Fout in Microsoft CryptoAPI als kritiek bestempeld

Bij News.com is een artikel te vinden over een nieuw beveiligingsprobleem in software van Microsoft. Het gaat om een fout in de zogeheten CryptoAPI, de programmatuur die voor veel software onder Windows de beveiligde verbindingen beheert. Er zijn al eerder problemen met beveiligde verbindingen geweest, maar tot nog toe ging het alleen om de mogelijkheid tot het verwijderen en ongeldig maken van digitale certificaten. Het huidige probleem biedt kwaadwillenden de mogelijkheid om ongeldige certificaten te sturen die zonder medeweten van de gebruiker toch goedgekeurd worden, waarna het mogelijk is om zonder toestemming gebruikersgegevens te weten te komen.

Security bugje Met behulp van de ongeldige certificaten zouden transacties met creditcard-nummers niet altijd bij een geauthoriseerd bedrijf aan hoeven te komen, waardoor diefstal van de nummers mogelijk is. Tot nog toe zijn er geen voorvallen bekend waarbij iets dergelijks gebeurd is, maar het nieuws zou het vertrouwen van consumenten in online transacties kunnen ondermijnen. Microsoft is op de hoogte van het probleem en heeft voor de meeste besturingssystemen patches uitgebracht. Een analist van Gartner ziet de ontdekking als onderdeel van het security-programma dat begin dit jaar werd gestart:

Microsoft has been issuing security alerts on a fairly frequent basis since January, when company Chairman Bill Gates made security a top priority for the company. The company will likely issue even more security bulletins as the year progresses, say analysts.

"They started out with the server products and then moved on to the server applications," Pescatore said. "They've now moved on to the desktop OS and things like (Internet) Explorer. They're shaking out the laundry and all these bugs are flying out...that haven't been looked at. There's more to come."

Het was Verwijderd die ons dit toevertrouwde.

Lees meer

Reacties (33)

Zarc.oh 7 september 2002 14:18

Volgens technet zijn er al enkele patches beschikbaar...
# Microsoft Windows 98:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q3281 45/default.asp
# Windows 98 Second Edition:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q3281 45/default.asp
# Windows Me:
http://download.microsoft.com/download/WINME/PATCH/25386/WINME/EN-US/3 28145USAM.EXE
# Windows NT 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q328145/defau lt.asp
# Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/ntserver/terminalserver/downloads/critical/q3 28145/default.asp
# Windows XP and Windows XP 64 Bit Edition:
http://www.microsoft.com/windowsxp/pro/downloads/q328145.asp

PipoDeClown @Zarc.oh • 7 september 2002 14:42

nu nog een voor win2k

Dr. Boktor @Zarc.oh • 7 september 2002 21:55

Zit dit ook in SP1?

Verwijderd 7 september 2002 12:53

Wat heeft die Pescatore een raar verhaal. De meeste (critische security) bugs worden volgens mij niet door Microsoft maar door externe partijen gevonden. Pescatore doet het voorkomen alsof Microsoft ze allemaal zelf heeft gevonden en het Microsoft's keuze is om het naar buiten te brengen

Zal wel komen omdat Gartner behoorlijk wat centjes aan Microsoft verdiend elk jaar

Het is een wonder dat de security industry zo'n verantwoordelijke houding heeft jegens Microsoft. Slechts weinig komt het voor dat een security bug + exploit gereleased wordt voordat Microsoft de kans heeft gekregen een fix te publiceren. Als de hele security industry daar morgen mee zou stoppen, hoe lang denk je dan dat het duurt voordat Microsoft's inkomsten van server proukten beginnen te kelderen en er massaal overgegaan wordt op Linux?

SED @Verwijderd • 7 september 2002 21:42

Klets, de security industrie.. wat is dat eigenlijk.. heeft geen verantwoordelijke houding getoond.
Diverse nog nooit toegepaste bugs zijn door zogenaamde security mensen gebruikt om juist aandacht voor hun bedrijf te krijgen.Ondr het mom van hoe meer gaten we lijken te vinden hoe beter we zijn als firma.
Dat zorgde voor een nodeloos gevoel van onveiligheid mbt MS producten. Het toeschrijven van fouten in applicaties aan MS is ook bon-ton. Alsof MS overal rekening mee kan houden.

Ik ben laatst op bezoek geweest bij een kennis die een exploit heeft gevonden in alle unix versies ( dus ook linux) en moeiteloos root toegang kan forceren.
Helaas is het een eenling die niet laat zien hoe hij dat doet en nik ben niet bij machte om te controleren of het te herhalen is bij iedere configuratie.

Zo zijn er in de praktijk diverse exploits in omloop die niet aan de grote klok gehangen worden om zodoende te kunnen doen wat je wilt.

Als iedeeer zijn pijlen op Linux gaat richten ligt dat os ook zo op zijn gat. Ben blij met MS die zorgen nin ieder geval voor de nodige afleiding zodat je zelf rtelatief veilig bent met andere Os-sen.

buum @SED • 8 september 2002 13:36

Ik ben laatst op bezoek geweest bij een kennis die een exploit heeft gevonden in alle unix versies ( dus ook linux) en moeiteloos root toegang kan forceren.

Met alle respect voor je kennis hoor, maar dit klinkt als een heel erg typisch geval van broodje aap.

Verwijderd 7 september 2002 12:13

Ze zijn juist hartstikke handig bezig omdat ze nu gewoon alle bugs / patches en weet ik veel wat nog meer openbaar maken. Beveiliging staat nu bij MS op 1!

Dat kan wel zijn, maar het bedrijf is te groot om één gezicht te hebben. Die ssl bug werd in eerste instantie als onbelangrijk afgedaan.
Nu ook zijn er door 3 low risk bugs te combineren gevaarlijke aanvallen mogelijk.
Zie http://online.securityfocus.com/news/606

Het is daarom maar goed MS disclosures niet kan verbieden zoals ze graag zouden willen. Je moet vooral de sales mensen constant op hun huid zitten om MS zover te krijgen met een patch te komen.

PipoDeClown 7 september 2002 12:48

Office apps voor Macintosh hebben er ook last van? Wat moeten deze programma's met certificaten van internet?
Kun je hiervan ook misbruik maken ivm. met LAN's en beveiling (dat een guest zich voorkan doen als toegestane server bijv.)?

Marcelloz @PipoDeClown • 7 september 2002 13:08

Ik weet niet of Outlook in de Mac-Office suit van MS zit, maar deze gebruikt ook certificaten om emails te securen (digital signature). Of ze daarbij hun eigen MacOS versie van de crypto-api gebruiken of een MacOS-eigen versie weet ik niet.
Standaard is de cryptoAPI aanwezig in NT4, W2K en WinXP en kunnen fabrikanten daar gebruik van maken als ze dat willen om te de- en encrypten.

Verwijderd @Marcelloz • 8 september 2002 00:00

Microsoft applicaties op de Mac gebruiken vanoudsher maar een beperkt aantal native API's. Dit is tegenwoordig wel beter, maar nog steeds gebruikt Microsoft veel eigen code voor dingen die ook door het OS zelf geregeld kunnen worden.

Office 5 voor Mac was volledig native en ontwikkeld voor de Mac, Office 6 voor Mac was niets meer dan een port van de Windows versie. Om dit voor elkaar te krijgen heeft Microsoft een groot gedeelte van de Win32 API geport naar Mac. Office 6 gebruikte dan ook gewoon Win32 calls. Op deze manier hoefde alleen de Win32 API geport te worden, terwijl de applicaties relatief weinig verandering hoefden te ondergaan.

Alex 7 september 2002 17:34

Ik hoop echt dat dit niet nogmaals aangerekent wordt op Microsoft. Niet zozeer dat ik een voorstander ben ervan maar als ik kijk naar reacties op sites bijv T.net dan zie ik dat iedereen dat massaal opgeroepen wordt om Linux te gaan gebruiken. Dit is simpelweg niet reëel aangezien Linux daar nog niet gebruikvriendelijk goenoeg voor is.
Daarnaast is het zo dat Microsoft netjes iedere keer toch de patches maakt(of ze nou onder druk staan of niet!!). En dat ze 90% van de tijd werken. Bij andere software producenten is dit vaak niet. Ik heb regelmatig op mijn Linuxbakken een kernel update gedaan en dat de problemen er gewoon NIET mee verholpen werden.

Ik zie een security-bug gewoon als een bug, hij moet opgelost worden en binnen afzienbare tijd maar ik vind wel dat er gewoon goed de tijd voor genomen moet worden.
Helaas zjn OS-en als Windows zo complex dat er niet één team is wat het maakt maar volledige afdelingen. Dit zorgt er natuurlijk voor dat je afhankelijk wordt van een grote groep mensen, dus de kans op menselijke fouten worden groter. Dat is een probleem wat al speelt vanaf de vorige eeuw.

Wat me meeste zorgen baart is dat de patches er zijn voor alel windows versies wat inhoud dat er gewoon teveel overgnomen wordt. Ik mag dan ook hopen dat Microsoft maar ook alle andere OS-ontwikkelaars vanaf nu slimmer gaan worden en elk nieuw OS vanaf de grond met ALLES opnieuw opbouwen met één vast team. Maar dus óók de browsers en de spellekes enz

. Dit zou dus ook betekenen dat je een getuned systeem hebt zonder dat dat speciaal door een goede sysop gedaan hoeft te worden die vaak niet verder komt dan 60% van een ideaal systeem.
Dit heeft were als gevolg dat de eisen aan hardware niet zo hoog worden wat were kosten besparend is. Overduidelijk een voorbeeld van een visuele cirkel.

Als laatste: Mensen blijf reëel, we kunnen weer gana roepen dat Linux beter is en dat het sneller is en blaaaaaaaaaaat, maar uiteindelijk moeten we ook kijken naar het totaal en daarin heeft Microsoft de vorosprong, gebruikersgemak/vriendelijkheid, totaalheid en niet te vergeten geen cocurrentie in de zin van 20 verschillende vormen zoals er is bij Linux.

* 786562 Alex
* 786562 Alex

MrMr @Alex • 7 september 2002 21:07

Wat een boel tekst
Zal ik het even samenvatten?
We mogen microsoft niet aanspreken op fouten
want er is een stel amateurs dat ook fouten maakt.
En bovendien, bij microsoft krijg je er van die grappige
bewegende icoontjes bij.

Alex @MrMr • 7 september 2002 22:59

Dit is dus exact de manier die ik bedoel.

Mensen zijn ertegen omdat het niet 'the one and only OS is 4 tweakers' en gaan het dan afzeiken. Mensen kijken niet naar voordelen, mensen kijken contsant naar nadelen. En springen er dan op zo'n manier in als men kritiek uit op de wijze zoals deze 'tweakers'(tussen aanhalingstekens ja!) kritiek willen leveren.

Over dat er amateurs bij zijn(sinds wanneer zijn ze bijv bij SuSE en Red Hat amateurs? Miljoenen bedrijven!) heb ik niets gezegd, ik heb enkel een contrast aan willen geven.

Verder denk ik dat je pas een persoon bent die kritiek mag leveren als je van 2 kanten voordelen en nadelen op kunt noemen. En als je dan zo'n flauwe reactie geeft weet ik gewoon dat je dat helaas niet kunt...

Ik wil in mijn posts zelden iets aanprijzen maar ik wil ermee duidelijk maken dat er simpelweg 2 zijdes zijn van alles, en dat deze zijdes zowel positieve als negatieve kanten hebben.

MrMr @Alex • 8 september 2002 00:24

Ik hoop echt dat dit niet nogmaals aangerekent wordt op mijn slechte manieren, maar:
Je begint je verhaal met een hele vreemde opmerking:
Waarom hoop je dat fouten van ms niet aangerekend worden aan ms?
Een paar alinea's verder zit je zelf alle software ontwikkelaars, ms incluis, aan te rekenen dat ze teveel sources hergebruiken.

Verder heb ik volgens mij geen advies uitgebracht over een bepaald OS, dus de suggestie dat ik wie dan ook linux (aka SunOS 4.0.3-x86) zou willen aansmeren is gewoon uit de lucht gegrepen.

Verwijderd @Alex • 8 september 2002 12:15

Blijf je even on-topic aub?-

Enniewee, ik hoop dat die fouten snel worden opgelost

Verwijderd 7 september 2002 11:52

wanneer komt de fix?

4AMD @Verwijderd • 7 september 2002 12:06

Microsoft is op de hoogte van het probleem en heeft voor de meeste besturingssystemen patches uitgebracht.

Als je goed gelezen had zag je dat ze er al waren.

Eskimootje @4AMD • 7 september 2002 12:09

Het is trouwens heel vaak zo dat beveiligingsfouten eerst worden hersteld om vervolgens pas te zeggen dat ze er waren. Dit om te voorkomen dat hackers er op grote schaal ge(mis)bruik van maken.

Verwijderd @Eskimootje • 7 september 2002 13:46

CRACKERS zijn dat

TFHfony 7 september 2002 14:51

Nu is het alleen nog de vraag wanneer M$ zo slim is om in dit soort updates ook te controleren of de gebruikte windows al of niet officieel is...

F_Blofeld 9 september 2002 14:31

Wat mij 't meest stoort aan dit soort bekentmakingen is dat je er door GEDWONGEN word om de laatste patches/ updates te installen.
Om deze noodzakelijke! patches te installeren MOET je vaak (zoniet altijd) met de nieuwe EULA/voorwaarden accoord gaan. (denk aan de Servicepacks).

En zo legd MS ons hun voorwaarden op.

- Obey your MaSter , or die of Aids -

(bij nader inzien wel 'n aardige vergelijking toch, Aids en Virussen?, ok sorry als 't te hard/onsmakelijk vind, Aids is veel erger ja van 'n computervirus. Maar je begrijpt nu toch wel de zieke tactiek van MS en veel andere bedrijven?)

-BF-

TeeDee @Yonni • 7 september 2002 12:04

niet handig bezig?

Ze zijn juist hartstikke handig bezig omdat ze nu gewoon alle bugs / patches en weet ik veel wat nog meer openbaar maken. Beveiliging staat nu bij MS op 1!

Bor Coördinator Frontpage Admins / FP Powermod @TeeDee • 7 september 2002 13:09

Compleet nietwaar wat je roept. Microsoft maakt de security fouten pas openbaar als er een patch voor gemaakt is. Microsoft is zelfs een van de voortrekkers van de "strijd" tegen full disclosure meldingen van security gaten. Als het aan hun ligt wordt een nieuw ontdekt beveiligings gat dus helemaal niet gemeld totdat het de maker zelf uitkomt.

Verwijderd @Bor • 7 september 2002 18:40

precies en aangezien in de tussentijd niemand van de fout weet, zal niemand er misbruik van maken.

YAY!!!

deadinspace @TeeDee • 7 september 2002 16:09

Beveiliging staat nu bij MS op 1!

Dat is onzin. Echt. En MS geeft dat zelf ook toe.

Lees dit artikel maar eens. Daarin geeft de senior vice president van het Microsoft Windows development team (!) zelf toe dat hun producten qua security veel te wensen overlaten.

Een quote uit het artikel:

"I'm not proud," Valentine said, as he spoke to a crowd of developers here at the company's Windows .Net Server developer conference. "We really haven't done everything we could to protect our customers ... Our products just aren't engineered for security."

"Our products just aren't engineered for security." Heel treffend.

Los daarvan snap ik sowieso niet waarom je MS zo verdedigt (daar lijkt het wel op namelijk), omdat MS software qua security nou al honderdmaal brak is gebleken.
Sure, accidents happen, maar zo *onwijs* veel security fouten komen niet van een bedrijf dat "beveiliging op 1 heeft staan" (zoals jij het uitdrukte).

OddesE @deadinspace • 8 september 2002 13:27

Hij zegt dat beveiliging nu (dus sinds kort

) op 1 staat:

Beveiliging staat nu bij MS op 1!

Of het op één staat weet ik niet, maar het is al heel wat als ze het een hoge prioriteit geven. Maar dit is wel een grove fout die ze nu hebben ontdekt zeg!

memphis @TeeDee • 7 september 2002 12:24

Beveiliging op nr1

Behalve als het in hun voordeel is

De mogelijkheid om je PC uit te kunnen lezen wat je zoal geïnstalleerd hebt en als je wel een legale versie hebt noem ik een open deur kunnen intrappen.

Verwijderd @TeeDee • 7 september 2002 22:57

Spijt me zeer, maar als je rationeel denkt dan staat bij elk bedrijf winst op #1. Dan heb ik het dus niet alleen over Microsoft.. en dat is dan ook meteen een rede waarom vele voor open source en gratis kiezen.

Verwijderd @Yonni • 7 september 2002 13:24

Als er geen fouten worden ondekt, wil dat niet zeggen dat er tevens geen fouten zijn.

Ik heb toch liever dat fouten en problemen wel worden ontdekt en opgelost, zodat ik m'n OS kan updaten.

Voorbeeld: er worden onder Linux minder fouten ontdekt dan onder Windows, maar volgens mij komt dit doordat er in vergelijking met Windows veel minder mensen Linux gebruiken. Het is echter een feit dat er NU onder Linux veel meer fouten worden gevonden dan 2 jaar geleden. Als er meer mensen dit OS gaan gebruiken, zullen er nog veel meer bugs worden uitgehaald.

Meer gebruikers = Meer fouten worden gevonden, omdat iedereen zijn OS anders gebruikt.

FireFly @Yonni • 7 september 2002 12:11

't Is wel zo dat de bugs / fouten in MS software wel altijd in de kijker staan hé ... ook al zijn ze misschien niet ZO erg dan ze eruit zien

Op dit item kan niet meer gereageerd worden.

Fout in Microsoft CryptoAPI als kritiek bestempeld

Lees meer

Reacties (33)

Sorteer op:

Weergave: