Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

Windows on AppleHet eerste gedeelte van de maand is voorbij en de ontwikkelaars van de twee grote besturingssytemen Mac OS X en Windows hebben respectievelijk elf en tien beveiligingslekken te dichten. Apple heeft kortgeleden een serie beveiligingsupdates uitgegeven en Microsofts maandelijkse patchdag is nog maar 48 uur verwijderd. Het besturingssyteem voor de Macintosh-computers liep onder ander het risico slachtoffer te worden van een buffer overflow binnen de software voor de Bluetooth-verbindingen en in de PHP-scripttaal. Verder was de CoreGraphics-module vatbaar voor een exploit waarmee gebruikers vanuit de console commando's konden uitvoeren als administrator. Er zat ook nog een bug in de VPN-servermodule die hackers in staat stelde via het internet de pc opdrachten te geven. Microsoft is ook aardig aan de weg aan het timmeren; er zijn tien beveiligingslekken waarvan er twee als gemiddeld en ÚÚn als kritiek zijn bestempeld. De precieze details wil het bedrijf niet geven voordat de patches uitgebracht worden, maar het betreft programmeerfouten in onder andere Microsoft Services for Unix en Exchange Server. Verder zal het een vernieuwde versie van de updatetool zelf vrijgeven, waardoor Office, Exchange en andere Microsoft-producten op dezelfde plek kunnen worden bijgewerkt als het besturingsysteem.

Moderatie-faq Wijzig weergave

Reacties (46)

Of er nu 10/11 patches zijn die alleen maar exploitable zijn als je local access hebt tot de machines maakt het niet uit, veel interessanter is het om te kijken of de patches uberhaupt remote exploitable zijn.

Bovendien als 1 OS 50 patches dicht met exploits die haast niet uit te voeren zijn en een ander OS maar 2 dicht die door de hele wereld zijn uit te voeren... wie is dan de 'winnaar'?
Patches die exploitable zijn?! Het moet toch niet gekker worden... :+
Zondag is altijd een slappe dag voor artikelen dus gooit t.net er af en toe een sappig artikeltje er tussendoor om nog wat meer hits te krijgen. Kun je ze niet kwalijk nemen.
Dit artikel heeft wel bizar weinig nieuwswaarde. Behalve het feit dat beide bedrijven druk blijven met het oplossen van deze fouten. Dat Apple er nu meer heeft lijkt me gewoon toeval. Als dit nu voor een langere tijd zo blijft dan kan je daar evt wat over opmerken.
Maar het blijft altijd nog belangrijker dat microsoft z'n bugs oplost omdat daar nou absoluut gezien veel meer machines mee draaien. Misschien zelfs wel een factor 5 meer. Plus dat je maar ÚÚn bug die je als exploit kan gebruiken nodig hebt om weer een massale groep met zombies te krijgen die voor mega spamruns of DOS worden gebruikt.
Hmm, als ik kijk bij Secunia naar OS X en Windows XP Professional dan vind ik:

OS X: Currently, 1 out of 53 Secunia advisories, is marked as "Unpatched" in the Secunia database.

XP Pro: Currently, 24 out of 94 Secunia advisories, is marked as "Unpatched" in the Secunia database.

Dat vind ik een stuk belangrijker dan het feit dat Apple net 11 patches heeft uitgebracht, en Microsoft er 10 gaat uitbrengen. Hoe ernstig zijn de nog openstaande beveiligingslekken? Hoe snel na ontdekking worden lekken gedicht? Daar gaat het om!

http://secunia.com/product/96/
http://secunia.com/product/22/
(...) Verder zal het een vernieuwde versie van de updatetool zelf vrijgeven, waardoor Office, Exchange en andere Microsoft-producten op dezelfde plek kunnen worden bijgewerkt als het besturingsysteem.
Kijk, dat is iets waar we allemaal (ik in ieder geval) al tijden op zaten te wachten. Vanaf dan hoef je niet meer twee of meer pagina's te bezoeken om je hele systeem te updaten, wat het proces van je systeem veilig houden een stuk makkelijker maakt.
Gek eigenlijk dat ze dit niet al veel eerder hebben ge´mplementeerd.
Ik ben het geheel met je eens. Voor de individuele eindgebruiker is het fijn als in ÚÚn keer patches worden gezocht en ge´nstalleerd voor alle Microsoft producten (want daar zal het uiteindelijk wel heen gaan) wat het systemen beter beschermd en vanuit maatschappelijk oogpunt is het ook fijn als er op deze manier minder malware wordt verspreid doordat systemen beter up-to-date worden gehouden met patches en security updates. Ik denk alleen niet dat het alleen maar liefdadigheid is van Microsoft. Allereerst hebben ze bij een bepaald publiek niet de naam veilige producten te leveren. Ze moeten hun naam verbeteren door dit soort acties, ook al is er voor elk individueel Microsof product allang een update-mogelijkheid. Het is ook in het belang van Microsoft dat systemen zo goed mogelijk beschermd zijn. Ik denk dat er overigens nog een argument is dat velen over het hoofd zien. Als iemand nu Windows Update gebruikt (al dan niet via de website), dan zal deze er niet op gewezen worden dat hij eventueel in het bezit is van een illegale Office-installatie of andere MS software. Zolang hij de Office update niet draait met een "foute" serial zal dat ook geen consequenties hebben voor de functionaliteit van het programma, terwijl anders dingen geblokkeerd kunnen worden. Bovendien is er een groep eindgebruikers die vaak niet eens door heeft dat ze illegale software in gebruik heeft ("Die lieve buurman heeft wat ge´nstalleerd, mag dat niet?") en die worden er dan nu op gewezen. Niet iedereen is namelijk te kwader trouw.

Reactie op Dries Aendekerk: Bij de huidige update wordt al gecontroleerd of je een "foute" serial hebt met de eventueel daaraan verbonden consequenties. Alleen Windows Update checkt dus niet of je bijvoorbeeld een foute Office serial hebt. Dat zijn nu nog op zichzelf staande Update-sites.
ji heb eker nog nooit gehoord van corporate installs, dat is zonder serial
Corporate installs zijn MET serial, maar zonder activatie. Windows Update kan dus elke Windows/Office-installatie checken op zijn legaliteit.

Bij de huidige MS-update gebeurt dat trouwens niet? http://update.microsoft.com

@Bladiebla: Uit ervaring merk ik dat een ongeldig s/n van zowel Windows XP als Office 2003 geen problemen oplevert bij de V6 van WindowsUpdate. Ik weet wel dat bij een vorige (bŔta-)versie wel een controle was ingebouwd, maar nu blijkbaar niet meer?
Een corperate install kan dan ook nog op twee manieren geleverd worden:
1) Serial voorgebakken op de CD.
2) Serial niet voorgebakken op de CD.

Op mijn oude werk hadden we optie 1, mijn huidige werk hebben we optie 2 icm een unattende installation via de PXE netwerkboot (dus we bakken de key dus zelf in).
en ooit komen ze met de 'inovatie' zodat je vanuit 1 centrale plek AL je software up-to-date kunt krijgen.

en nog wat later komen ze met de 'inovatie' zodat je op 1 centrale plaats ook software kunt installeren en verwijderen, en dan... hebben ze bijna wat Linspire's OneClick kan.

tot die tijd gaan de gebruikers voor elk van hun software wel apart zoeken op internet, uitvogelen hoe ze het betalen, de installatie doorlopen, en af en toe kijken of er updates of nieuwe versies zijn.
Het eerste gedeelte van de maand is voorbij en de ontwikkelaars van de twee grote besturingssytemen Mac OS X en Windows hebben respectievelijk elf en tien beveiligingslekken te dichten.
Beetje kromme vergelijking IMO, Tiger is pas nÚt op de markt XP SP2 alweer een hele tijd.
Als je Tiger 10.4 naast Windows XP legt zonder SP's dan kom je aan een heel ander overzicht 8-)
uw vergelijking gaat dan ook helemaal niet op
Mac OS X is dan ook al een tijdje uit
10.4 is dan ook al de 4de update ervan terwijl xp nog maar aan zijn 2de zit
Ik denk dat je nu Apple's met peren vergelijkt.

Een OSX update (10.x naar 10.x+1) is een grotere wijziging dan een service pack. Maar weer een kleinere wijziging dan bijvoorbeeld 98/2000 naar XP. Een 98/2000 naar XP overgang kun je vergelijken met OS9 naar OS10 vind ik.

In 1 OSX update zit in ieder geval heel wat meer dan in een XP SP, zeker vanuit het standpunt van een gebruiker.
Er is dan ook helemaal geen vergelijking, of het moet zijn dat hij goed verstopt zit.
Wat daar staat zijn gewoon 2 feiten en iedereen weet ook dat winXP al langer bestaat dan Tiger...
(nuja, iedereen, toch elke T.net-bezoeker)
De titel "Beveiligingsupdates juni: Apple 11 - Microsoft 10" doet mij anders suggereren... maarja ik ben dan ook net wakker ;)
Apple 11 - Microsoft 10
Bij Apple werken ze blijkbaar harder
Ik zat er al op te wachten: hoe kan dit weer in het voordeel van Apple worden uitgelegd? Lekken zijn lekken. Over MS wordt altijd gezegd: ze zouden niet moeten voorkomen. En over Apple dus: kijk eens hoeveel lekken ze dichten? Kan het nog krommer?
Man man man, waarom nu dit bericht als nieuws bericht, echt waar gaan we heen. Product X meer beveiliging updates als Product Y. Nou wereld schokkend. Heb liever meer informatie over blu-ray etc dan ook maar enige vergelijking tussen security updates.

En als ik de reacties zo lees ben ik daar _niet_ de enige in.
Ach, we zitten maar op 1 beveiligingsupdate per dag. Toch wel prettig dat zo nu en dan er een overzicht langskomt van wat er nu weer allemaal mis was. Ik weet nog dat mensen schrokken als er een beveiligingsupdate uitkwam. Het is ondertussen misschien iets te gewoon geworden dat software zo lek is als een mandje.
Het mag dan wel een vergeliking zijn, maar het maakt gebruikers van de besturingssystemen er wel op allert dat er nieuwe update zijn en wanneer ze uitkomen. Zodat de gebruiker kan controleren of ze ook ge´nstalleerd worden door hun automatische update service. Voor de mensen die dit niet automatisch doen is het een aanbeveling om maar weer een naar de update website van hun besturingssysteem te gaan.

Nu hoor ik een aantal mensen zeggen waarom controleren of de automatische updates daadwerkelijk ge´nstalleerd worden. Omdat er bekend is van sommige virussen dat ze;
A: de virusscanner update omzeep helpen &
B: de automatische update van het besturingssysteem omzeep kunnen helpen.
Bovendien moet je altijd de automatische processen steekproefgewijs blijven controleren of er wel gebeurt wat er moet gebeuren.
@ Pietje puk
Microsoft Security bultin voor juni
kun je je zelf ook voor aanmelden op:

https://login.passport.net/ppsecure/uisecure.srf?lc=1033&id=42814

********************************************************************
Title: Microsoft Advanced Notification
Issued: June 09, 2005
********************************************************************

Summary
=======

As part of the monthly security bulletin release cycle, Microsoft
provides advance notification to our customers on the number of new
security updates being released, the products affected, the
aggregate maximum severity and information about detection tools
relevant to the update.

On 14 June 2005 the Microsoft Security Response Center is planning
to release:

Security Updates

- 7 Microsoft Security Bulletins affecting Microsoft Windows. The
greatest aggregate, maximum severity rating for these security
updates is Critical. Some of these updates will require a restart. 5
of these updates will be detectable using the Microsoft Baseline
Security Analyzer (MBSA), 2 of these updates will be detectable
using the Enterprise Scanning Tool (EST).

- 1 Microsoft Security Bulletin affecting Microsoft Windows and
Microsoft Services for UNIX. The greatest aggregate, maximum
severity rating for these security updates is Moderate. These
updates may require a restart. These updates will be detectable
using the Microsoft Baseline Security Analyzer (MBSA) and using the
Enterprise Scanning Tool (EST).

- 1 Microsoft Security Bulletin affecting Microsoft Exchange. The
greatest aggregate, maximum severity rating for this security update
is Important. This update will not require a restart. This update
will be detectable using the Microsoft Baseline Security Analyzer
(MBSA) and using the Enterprise Scanning Tool (EST).

- 1 Microsoft Security Bulletin affecting Microsoft Internet
Security and Acceleration (ISA) Server and Small Business Server.
The greatest aggregate, maximum severity rating for these security
updates is Moderate. These updates may require a restart. This
update will be detectable using the Enterprise Scanning Tool (EST).

Microsoft Windows Malicious Software Removal Tool

- Microsoft will release an updated version of the Microsoft
Windows Malicious Software Removal Tool on Windows Update, Microsoft
Update, Windows Server Update Services and the Download Center.
Note that this tool will NOT be distributed using Software Update
Services (SUS).

Non-security High Priority updates on MU, WU, WSUS and SUS

- Microsoft will NOT release any NON-SECURITY High-Priority Updates
for Windows on Microsoft Update (MU), Windows Update (WU), Windows
Server Update Services (WSUS) and Software Update Services (SUS).

Although we do not anticipate any changes, the number of bulletins,
products affected, restart information and severities are subject to
change until released.

Microsoft will host a webcast next week to address customer
questions on these bulletins. For more information on this webcast
please see below:
- TechNet Webcast: Information about Microsoft's June Security
Bulletins (Level 100)
- Wednesday, June 15, 2005 11:00 AM (GMT-08:00) Pacific Time (US &
Canada)
-
http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?culture=en- US&EventID=1032275405&EventCategory=4


At this time no additional information on these bulletins such as
details regarding severity or details regarding the vulnerability
will be made available until 14 June 2005.
********************************************************************

Support:
========
Technical support is available from Microsoft Product Support
Services at 1-866-PC SAFETY (1-866-727-2338). There is no
charge for support calls associated with security updates.
International customers can get support from their local Microsoft
subsidiaries. Phone numbers for international support can be found
at: http://support.microsoft.com/common/international.aspx

Additional Resources:
=====================
* Microsoft has created a free monthly e-mail newsletter containing
valuable information to help you protect your network. This
newsletter provides practical security tips, topical security
guidance, useful resources and links, pointers to helpful
community resources, and a forum for you to provide feedback
and ask security-related questions.
You can sign up for the newsletter at:

http://www.microsoft.com/technet/security/secnews/default.mspx

* Microsoft has created a free e-mail notification service that
serves as a supplement to the Security Notification Service
(this e-mail). The Microsoft Security Notification Service:
Comprehensive Version. It provides timely notification of any
minor changes or revisions to previously released Microsoft
Security Bulletins and Security Advisories. This new service
provides notifications that are written for IT professionals and
contain technical information about the revisions to security
bulletins. To register visit the following Web site:

http://www.microsoft.com/technet/security/bulletin/notify.mspx

* Protect your PC: Microsoft has provided information on how you
can help protect your PC at the following locations:

http://www.microsoft.com/security/protect/

If you receive an e-mail that claims to be distributing a
Microsoft security update, it is a hoax that may be distributing a
virus. Microsoft does not distribute security updates via e-mail.
You can learn more about Microsoft's software distribution
policies here:

http://www.microsoft.com/technet/security/topics/policy/swdist.mspx


********************************************************************
Zover ik weet gaat het mij meer om de serieuze lekken die nˇg onbekend zijn, en zijn blijven zetten. Hoeveel patches er uitgebracht worden, interesseert mij dan niet zoveel.
lekken die nˇg onbekend zijn
Als je een methode vindt om daar achter te komen verdien je een nobelprijs.
Mac OS X is wel wat langer uit dan een maand.. Het gaat hier niet specifiek over Tiger..
sterker nog: OSX is eigenlijk ouder dan WindowsXP

maar software bevat altijd fouten en ik ben blij dat ze er ook tijd in steken :)
Ik zou tiger nou niet echt een compleet nieuw besturingssysteem willen noemen...
windowsupdate 6 is ook al uit, hun updates gingen eerst naar de regering en 1 maand later naar de consument
ik gebruik versie 6 al maanden. zodra ik weet dat er een nieuwe is schakel ik over.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True