Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 63 reacties
Bron: Heise Online

Microsoft heeft gisteren Update Rollup 1 voor Windows XP gelanceerd. In dit pakket zijn 22 hotfixes, security updates en andere patches terug te vinden. Dit is het eerste pakket dat Microsoft heeft uitgebracht nadat het bedrijf had aangekondigd voortaan iedere maand updates uit te brengen. Deze beleidsverandering was ingegeven door onder andere het verschuiven van Service Pack 2 voor Windows XP naar de tweede helft van 2004 en de roep van gebruikers en klanten om eenvoudigere en duidelijkere updates. Security Bulletins en updates zullen voortaan respectievelijk op iedere tweede woensdag en donderdag van de maand online gezet worden. Hotfixes zullen echter wel gewoontegetrouw iedere woensdag op de servers komen te staan. Om de informatie over veiligheidsupdates naar de klanten te krijgen heeft het bedrijf uit Redmond een aantal plannen.

Naast de plannen om updates voortaan iedere maand op dezelfde dag online te zetten, wil Microsoft ook een tijdsplan openbaar maken met informatie over de updates. Over de precieze inhoud van dit tijdsplan is echter nog niets bekend. Bill Gates heeft in een interview met een aantal journalisten opnieuw aangegeven op welke manier Microsoft werkt aan veiligheid. Er is de afgelopen tijd 100 miljoen dollar geïnvesteerd om het software-ontwikkelingsproces veiliger te maken. Er wordt gebruik gemaakt van speciale tools om code te controleren en de ontwikkelaars hebben trainingen gehad om veilige code te schrijven. Gates sluit het interview af met een opmerking over de snelheid waarmee Microsoft tegenwoordig patches uitbrengt. Van 40 uur na ontdekking van een lek is de wachttijd afgenomen tot slechts 24 uur. Volgens Microsofts voormalige CEO is dat zelfs sneller dan dat er patches voor lekken in Linux-software verschijnen.

Microsoft Windows XP logo (groot, spiegeling)
Moderatie-faq Wijzig weergave

Reacties (63)

nederlandse versie is hier: http://download.microsoft.com/download/4/c/8/4c8fde5b-879e-42a9-b8e5-8 30e5a067ff0/WindowsXP-KB826939-x86-NLD.exe
:)
(voor de mensen die geen engelse XP hebben).

Toch vreemd dat ie op dit moment nog niet op de microsoft site in het rijtje staat

ohw ja de lijst met fixes is te vinden op http://support.microsoft.com/?kbid=826939
Wat ik wel fijn vind is dat ze eens zorgen dat je niet voor elke update ook gelijk je pc moet herstarten.
Lijkt me erg fijn als je een server gaat patchen en dat je dan ook maar ff de server down moet halen, anders werkt de patch niet :S
Daar zou inderdaad hun prioriteit een naar uit moeten gaan. Door die noodzakelijke reboots zijn bedrijven, die 24x7 hun servers nodig hebben, veelal niet geneigd direct patches uit te voeren, hoe nodig het ook zou zijn.
Als de verandering in de 'kernel' zit is er echt weinig anders te doen dan rebooten.
Maar als er gewoon een paar dll's vervangen worden zou het opnieuw starten van de gewijzigde service genoeg zijn, het is op zich naar dat MS voor *alles* een reboot nodig heeft.
Reden te meer om over te gaan naar Windows Server 2003. Daarin is het aantal benodigde reboots bij updates van delen van het systeem drastisch teruggebracht.

Overigens is het nu (W2k) al veel beter dan onder NT, want daar moest je zelfs voor bepaalde instellingen al rebooten :r.
Als die server zo belangrijk voor je bedrijf is dat je hem niet op een rustig moment even kan rebooten, dan moet je uberhaupt niet 1 server hebben. Als je dan een hardware storing krijgt ben je langer uit de lucht (en dan kan je niet eens zelf het tijdstip van je herstart bepalen). Zorg er dan voor dat een 2de server hebt die terwijl de eerste reboot de last even alleen draagt, en als de eerste weer in de lucht is en weer correct werkt, dan reboot je de tweede.
Wel eerst even repliceren :+
Dat hoeft ook niet als je de updates met de optie -z uitvoert. Hoewel je uiteindelijk wel zal moeten rebooten om de patches effectief te maken :(
"Volgens Microsofts voormalige CEO is dat zelfs sneller dan dat er patches voor lekken in Linux-software verschijnen."

Eerst zien, dan geloven. Laten we eerlijk zijn dat in de Linux wereld snel duidelijk is wat er speelt en dat je achteraf goed kunt bepalen hoe snel iets daadwerkelijk gefixed is, wat bij Microsoft nog maar afwachten is. Maar wel grappig dat ze één van de positieve puntjes van Linux overnemen... en nu maar wachten op de patch die zich én snel verspreid en het gehele systeem plat legt (sorrie) :Y)

Straks de vraag: Wat moet nu binnen 24 uur gefixed worden en wat niet...hmmmmmm ... maar dat wat we gepatched hebben is binnen 24 uur gefixed :D Ik ben dus een beetje cynisch.
De vergelijking gaat ook krom:

Microsoft meet de tijd vanaf wanneer zijzelf bevestigen dat er een lek is. Dit kan soms pas zijn lang nadat er een exploit voor is.

Mooie marketing talk, maar over het algemeen complete onzin.

edit:
Zie onder voor meer
De vergelijking is ook niet helemaal eerlijk.. bij Linux zijn er vaak snel patches, maar linux heeft geen betaald team klaarstaan 24/7 om er meteen aan te werken..
geen betaald team nee, maar wel een vrijwillig, onbetaald team dat een factor x keer groter is dan het betaalde team van microsoft

dus inderdaad geen eerlijke vergelijking, maar dan wel oneerlijk voor microsoft, en niet zozeer voor linux
Microsoft is zelf degene die de vergelijking met Linux zoekt, hoe scheef die ook mag zijn.
Het wordt steeds duidelijker dat Microsoft Linux als een serieuze concurrent gaat zien.
[qVan 40 uur na ontdekking van een lek is de wachttijd afgenomen tot slechts 24 uur. Volgens Microsofts voormalige CEO is dat zelfs sneller dan dat er patches voor lekken in Linux-software verschijnen.][/q]

Dat valt te bezien, het duurt soms wel erg lang namelijk voordat M$ een bug erkend. Als je dan al een fix klaar hebt liggen is dat natuurlijk lekker snel.

Het zit 'm niet in de snelheid van de oplossing maar in het erkennen van het probleem. In dat geval zijn e rbugs geweest die 3 maanden op erkenning hebben gewacht.
Waarom is de bovestaande reply een troll? Er zijn voorbeelden bekend waar een probleem al lang bekend was en het door bijvoorbeeld een virus eerst tot een maatschappelijk probleem moest leide (als een groot deel van PC's een probleem krijgen) voordat Microsoft het als een (ernstige) bug erkende en werd het daarna 'officieel' vervolgens pas opgelost.

Laten we wel zijn dat we hier de stelling hebben dat Microsoft beweert om binnen 24 uur een fout te kunnen oplossen. Maar als er een goede fout in zit, dan ben je niet met een paar regels klaar en dat kun je dan niet eventjes testen, anders dat wat Microsoft beweerd. En met dit laatste ben ik bang dat Microsoft de fout pas gaat erkennen nadat ze er weken mee aan het sleutelen zijn geweest. - En dit is niet volledig onrealistisch te noemen. Marketing technisch hebben ze behoorlijk speelruimte, omdat Microsoft niet goed te volgen is in hun oprechtheid, dat wat bij Linux wereld in de Newsgroups wel mogelijk is.
Een aardig voorbeeld van hoe je dit soort informatie anders kan interpreteren: Een probleem dat zowel IE and Konqueror trof werd in de source van de laatste in iets van 90 minuten gefixed. Hoera voor Open Source en zo.

KDE deed een een maand over om dit in de binaries te verwerken, Red Hat 2 maanden voor het in hun distro zat. MS had de patch beschikbaar in 2 weken.

MS claimde een doorlooptijd van 2 weken, de Linux gemeenschap 90 minuten...
En hoe lang duurde het voordat deze fix op iedere nieuwe PC van Compaq werd uitgeleverd? :Z

Geen derden er bij gaan betrekken.
De SSL bug bedoel je?
Die werd door MS niet eens erkend, pas toen het al lang en breed in andere browsers gefixt was kwam MS met een update, omdat het misschien toch wel een probleempje kon zijn.

KDE een maand erover doen om het in de binaries te gooien? Na 90 minuten de bug gefixt in source, paar dagen later een nieuwe release (KDE 3.0.5a). En lang duren voor die nieuwe release in RH zat? Hmja, waarschijnlijk zat die bugfix al in een backport voor de huidige versie in RH. Je krijgt pas een nieuwe versie van iets in een distro als de oude versie gewoon echt niet meer kan, of te verschillend is van de versie waarin het lek is opgelost, meestal backporten ze het gewoon.
Debian Stable komt ook nog steeds met Apache 1.3.26, echter is dat ding niets minder veilig dan de 1.3.28 die je van de apache website haalt.
tja dan zullen we maar een vergelijkende tijd nemen: hoelang duurt het tot het op retail cd's is verwerkt (veeeeeeeel langer)
Heb je dat pakket nog nodig als je net (5min geleden) windows update hebt gedaan?

oftewel zij dat fixes die niet via windows update te krijgen zijn?

zoja: nogal dom

Wat microsoft trouwens ook moet doen is stoppen met het belemmeren van mensen met een illegale windows XP. Zover ik weet kunnen die mensen niet probleemloos service pack 1 installeren of andere updates.

Ik snap wel dat microsoft wat aan die illegale copys wil doen maar:

Die mensen gaan daardoor niet xp legaal kopen, ondertussen is het wel zo dat omdat zij hun xp niet kunnen beveiligen zij daardoor weer een gevaar zijn voor vele andere mensen.
Nee heeft geen nut aangezien het gaat om een gebundeld pakket critical updates van de afgelopen tijd.
Die heb jij dus al geinstalleerd.

Op het tweede gedeelte over illegale copieen:
Service pack 1 was te installeren met een serial changer die overal was te downloaden na release van SP1.

In Windows 2003 Server is het niet meer mogelijk om normaal contact te maken met windows update als je de illegale versie hebt. (dan krijg je 1-800-no-copys bla bla).
Maar daar was nog voor de offciele release van win 2k3 een patch voor.. met de leuke aantekening niet gelijk opnieuw op te starten na het installeren van updates want dan kun je je hd formatteren, maar het werkt wel prima.
Je kunt gewoon contact maken met windows update etc.

Alle pogingen van Microsoft zijn tot nu toe dus voor niets geweest.
En helaas zal het altijd wel zo blijven dat beveiligingen gekraakt worden.

Het zou de veiligheid in OS'en en software ten goede komen als er ooit een manier van testen komt die alle fouten er uit kan halen. Zal wel altijd een utopie blijven.
Dinsdag hoorde ik Bill Gates nog zo mooi vertellen over hun geautomatiseerde testsysteem. Meteen dacht ik: Dan krijg je dus nooit de fouten er uit die je nog niet kent.
Met een geautomatiseerd testsysteem kan je alleen bekende fouten testen of die in de nieuwe software zit.
Volgens mij ben je in 1 klap rijk als je een testsysteem uitdenkt dat alles kan testen. Zal wel nooit komen :(
Van 40 uur na ontdekking van een lek is de wachttijd afgenomen tot slechts 24 uur. Volgens Microsofts voormalige CEO is dat zelfs sneller dan dat er patches voor lekken in Linux-software verschijnen.
Prima initiatief maar ik vrees dat gezien de extreem snelle verspreiding via het internet zelfs 24 uur nog te lang duurt.
Ergens in het verhaal moet er een beveiliging ontstaan die pro-actief is en ingrijpt als er problemen of verdachte activiteit is. Net zoiets als Stat server kan bieden voor IIS.

Microsoft is waarschijnlijk de enige fabrikant naast Symantec die een volledig 24 uurs bezet securitycentre kan bemensen en zorgen voor snelle isolatie van verdachte activiteiten binnen het OS. Alleen zal men dan MS meer moeten gaan vertrouwen want dat zou inhouden dat MS toegang heeft tot bepaalde systeemonderdelen.
Gezien de huidige idiote anti-MS houding bij bepaalde groepen zit er dat voorlopig niet in lijkt me.

Internet...firewall.....pro-actieve OS laag....OS....applicaties...data.....gebruikers
Dat laatste waren de buzz-words die je moet leren als MCSE :+
24 uur mag dan nog wel te lang zijn, maar op zich is daar nix mis mee. Mensen zitten niet de hele dag aan windows update te lurken om die updates, dat doen alleen paranoia mensen.

Zelf krijg ik elke dag om 6:25 een mailtje van mn servers over eventuele updates, die moet ik dan nog met de hand toepassen, gedownload zijn ze al. Ik krijg dus elke 24 uur een update report, ja, als er dan om 20:00 's avonds een update is, komt die er niet eerder door dan de volgende dag als ik om 8:00 mn mailbox open. Tuurlijk is zoiets als SSH laatst een ander geval, dat was een hele hype en ik las toevallig eerder topic op GoT dan dat ik mn update mailtje binnenkreeg.

over dat wel of niet nuttig zijn van update mailtjes: laatst nog ontdekt dat een disk vervangen moest worden, kreeg mn mailtje niet, was de updatedb cronjob een halve dag blijven hangen op bad sectors. De maandag direct disk vervangen, was maar liefst 1 MP3 kwijt van een student.
Gezien de huidige idiote anti-MS houding bij bepaalde groepen zit er dat voorlopig niet in lijkt me.
Niet dat ik anti-MS ben, maar gezien hun standpunten op het gebied van DRM en MS's neiging om zelf maar even te bepalen wat goed is voor de gebruiker kan het nog wel een tijdje duren voor ze dergelijke toegang zullen krijgen.
Hier haalde ik de update voor mijn Windows XP SP1 UK.

Verder staan er nog wat aanwijzingen over hoe je dan sp1 kan bemachtigen enzo, en wat er in de security patch pack zit voor spullen.
Hier staat een artikel over wanneer we uiteindelijk toch het SP2 voor WindowsXP mogen verwachten.

Eerder werd gezegd dat het SP2 in december zal uitkomen, nu zegt Microsoft dat dan pas een beta zal uitkomen, niet de final dus.

http://zdnet.com.com/2100-1104_2-5092742.html
Just three days after a Microsoft vice president--who is in charge of Microsoft.com and Windows Update--told thousands of delegates at a conference in Florida that Service Pack 2 for Windows XP would be available by the end of 2003, the company has effectively retracted the comments and said that customers will see only a beta version of SP2 this year.
De rollup package bevat dus NIET de 5 laatste patches die woensdag zijn gereleased. :(
24 uur is waanzinnig snel. Ik denk dat de meeste bugs door MS zelf ontdekt worden, en dit is dus een degelijke zet van MS.

Aan de andere kant heb je niets aan een patch als hij niet wordt geïmplementeerd. Ik ken geen enkel bedrijf dat met windows servers werkt waar de patches ook maar in de buurt van up-to-date komen. Het opvoeden van die admins is waarschijnlijk nuttiger- ook voor de naam van MS -dan het nog sneller reageren op problemen.
24 uur is waanzinnig snel. Ik denk dat de meeste bugs door MS zelf ontdekt worden, en dit is dus een degelijke zet van MS.
24 uur is inderdaad waanzinnig snel, alleen klopt hun berekening niet: er zijn zat bugs die door derden worden gevonden, aan ze gerapporteerd en na een maand van stilte openbaar gemaakt omdat ze schijnbaar geen haast hebben het te fixen of hopen dat het onbekend blijft totdat ze het doen, soms ook om überhaupt bevestiging te krijgen. Tsja, 24 uur daarna is dan een mooie prestatie :)

Dat ze daarmee sneller zouden zijn dan patches voor b.v. Linux is gewoon niet waar. Bij Linux worden bugs veel sneller bekend, dus al zouden ze het trager fixen (wat meestal ook niet waar is, heel vaak zijn patches al na een paar uur beschikbaar) is de totale tijdsduur dat het probleem in het wild voorkomt en misbruikt kan worden veel korter. Bovendien kan ten eerste iedereen het in principe fixen omdat de sourcecode beschikbaar is en ten tweede worden bugs an sich sneller gevonden door peer review en openheid.

Dit lijkt me de zoveelste poging tot beperken van imago schade vanwege de grote vloed veiligheidslekken van de laatste tijd.
Het opvoeden van die admins is waarschijnlijk nuttiger- ook voor de naam van MS -dan het nog sneller reageren op problemen
Tuurlijk, blame het allemaal maar weer op het beheer, natuurlijk is het soms wel laksheid van beheer, maar wat als het management heeft afgesproken dat er slechts eenmaal in de twee weken op donderdagavond beheer op de servers mag worden uitgevoerd? Dat beteknt dat in het meest gunstige geval updates eens per twee weken worden doorgevoerd, maar vaak duurt het langer omdat er ook andere werkzaamheden liggen.
veiligheids lekken worden in linux meestal de zelfde dag, zo niet uur gedicht.
andere bug kunnen op zich laten wachten ja omdat linux (en andere opensource) voornamelijk word geschreven door mensen in hun vrije tijd.
Linux software? Bill bedoelt de Linux kernel? Of... kan Bill opensource software goed generaliseren onder de ''Linux software''... zou Bill ook BSDL zo slecht vinden?

Toevallig, heel toevallig, zitten er al gigantische maanden lekken in MSIE (ja Bill, dat is nou Microsoft software). Dat is bij Mozilla (wat Bill waarschijnlijk in het hokje "Linux software" plempt - is het niet) wel anders. Bovendien is het development process open.
Dat is bij Mozilla (wat Bill waarschijnlijk in het hokje "Linux software" plempt - is het niet) wel anders.
Dat is niet waar. Bugs worden bij MS ook eerder bekend omdat er meer naar gezocht wordt. Mozilla bevat mistens zoveel bugs (bij elke update van Mozilla zitten ook bugfixes).
Bij Mozilla blijven bugs niet maanden lang liggen. Of wel? Bewijs het dan even. Dan bewijs ik bij deze dat MSIE lek is.

http://www.pivx.com/larholm/unpatched/
http://web.archive.org/web/20030201233119/http://www.pivx.com/larholm/ unpatched/

Ligt helaas plat. Maargoed, jij hebt o.a. een lekke SSL met jouw MSIE, en een boel remote exploitable bugs waarvan sommigen al maanden bekend zijn. Prettig surfplezier.
Aan iedereen die nog steeds denkt dat Bill de baas is.

Bill Gates heeft samen met Paul Allen MS opgericht en is, omdat Paul er geen zin in had en ziek is, CEO geworden. De huidige CEO van MS is Steve Ballmer.

Ik vind het een beetje zielig om iedereen die bij MS werkt Bill te noemen.
Ja, slim van je. Maar... daarom staat er ook:
"Volgens Microsofts voormalige CEO"

Dus het is wel degelijk Bill Gates die dat zegt.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True