Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 96 reacties
Bron: Msnbc, submitter: mrtnvnl

Microsoft laat via Msnbc weten dat er een gevaarlijk veiligheidslek in een aantal Windows-versies geslopen is. De gevolgen van dit lek klinken enigszins bekend in de oren: het stelt hackers in staat om in de computer van gebruikers binnen te dringen, met alle gevolgen vandien. Het probleem is reeds een half jaar geleden ontdekt door eEye Digital Security, waarna er met Microsoft is afgesproken om nieuws over het lek pas naar buiten te brengen nadat de softwaregigant een patch had ontwikkeld. De reden waarom dat zo lang duurde is te vinden in het feit dat Microsoft wilde verzekeren dat het probleem volledig zou opgelost worden met n enkele patch. Bij eEye is men minder gelukkig met de lange tijd die het oplossen van het probleem in beslag nam, aangezien de gebruikers van de Windows-versies in kwestie - NT (Server), 2000, XP en 2003 Server - gedurende die lange periode blootgesteld werden aan hackers.

Virus / worm / veiligheidslek / security / hackersHet veiligsheidslek wordt "ongewoon ernstig" genoemd - op de Microsoft-site krijgt het de stempel 'critical' mee en eEye spreekt over een van de ergste veiligheidsissues ooit bij een Microsoft-product. Men raadt iedereen aan om zo snel mogelijk de ter beschikking gestelde patch te installeren, dit kan ook door gebruik te maken van de ingebouwde Windows Update-functionaliteit. Volgens Stephen Toulouse van Microsoft is het lek te vinden in een onderdeel dat "diep vertakt" zit in Windows. Deze redelijk vage bewoordingen worden verduidelijkt door een Security Bulletin, waaruit blijkt dat het probleem te vinden is in de ASN.1 Library. Deze standaard heeft te maken met de dataformaten van objecten in netwerken en wordt gebruikt door veel applicaties, wat het risico op een aanval verhoogt.

Moderatie-faq Wijzig weergave

Reacties (96)

Het blijkt dus maar weer dat het vaak niet opschiet met Windows patches.
Was het niet Microsoft die een tijd terug met veel trots wist te vertellen dat een van de voordelen van Windows t.o.v. Linux is dat er voor Windows veel sneller patches beschikbaar zijn dan voor Linux?

Hmm, naja, dan zal ik me wel vergissen }>
Gelukkig vermeld je in jou verhaal ook in welke context we praten. Daarnaast is windows net zo slecht als Linux of andersom. En komt Microsoft ook vaak genoeg uit met een patch binnen korte tijd.
Er zitten altijd fouten in besturingssystemen en zal altijd te kraken of te hacken zijn. Alleen word linux niet zoveel gebruikt als windows dus komen er ook minder snel kritieke fouten naar boven.
UNIX is bijvoorbeeld een veel beter en stabieler systeem, maar met het ontwikkelen hiervan zijn ze dan ook al rond 1960 begonnen. Dat is dan toch een kleine 20 jaar voorsprong. Dus ook meer ervaring en meer tijd om fouten op te sporen
Linux is vanaf de grond af aan opgebouwd sinds ca. 1991. Windows is al - stukje bij beetje - in ontwikkeling sinds begin jaren '80. Dat is dus een ACHTERSTAND van 10 jaar voor Linux. Dank u.

En met betrekking tot dat fabeltje dat Linux net zo vaak geroot zou worden als Windows als het maar wat vaker gebruikt zou worden: daar zou ik nog maar eens goed over nadenken. En wat stukken lezen. Er verschijnt de afgelopen maanden bijna wekelijks een stuk op internet waarin uiteen gezet wordt dat dat NIET zo is. En die zijn een stuk overtuigender dan de anderhalve zwakke, door MS zelf gefinancieerde studie die min of meer beweren wat jij zegt. :P
Linux is dus niet vanaf de grond aan gebouwd sinds ca. 1991. Linux is gebaseerd op een kernel die gebruikt werd voor Unix en die bestaat al veel en veel langer dan Windows en MS-DOS. Dus die achterstand is niet waar.

Bovendien komen er voor Redhat wekelijks updates uit waarin ook gewaarschuwd wordt voor vulnerabilities als dit en waarmee je root access kunt krijgen als je de bug kunt exploiten.

Ik ben dan ook benieuwd naar die stukken waar jij het over hebt.
Wat jiji wil.

Ten eerste:
Het feit dat Linux UNIX en POSIX compliant is, zegt helemaal niets, maar dan ook echt helemaal NIETS over waar Linux vandaan komt. Ik zeg dit, omdat ik werkelijk geen enkele andere reden kan bedenken waarom je stelt dat Linux niet vanaf de grond opgebouwd is.

Als je wat research zou doen, zou je er achter komen dat Linux medio 1991 door een zekere ;) Linus Torvalds is geschreven. Van scratch. Aanvankelijk als terminal programma. Dat er later gekeken is naar POSIX en hoe Unix werkt en dat bepaalde Unix-functionaliteit toen - deels - nagemaakt is, betekent NIET dat Linux op oudere Unix versies gebaseerd is.

De oude Unix versies waren namelijk voor het over- overgrote deel propriety software en closed source (en dat zijn ze nog steeds). En mocht je op Minix doelen als de kernel waarop Linux gebaseerd is, dan zou je eens 'Just for Fun' moeten lezen.

Een deel van de tools waarmee Linux tegenwoordig verder ontwikkeld wordt (zoals gcc e.d.) zijn wl al ouder, maar die staan los van de Linux kernel.

Wellicht is het interessant om dit eens te lezen: http://en.wikipedia.org/wiki/Linux

Ten tweede:
Daar komt 'ie weer: die updates op de RedHat site, die daar inderdaad vaak staan, zijn voor meer dan 99% exploits die alleen een local security risk opleveren. Via internet of iets dergelijks kan hier dus weinig tot niets mee gebeuren. Als je die bugs kunt exploiten kun je iets doen. Maar je KUNT die bugs dus meestal niet (makkelijk) exploiten.

Overigens: ik zeg niet dat Linux absoluut veilig is. Ik ben er alleen van overtuigd dat Linux wl relatief een stuk veiliger is dan Windows.

En die stukken? Google is je vriend.
Je bent het woordje 'gemiddeld' in je citaat vergeten.
ja gemiddeld duurt het 1 of 2 dagen voordat er een patch voor een linux lek is... er zijn enorme afwijkingen daarin: 3 of zelfs 4 dagen.... :/
je vergeet honderden unmaintained projecten die gewoon niet meer ontwikkeld worden waarschijnlijk :P
Ik denk dat het ook niet van toepassing is als er gemiddeld in staat.
Het niveau critical gaven ze ook mee aan een update die een hakenkruis uit een of ander font haalde. Dus die status kun je ook niet meer zo serieus nemen... (al was het waarschijnlijk deze keer wel rechtvaardig ondanks dat we al een half jaar zonder liepen).
Nou ik wordt er wel "critical" van m'n eDonkey is er helemaal van slag van. Ik ben spontaan "firewalled", terwijl ik zonder deze patch mooi "open" ben. met de patch dus downloads=10 zonder patch downloads=60 ... zie ook dit draadje.
Op zich goed dat ze mededeling en patch tegelijk naar buiten brengen, dan wordt er niet alleen onrust gezaaid, maar ook direct hulp geboden. Wel vreemd dat dat zo lang moet duren als het zo'n gevaarlijk veiligheidslek is.
Ik denk dat het te maken heeft met de ernst van de zaak. Het zit diep in Windows en dus komen er veel meer dingen bij kijken dan de huis-, tuin- en keukenbugs. Daar heb je gewoon meer tijd voor nodig om dat weer recht te breien.
Op de eEye website is te lezen dat ze nog drie 'high risk' kwetsbaarheden in Microsoft producten kennen, waarvan de oudsten al meer dan 90 dagen geleden bij Microsoft gemeld zijn.

Gelukkig zijn de onderzoekers bij eEye handiger in het zoeken en vinden van deze kwetsbaarheden dan de gemiddelde virusschrijver. Als dat andersom zou zijn, dan wordt het pas interessant. Kunnen we dan nog computervirussen tegenhouden met behulp van firewalls en antivirus programma's (uitgaand van een Windows computer die aan internet hangt)?
Kunnen we dan nog computervirussen tegenhouden met behulp van firewalls
Een Firewall is een erg goede manier om de kans op exploits lager te maken, vooral als je naar binnen toe geen een poort open zet. Dan kan een exploit zoals RPC van buitenaf geen schade toe brengen. Die exploit maakte immers gebruik van een fout in RPC door die aan te roepen over een poort. Als die poort niet te bereiken is, kan die exploit niets doen.

Alleen van binnen uit is zo'n exploit wel degelijk gevaarlijk, vooral als je onder XP de meegeleverde firewall niet aanzet. Dan kan een besmette pc zo het hele netwerk infecteren.
en antivirus programma's (uitgaand van een Windows computer die aan internet hangt)?
Die kan je nooit helemaal vertrouwen, die lopen altijd iets achter de feiten aan doordat de virus definities niet altijd de laatste virussen kennen. Maar wederom is het een goede manier om de kans op besmetting zo klein mogelijk te houden. Wat lastiger is, is als een onbekend virus zo gemaakt is dat hij de aanwezige virusscanner disabled zonder dat de gebruiker dat merkt, er veel schade kan ontstaan.

Maar met een goede NAT router/firewall, een goede virusscanner en goed verstand (daar schort het bij sommige mensen aan) loop je niet erg veel risico.
Met goed verstand heb ik jaaaaaaren lang virussen buiten de deur gehouden zonder pro-actieve scanner :)

* 786562 Adm.Spock
@aCCuReRaS:

Dat beweert ie inderdaad. Installeer eens een zo kaal mogelijke Windows (en dan een werkstation editie (Home, Professional) en ga dan eens met netstat -a kijken op welke poortjes meneer staat te luisteren. Op een WERKSTATION! Die dus geen services open hoort te hebben staan. Maar dat heeft ie wel... :{

Als ik een kale Linux-installatie installeer, staat er helemaal niets te luisteren. Ik kies zelf mijn services, en weet van elk proces precies waar het bij hoort en wat het hoort te doen. Dingen die ik niet gebruik draai ik niet, of nog beter, installeer ik zelfs niet. En omdat er alleen dingen luisteren op poorten waarvan ik wil dat ze reageren, heb ik geen firewall nodig, want de andere poorten rejecten de connectie toch wel.

Dus: firewalls zijn inderdaad een vangnet voor systemen die niet veilig zijn.
dus jij beweert dat als we niet meer met een Microsoft OS werken, we geen firewall meer nodig hebben?

kom nu, alle linux servers hebben een firewall draaien...
Dit lek was zelfs 6 maanden geleden gemeld.
Ik ben een beetje erg kwaad aan het worden. Vorige week Vrijdag nog waren voornamelijk provider verantwoordelijk voor de veiligheid van het internet.
Het buiten de deur houden van virussen is niet mijn taak", stelt 77 procent van de consumenten en 58 procent van de ondernemers.
En dan krijg je vandaag deze onzin voor je kiezen.
Gebruikers van onder meer Windows XP, Windows NT en Windows NT Server moeten zo snel mogelijk een programma downloaden van de website van Microsoft om het probleem op te lossen
Wie is er nu verantwoordelijk? MS vindt dat de gebruikers verantwoordelijk zijn, de gebruikers vinden dat de ISP verantwoordelijk zijn en de ISP zijn slechts de doorgevers van data. Met een brak OS en brakke gebruikers gecombineerd is het IMHO onterecht om de ISP verantwoordelijk te maken. IMHO zou de overheid eens moeten kijken in hoeverre een commercieel bedrijf de verantwoordelijkheid van z'n eigen software kan afschuiven.
Het gegeven virus kan ik an sich mee inkomen, maar ik kan dus weer op zoek gaan naar de update-pagina, want die staat niet op de FP van Microsoft. Vervolgens kan ik 3 keer verder klikken omdat mijn taal niet correct is (waarom taal? Wat heeft taal te maken met een beveiligingsprobleem? Ben ik ff blij dat mijn taalversie gepatched is (en heeft mijn collega's met WinXP in het catalaans vet pech)

Bij deze enkele diepe links:
Nederlands patch
Engels patch

Inmiddels is de lijst patches erg lang geworden. Ook na het downloaden van een servicepack kan je nog tientallen patches binnenhalen. Indien ik hier op het netwerk een verse XP-installatie doe, is deze besmet met legio virussen nog voordat ik de virusscanner geinstalleerd heb (10 minuten). Ik kan geen blancoXP meer aan het netwerk hangen voordat de firewall dicht zit.

* 786562 ecteinascidinIntegratie met OS mogelijk? Check.
Veel geld te verdienen? CHeck.
Consumentvriendelijk? Check.
Lastige concurrenten? Niet echt aanwezig.
En toch laat MS die markt links liggen

[edit]Eigen risico? Ik weet niet of het een eigen risico is om een patch NIET te installeren. Anders zou ik rustig 1000 XP-PC's bv niet willen patchen tegen MyDoom, dat rechtstreeks SCO en MS platlegt. Ik kan me bijna niet voorstellen dat consumentenproblemen louter 'eigen risico' is en dan nog zonder garantie.
Wie is er nu verantwoordelijk? MS vindt dat de gebruikers verantwoordelijk zijn, de gebruikers vinden dat de ISP verantwoordelijk zijn en de ISP zijn slechts de doorgevers van data. Met een brak OS en brakke gebruikers gecombineerd is het IMHO onterecht om de ISP verantwoordelijk te maken. IMHO zou de overheid eens moeten kijken in hoeverre een commercieel bedrijf de verantwoordelijkheid van z'n eigen software kan afschuiven.
Het gebruik van bepaalde software, zoals Windows, is 'op eigen risico'. Weleens die ellenlange voorwaarden gelezen tijdens de Windows installatie? :)
Wel eens van zwarte bepalingen gehoord? --> Bepalingen in algemene voorwaarden die niet rechtsgeldig zijn. Eentje ervan is het afwijzen van aansprakelijkheid/garantie.

Een softwarefabrikant is net zo aansprakelijk als een hardwarefabrikant. Als je hierdoor een enorme schade oploopt, kun je MS echt wel aansprakelijk stellen. Tenminste als je eenduidig de schade aan dit veiligheidsgat kunt wijten. Het is mij echt een raadsel waarom iedereen alles gelooft wat in algemene voorwaarden staat.
Aha, en dan komen wij op een leuk verschil tussen hardware en software.
Software (van Microsoft i.i.g.) koop je nml. NIET. En dus heeft Microsoft ook niet dezelfde aansprakelijkeid als een leverancier van hardware. Het is een LICENTIE op het gebruik van software. De software is niet van jou, die blijft van Microsoft. je koopt alleen het recht deze software te gebruiken OP EIGEN RISICO.
Belachelijk, dat ben ik met je eens.
Microsoft heeft deze methode trouwens niet zelf bedacht (dat is niet voor het eerst) en is ook niet de enige die deze bepaling toepast op z'n software.
Indien ik hier op het netwerk een verse XP-installatie doe, is deze besmet met legio virussen nog voordat ik de virusscanner geinstalleerd heb (10 minuten). Ik kan geen blancoXP meer aan het netwerk hangen voordat de firewall dicht zit.
Dan heb je je netwerk dus lekker beveiligd. Als ik jou was zou ik die firewall ook maar wegdoen want je gebruikt hem klaarblijkelijk niet.
Virussen op je netwerk ? Een (up-to-date) virusscanner op alle machines is geen overbodige luxe lijkt me ...
Hoe kan een firewall veilig zijn, als het onderliggende systeem zo lek is als een mandje ?

Als je bijv. een ftp server draait, en er zit een exploit in, dan heb je aan een firewall dus helemaal niets.
Zoals aangeven in andere postings, daarom is het dan ook erg kwalijk dat microsoft er zo lang over gedaan heeft een patch uit te bengen. Leuk als je bedrijfskritische applicaties draait op zo'n bak ......

Je denkt een veilige machine te hebben, terwijl dit dus niet zo is.
Je denkt een veilige machine te hebben, terwijl dit dus niet zo is.
Ik denk dat je er nooit vanuit moet gaan dat je een veilige machine hebt, dan ga je namelijk argelozer (is dat een goed woord?) mee om, waardoor je zelf voor onveiligheid zorgt. Dit geldt zowel voor Windows, als voor Linux/Unix, als voor BSD en noem ze allemaal maar op. Elk systeem kent zo zijn zwakke punten.
Zeker kun je daar wel wat aan doen, je hebt namelijk ook content scanning firewalls.
Daarnaast als die firewall zelf niet breekt kun je het onderliggende systeem ook niet lastig vallen, tenzij vulnerable delen van je firewall benaderbaar zijn.
Ik kan me wel voorstellen dat MS liever heel veel tijd uittrekt voor de patch.

De laatste tijd is het iedere keer zo dat misbruik van security holes door virussen e.d. pas plaats vindt, lang nadat het openbaar is gemaakt omdat er een patch uitkomt. Typisch gevalletje van slapende honden wakker maken.

Dan is het best verstandig om te zorgen dat je de gesignaleerde holes tot op de bodem analyseert, zodat je ook eventuele aanverwante issues tegenkomt, en dat als totaal patch uitbrengt.

En verder is het natuurlijk ook zo dat je wel zeker moet zijn dat ieders computer nog blijft werken na de patch. Als er wezenlijke zaken veranderen door de patch, moet die patch in weze door dezelfde beta testing procedure als het OS destijds....En dat kost tijd.
Eindelijk iemand die het wel snapt. :)

Ik vraag me af wat de mensen hier liever hadden gewild. Dat Microsoft meteen had gezegd dat er een fout was, alle hackers vervolgens aan de slag konden met exploits? Dan had iedereen nog meer te mekkeren gehad.
D mensen hadden gewoon graag gehad dat het product dat ze gekocht hebben even veilig is als Microsoft beweert dat het is.

Dat is het enige dat ze wensen. Dit wordt gewoon een running joke

http://macosx.nl/?p=showarticle&art_id=1321
Intussen weten we nog steeds niet wat dat 'grote lek' nu precies inhoud en wanneer je er vatbaar voor bent, biedt een firewall geen bescherming? Heeft het te maken met bepaalde services?
Met dank aan het antwoord van 'kwentje' op mijn post:
Zolang je maar een firewall hebt en geen executables opent in je e-mail loop je geen gevaar. Alleen als je wel een executable opent kan een eventueel virus admin rechten verkrijgen met dit lek.
Microsoft laat via Msnbc weten dat er een gevaarlijk veiligheidslek in een aantal Windows-versies geslopen is.
Dit lek is er niet "ingeslopen", maar heeft er al die jaren altijd al ingezeten. Het is gewoon met iedere versie van NT meegenomen naar de volgende (NT 4.0 => W2K => WXP => W2K3).

En dat er een half jaar over gedaan wordt om met een patch te komen wekt bij mij de indruk dat Microsoft misschien wel niet eens meer wist hoe dit onderdeel van Windows nou eigenlijk inelkaar zit.

En in de Longhorn beta's die af en toe vrij komen of uitlekken zal het dus waarschijnlijk ook wel zitten.
Raar eigenlijk, al dat ge-flame over patches en microsoft. Ik ben nu niet echt een microsoftie, maar het is nu wel makkelijk om op microsoft te schieten. Eigenlijk moet je een paralel trekken naar een ander consumenten goed. Zoals een auto. stel de software heeft een lek dat uitzichzelf gevaarlijk is, dan is een patch niets meer dan een verplichting van de producent. net zoals bij een auto. Als deze het risico loopt om uit zichzelf rare dingen gaat doen verwacht je dat de fabriekant hier ook een oplossing voor biedt. Nu draaien we het om. Er is een lek. Opzich niets aan de hand. Totdat een scriptkiddie een progje schrijft dat zijn kaken in dit lek en de boel in het 100 helpt. Hier verwacht iedereen dat Microsoft dat al 100 jaar geleden heeft opgelost. in auto termen: Je rijdt inje auto. Houdt ie ermee op. Wat blijkt. een of andere lolbroek heeft een banaan in de uitlaat gestopt. Ga je de fabriekant toch ook niet aanklagen omdat hij een uitlaat heeft gemaakt waar een banaan in past. Sterker nog, je verwacht toch ook geen filter op je uitlaat die dit tegen gaat? (ik weet het, het is een beetje plastisch, maar ik hoop dat je mijn punt ziet)
In je analogie zou dit probleem zoiets zijn als dat er iets in die auto zou zitten waardoor het makkelijk is een loper voor je slot en contactonderbreking te maken. Dan zou iedereen je auto kunnen stelen en er een ramkraak mee doen, of total loss rijden.

en de maker van de auto wist dat eigenlijk al een half jaar geleden, maar wilde zeker weten dat het nieuwe slot wel op elke auto zou passen en heel makkelijk te installeren was, en daarvoor namen ze lekker de tijd want ze wilden liever dat hun ontwerpers mooiere lichtmetalen velgen zouden ontwerpen dan dit te repareren.
Het gaat er niet om dat het zo lang duurt dat de patch klaar is... het gaat er om dat MS de gebruikers al die tijd heeft laten werken met een onveilig systeem. Had MS de gebruikers gewaarschuwd, dan hadden de gebruikers (als ze dat nodig vonden) extra maatregelen kunnen treffen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True