zo.

Desktops zijn niet met security in mind ontworpen. Windows niet, MacOS niet, en linux distro's ook niet.

Dat was misschien nog een enigszins valide excuus in de jaren tachtig en negentig, toen we op dit gebied nog niet goed wisten wat er mis kon gaan, maar daar kun je na 20, 30 jaar praktijkervaring en ontwikkeling en diverse keren ‘terug naar de tekentafel’ niet meer mee aankomen.

GSM en draadloze communicatie van huistelefoons, politie etc kon je in de jaren tachtig gewoon meeluisteren, maar dat was niet bepaald veilig dus dat is al in de jaren negentig aangepakt. Ik begrijp wel dat een kernel complex is maar we hebben het dan ook over een veel groter risico.

saren @laptopleon • 9 juni 2021 14:44

Dat was misschien nog een enigszins valide excuus in de jaren tachtig en negentig, toen we op dit gebied nog niet goed wisten wat er mis kon gaan, maar daar kun je na 20, 30 jaar praktijkervaring en ontwikkeling en diverse keren ‘terug naar de tekentafel’ niet meer mee aankomen.

Ik ben het met je eens dat het veel beter moet, en verdedig deze OS'en zeker niet. Je ziet met Windows denk ik als beste voorbeeld, dat men nog enorm veel legacy meuk in de OS'en van vandaag heeft zitten. De NT kernels van Windows en veelgebruikte API's stammen al van tientallen jaren terug. Pas in recente jaren wordt geprobeerd dit echt substantieel te verbeteren door bijvoorbeeld grote delen te herschrijven naar een memory-veilige taal als Rust. Het gebruik van memory-onveilige talen is de oorzaak van de overgrote meerderheid van kwetsbaarheden op OS'en. Ook de Linux kernel is zeer oud, geschreven in het memory-onveilige C, en is zover ik weet nooit helemaal herschreven. Ze lijken dat ook niet bepaald van plan op de korte termijn

[Reactie gewijzigd door saren op 24 juli 2024 10:28]

field33P @laptopleon • 9 juni 2021 00:20

Nu hebben Android en macOS natuurlijk als 'voordeel' dat ze je door best wel wat hoepels laten springen om niet-getekende code te draaien, dat doet het een en ander om de attack surface te verminderen (je moet bijvoorbeeld al een browser-exploit koppelen aan een OS-exploit waar je op Windows volstaat met een huis-, tuin- en keukengebruiker overtuigen om een exe in de mail te draaien, die dan louter een OS-exploit bevat)

laptopleon @field33P • 9 juni 2021 11:14

Even een .exe uit de mail openen, zonder de juiste rechten te hebben en diverse waarschuwingen wegklikken, dat kan toch al heel lang niet meer in Windows?

Op dit item kan niet meer gereageerd worden.

Zes actief misbruikte zerodays in Windows verholpen met de juni-update

Lees meer

Reacties (62)

Sorteer op:

Weergave: