'Oude versies software erger dan malware'

Beveiliger Bit9 waarschuwt dat oude versies van populaire software een grotere dreiging voor bedrijfsnetwerken opleveren dan virussen en andere malware. Het bedrijf heeft een lijst vrijgegeven met vijftien veelgebruikte applicaties die veel in ongepatchte vorm op computernetwerken geïnstalleerd zouden staan, waaronder Mozilla Firefox, Apples iTunes en QuickTime, Skype, Adobe Acrobat Reader en Suns JRE. Oude versies van deze software bevatten kritieke fouten die tot het uitvoeren van kwaadaardige code kunnen leiden. Een veelgebruikte applicatie is bijvoorbeeld versie 1.0.7 van Mozilla Firefox, met de MSFA 2005-50-fout aan boord, die het runnen van willekeurige code mogelijk maakt. Het is een van de bugs waarvoor exploits werden aangetroffen in een duistere Russische 'doe het zelf'-malwaretoolkit die voor twintig dollar van eigenaar wisselt.

Piraat / Malware / Schedel op scherm Volgens Bit9 zit het probleem van de wijdverbreidheid van oude versies van populaire applicaties hem vooral in het gebrek aan controle door het systeembeheer van bedrijven. 'Die vertrouwen op de eindgebruikers om patches te installeren in plaats van er zelf zorg voor te dragen', zo stelt de beveiliger. Volgens Bit9 is het onverstandig om er een te vrij beleid op na te houden en werknemers toe te staan om zelf allerhande software te installeren. Veel systeembeheerders zouden geen kijk hebben op de applicaties die op het netwerk draaien. 'Weten welke software er draait is de eerste stap om het applicatiebeheer in eigen handen te krijgen, zodat het bedrijfsnetwerk goed beschermd kan worden', aldus Bit9.

De meest kwetsbare populaire applicaties, volgens Bit9

Reacties (93)

Anoniem: 178955 21 juni 2006 15:31

Gelukkig biedt beveiliger bit9 zelf een oplossing voor dit soort problemen!

miw @Anoniem: 178955 • 22 juni 2006 09:34

Bron is uiteraard niet neutraal.
Verder is ook de redenering: "het is erger om applicaties te gebruiken die mogelijk gehacked kunnen worden, dan om al gehackte programma's (addware, spyware, etc.)" uiterst merkwaardig.

VROEM! 21 juni 2006 15:16

Ik vind dat java spul wel erg kwalijk, want als je java "update" laat hij de oude versies gewoon staan. Denk je dus beveiligd te zijn doordat je nieuwe JAVA hebt ben je alsnog het bokje doordat de oude er gewoon naast draait.

Anoniem: 179874 21 juni 2006 16:00

Nieuwe(re) versies van sommige software is vaak ook erger dan diens oudere variant. Tegenwoordig wil elk programmatje bij het minste of geringste het net op 'om naar updates te zoeken' (of userinfo te versturen, maar dat zal niet zo snel toegegeven worden).

Vaak is het zo dat bedrijven juist oudere versies gebruiken omdat die 'hardened' zijn terwijl de nieuwere versies nog (weer) kinderziektes vertonen.

Mij kunnen ze er in ieder geval niet van overtuigen dat nieuwer ook automatisch beter is.

@resist & likmer**t: Jullie hebben het bij het rechte eind denk ik zo.

geez 21 juni 2006 15:09

Ik mis IE (5) in het lijstje

_{en 6 eigenlijk ook}

Edit: tuurlijk, mod maar weer weg. Het is niet als flame bedoeld, denk er maar eens goed over na. IE bugs zijn ook veel relevanter omdat het nog steeds meer gebruikt word. Niet iedereen is een tweaker.

mjtdevries @geez • 21 juni 2006 15:16

Heb je dan werkelijk de strekking van het artikel niet begrepen?

IE gebruikers weten zo langzamerhand wel dat hun software de nodige bugs heeft en dat ze dus regelmatig moeten updaten. (En MS maakt het ze ook makkelijk met de automatic updates)

Je ziet dan ook prompt dat de software waarvan steeds wordt geroepen dat ie veel veiliger is niet wordt geupdate (firefox)
Terwijl dat ook best wel ernstige bugs heeft, en updates daarvoor ook gewoon noodzakelijk zijn.

veldmuis @mjtdevries • 21 juni 2006 23:03

IE gebruikers weten zo langzamerhand wel dat hun software de nodige bugs heeft en dat ze dus regelmatig moeten updaten. (En MS maakt het ze ook makkelijk met de automatic updates)

In wat voor wereld leef jij?
Gebruikers hebben er over het algemeen geen flauw benul van dat IE bugs bevat.

mjtdevries @veldmuis • 22 juni 2006 09:33

@veldmuis

In welke wereld leef jij zelf?

Gebruikers hebben door al die bugs die het nieuws op TV en de kranten hebben gehaald al lang in de gaten dat je IE moet updaten.

Maar Firefox niet, want de wizkid bij de buren heeft verteld dat opensource software allemaal hardstikke veilig is....

Anoniem: 74500 @mjtdevries • 21 juni 2006 15:21

Je ziet dan ook prompt dat de software waarvan steeds wordt geroepen dat ie veel veiliger is niet wordt geupdate (firefox)

Bij mij wordt firefox anders automatisch geupdated hoor

. Net als msn messenger trouwens.

Dlocks @Anoniem: 74500 • 21 juni 2006 15:25

Bij mij wordt firefox anders automatisch geupdated hoor

En vanaf welke versie gaat het automatisch?

Cybergamer @Anoniem: 74500 • 21 juni 2006 16:36

Volgens mij vanaf 1.5. (weet het niet zeker hoor, maar bij mij update 'ie em ook automatisch).

Blokker_1999

@Anoniem: 74500 • 21 juni 2006 17:45

Ook in versie 1.0 werd je automatisch verwitigd van een nieuwe versie. Probleem op bedrijfsnetwerken is dat bij vele programmas de automatisch functie niet werkt omdat er geen toegang is tot het internet. Uiteindelijk moeten de systeembeheerds het regelmatig nakijken, en dan maakt het niet uit of het nu IE of Fx of Opera is.

mcmd @Anoniem: 74500 • 21 juni 2006 16:24

Om het automatisch te laten updaten moet je volgens mij of administrator rechten hebben, of firefox op een niet standaard wijze geinstalleerd hebben.
Beide lijken me geen goede opties.

GeleFles @Anoniem: 74500 • 21 juni 2006 20:36

als er geen internettoegang is, dan is de kans dat de lek(ken) misbruikt worden, ook een aanzienlijk stuk lager

flippy @mjtdevries • 21 juni 2006 15:38

(En MS maakt het ze ook makkelijk met de automatic updates)....

meot je wel een legale versie hebben...

dasiro @flippy • 21 juni 2006 15:42

het gaat om bedrijfsnetwerken, daar is het merendeel van de windows-installaties wel degelijk legaal, trouwens kritieke updates krijg je sowieso

Anoniem: 176826 @mjtdevries • 22 juni 2006 08:15

Wil je echt weten hoeveel mensen die software update uit hebben staan?

Als jij een fijne breedband verbinding hebt, is het allemaal niet zo vervelend, maar als je nog een telefoonverbinding hebt, tja, dan wil je die updates wel uitzetten.

Dan hebben we het niet eens over de niet ondersteunde pakketten, zoals sommige studenten licenties en zo. Dus ook MicroSoft producten zouden eigenlijk heel hoog in deze lijst moeten scoren.

HellPunk @geez • 21 juni 2006 15:22

Het gaat dan ook om software die nog effectief op PC's geïnstalleerd staat en waarschijnlijk was IE5 daar dan niet bij. Dat de software nog issues bevat doet er dan niet meer toe.

voodooless @HellPunk • 21 juni 2006 15:25

Knap als je een Windows PC vindt zonder IEx erop.

IE staat gewoon niet op het lijstje omdat ook de nieuwe versies erger zijn dan malware

Anoniem: 168570 @geez • 22 juni 2006 09:33

Het gaat hier om software in bedrijfsnetwerken die meestal door eindgebruikers zelf is geïnstalleerd en waar systeembeheer niet voldoende zicht op heeft. Het patchen en updaten van ms software is meestal beter geregeld binnen bedrijven, bv via wsus of sms, en ongepatchte IE versies zul je dus minder aantreffen.

GoBieN-Be @geez • 22 juni 2006 10:06

Het gaat hier om software waarvan een nieuwe versie beschikbaar is. Van IE 6 zijn vele bugs nog niet gepatched dus ...

OpenMinded @geez • 22 juni 2006 10:07

Dat wou ik net zeggen.
Om over de rest van het OS Windows nog maar niet te spreken!
En een oude M$ Office zou ongetwijfeld ook een plek op de lijst verdienen.

Anoniem: 69839 @geez • 21 juni 2006 15:18

Ik mis IE ook in het lijstje. De meest populaire browser van allemaal, en die zou niet in de top 15 voorkomen? Of hebben we het hier alleen over software die niet van Microsoft is?

WhiteDog @Anoniem: 69839 • 21 juni 2006 20:58

IE updates zitten tussen de hotfixes van Microsoft. De meeste bedrijven hebben inmiddels door dat ze die best zo snel mogelijk installeren.

Anoniem: 176826 @WhiteDog • 22 juni 2006 08:18

Pas nog weer een keer geprobeerd om een update te installeren, maar ehhh nee, dat ging hier op het bedrijfsnetwerk niet, want de pakketten worden door de firewall tegengehouden.

De persoon die verantwoordelijk is voor werkplek onderdhoud vertrouwt op de auto update en de persoon verantwoordelijk voor de firewall heeft te horen gekregen dat soort van executables en zo er niet doormogen, dus....

Dat gebeurt overigens op best veel plekken is mijn ervaring.

Anoniem: 161336 @Anoniem: 69839 • 22 juni 2006 12:18

Of hebben we het hier alleen over software die niet van Microsoft is?

MSN Messenger is ook van Microsoft en die staat wel in het lijstje

(inkoppertje

)

10pepo10 21 juni 2006 15:38

Als desktop beheerder geef je imo users geen admin rechten maar hooguit die van power user. Dit maakt het niet eenvoudig om applicaties te updaten.

iTunes als voorbeeld nemend, geeft wel een melding als er een nieuwe versie beschikbaar is (mits niet uitgevinkt). Kies je voor "update", wordt je alleen naar de download site gebracht. Maar om voor elke update een volledig nieuwe executable van 35+ MB te downloaden, en alle PC's één voor één handmatig als admin te gaan updaten...

Anoniem: 175233 @10pepo10 • 21 juni 2006 15:58

Als je als systeem beheerder je gebruikers de admin rechten ontneemt, dan zou dat ook moeten betekenen dat de systeem beheerder zorgt dat die updates automatisch op de computer komen te staan, zonder dat de gebruiker zich daar om hoeft te bekommeren.

moozzuzz @10pepo10 • 21 juni 2006 17:28

Ik snap uberhaupt niet dat je iTunes op een bedrijfsPC zet...

Anoniem: 1322 @moozzuzz • 21 juni 2006 19:10

Precies, rechten ontnemen en hierna heb je een aantal standaard pakketten tot je beschikking.

Firefox, Acrobat, Java en Flash zijn de enige waar ik in kan komen en deze zijn te pushen via GPO's.

Itunes, Skype, IM's, Realplayer, P2P's horen helemaal niet op een bedrijfsnetwerk.

DRM software is niet te installeren zonder admin rechten.

Windows Xp heeft daarnaast ook zip ondersteuning en is imo niet meer nodig maar deze is anders ook te deployen.

mjtdevries @Anoniem: 1322 • 22 juni 2006 11:28

Lees het orginele artikel eens.

Het gaat juist over de paketten die de IT afdeling NIET op de desktops heeft gezet, maar die de gebruikers er zelf op heeft gezet.

En daarom dus juist Skype, IM's, Realplayer, P2Ps etc.

Anoniem: 111378 21 juni 2006 15:39

oude marketing truc.
roepen dat er en wat er mis is en vervolgens de oplossing bieden. van grote tot kleine bedrijven doen dat.
kijk maar naar de reclames vanavond.

Olaf van der Spek 21 juni 2006 15:59

Volgens Bit9 zit het probleem van de wijdverbreidheid van oude versies van populaire applicaties hem vooral in het gebrek aan controle door het systeembeheer van bedrijven.

Volgens mij zit het probleem vooral in het gebrek aan een fatsoenlijk package/software management systeem in Windows.
In veel Linux distributies kun je een heel systeem met een commando upgraden. In Windows moet je dat voor elke applicatie apart doen.

TD-er

@Olaf van der Spek • 21 juni 2006 16:25

Dat packagemanagement onder Linux is ook lang niet altijd even fijn.
Het werkt prima als je je houd aan de dingen die in je distributie zitten, maar zodra je iets wilt installeren wat buiten die distro zit en dan bedoel ik applicaties waar je lang niet altijd de source van hebt, dan hang je al. (denk aan commerciele apps zoals Matlab (die nog vrij netjes is daarin) of closed-source drivers zoals NVidia X-support)

En wie moet dat management gaan beheren? MS? een 3rd party? gaan installers zelf dingen leveren die via dat packagemanagement gaan kijken of er updates zijn? (lijkt me nogal link aangezien zo'n packagemanagement waarschijnlijk wel 'trusted' is.)
Moeten applicaties gesigned en goedgekeurd worden en door wie en loop je dan niet al meteen achter omdat dat goedkeuren mogelijk ook tijd kost?

Olaf van der Spek @TD-er • 21 juni 2006 17:49

Dat packagemanagement onder Linux is ook lang niet altijd even fijn.

Waarom niet dan?

maar zodra je iets wilt installeren wat buiten die distro zit en dan bedoel ik applicaties waar je lang niet altijd de source van hebt, dan hang je al.

Wat bedoel je met hangen? Zelf apps installeren kan gewoon, maar dan heb je inderdaad niet meer het voordeel van automatische updates.

En wie moet dat management gaan beheren? MS? een 3rd party?

De software repository? Elke vendor zelf.

gaan installers zelf dingen leveren die via dat packagemanagement gaan kijken of er updates zijn? (lijkt me nogal link aangezien zo'n packagemanagement waarschijnlijk wel 'trusted' is.)

Installers zijn toch ook trusted?

Moeten applicaties gesigned en goedgekeurd worden en door wie en loop je dan niet al meteen achter omdat dat goedkeuren mogelijk ook tijd kost?

Signen lijkt me wel handig, maar gewoon door de vendor zelf.

TD-er

@Olaf van der Spek • 22 juni 2006 00:41

@Packagemanagement onder linux:
Het is niet zo fijn, wanneer je dus bij een update ineens een pakket hebt wat vraagt om nieuwe c-libs of iets dergelijks.
Dan zit je al gelijk met tig andere applicaties waarbij de dependency's niet kloppen. Meestal is er dan ondertussen wel al een nieuwe versie van dezelfde distro uit, maar dat is vaak niet zo makkelijk even door te voeren als je zou verwachten. Zeker dus niet wanneer je software gebruikt wat niet uit die distro komt.
Ik heb het zelf al een paar keer gehad met zowel Redhat als Suse en dat is dus gewoon balen en kost je best veel werk. Het is dus verre van ideaal.

Over het beheer van de software-repository:
Maar als elke vendor zelf moet gaan beheren wat geupdate gaat worden als jij de magische update-all knop indrukt denk ik dat je een nog grotere bagger krijgt dan wat nu een heel enkele keer optreed na een Windows-update-sessie. Dit omdat nooit alle mogelijke combinaties getest kunnen worden en je tig dingen in een keer update, dus niet weet waar het fout gegaan is.
Is dus ook niet echt een geweldige oplossing.

Als elke vendor zelf gaat signen, krijg je vanzelf virus-makers die ineens een virus of trojan gaan signen. Dat hoeft ook niet zo heel lang goed te gaan om veel schade aan te richten, dus dat lijkt me ook niet echt een ideale oplossing, zeker niet als je nagaat dat een hoop mensen kennelijk (gezien dit artikel) de boel lang niet altijd op orde hebben.

Installers worden nu als trusted beschouwd ja, maar mijn idee was dat je dus 1 packagemanagement hebt waar andere applicaties dus ook op mee gaan liften.
Waarom het mij vanmiddag niet veilig leek, weet ik nu even niet meer te verzinnen...

* TD-er mompelt iets over bier en voetbal

Olaf van der Spek @Olaf van der Spek • 22 juni 2006 11:31

@Packagemanagement onder linux:
Het is niet zo fijn, wanneer je dus bij een update ineens een pakket hebt wat vraagt om nieuwe c-libs of iets dergelijks.

Ik heb alleen ervaring met Debian en daar komen dat soort missing dependencies niet voor bij mijn weten.

Van (veel) libraries kun je ook meerdere versies installeren als de een niet compatible is met de ander.

Over het beheer van de software-repository:
Maar als elke vendor zelf moet gaan beheren wat geupdate gaat worden als jij de magische update-all knop indrukt denk ik dat je een nog grotere bagger krijgt dan wat nu een heel enkele keer optreed na een Windows-update-sessie. Dit omdat nooit alle mogelijke combinaties getest kunnen worden en je tig dingen in een keer update, dus niet weet waar het fout gegaan is.
Is dus ook niet echt een geweldige oplossing.

Update All is natuurlijk geen eis. Je kunt ook stuk voor stuk updaten als je wil.

Als elke vendor zelf gaat signen, krijg je vanzelf virus-makers die ineens een virus of trojan gaan signen. Dat hoeft ook niet zo heel lang goed te gaan om veel schade aan te richten, dus dat lijkt me ook niet echt een ideale oplossing, zeker niet als je nagaat dat een hoop mensen kennelijk (gezien dit artikel) de boel lang niet altijd op orde hebben.

Signed betekent natuurlijk niet automatisch trusted. Je moet zelf kiezen welke signatures je accepteert. Het verschil is dat je dat alleen bij de installatie hoeft te doen en niet bij elke upgrade.

Installers worden nu als trusted beschouwd ja, maar mijn idee was dat je dus 1 packagemanagement hebt waar andere applicaties dus ook op mee gaan liften.
Waarom het mij vanmiddag niet veilig leek, weet ik nu even niet meer te verzinnen...
* TD-er mompelt iets over bier en voetbal

Anoniem: 175233 @Olaf van der Spek • 21 juni 2006 16:20

Er zit een zeer mooi package/software management systeem in Active Directory. Alle update kun je in een package zetten, die centraal vanuit de AD wordt uitgerold. Voor bedrijven is er dus geen enkel excuus.

Voor desktops is het wat lastiger... Natuurlijk ook omdat er niet 1 online distributie punt kan zijn.
Je kunt moelijk verwachten dat je CorelDraw updates van de Microsoft site kunt downloaden...

jelly 21 juni 2006 15:16

FF heeft een auto-update functie dat is niet zo'n probleem.

Maar het ligt meerendeel aan de gebruiker en hoe snel er word ge-update qua veiligheid

Jammer dat het voor besturingssystemen er niet bij staat....

TD-er

@jelly • 21 juni 2006 16:16

Het ligt ook wel een beetje aan hoe de applicatie besluit zich te updaten.
Als je kijkt naar Firefox, die geeft netjes aan dat bij de volgende keer opstarten van FF, dat een update geinstalleerd gaat worden. Zo zijn er meer applicaties die dat zo netjes doen.
Acrobat echter heeft de laatste tijd de ene na de andere update gehad en lang niet altijd gaat het weer opstarten van de update even vloeiend en ben je dus je open staande PDF-documenten kwijt (lang niet alles staat op je schijf) Verder wil die nogal vaak rebooten en geeft dat ook nogal hardnekkig aan en komt altijd met de melding van een update wanneer je net een document open hebt en zit te lezen.

De ergste is in mijn ogen Quicktime.
Die heeft echt te vaak een nieuwe versie zodat de filmpjes op de site die je bekijkt niet draaien (en ook niet onder de alternative-codec van Quicktime). Het updaten is dan ook altijd weer een zoektocht naar waar de niet-betaal versie staat en de installer haalt het in zijn botte kop om alle openstaande IE of FF vensters zonder melding gewoon te sluiten. Waar halen ze het gore lef vandaan. (het zonder waarschuwing rebooten hebben vrijwel alle softwaremakers nu wel afgeleerd)

Kortom het niet updaten is bij sommigen soms ook een 'keus' uit ergenis geworden en wanneer een hoop gebruikers dus niet updaten moet dat IMHO ook zeker bij de makers van de software gezocht worden.
Een beetje nadenken over de momenten en de manieren waarop de updates aangeboden worden zou al een hoop schelen.

Sissors @TD-er • 21 juni 2006 17:04

en acrobat heeft de nare neiging bij de updates yahoo toolbar te willen installeren. Daardoor druk ik standaard op 'nee'

moozzuzz @TD-er • 21 juni 2006 17:25

waarom installeert iemand nu Quicktime? Ik zie de meerwaarde van dit progsel (gratis versie) niet in. Verder komt er een zoveelste icoontje in je startbalk terecht en ben je niet zeker welke rommel er nog extra bijgeinstalleerd wordt... Qtime ligt al zeer lang van mijn systeem!

En dan heb je idd nog es de extra problemen bij het updaten

xzenor @moozzuzz • 22 juni 2006 12:00

Plus de standaard zeikmelding of je ASJEBLIEFT de pro versie wilt kopen bij iedere keer dat je de player opstart..

En toch heb je quicktime dus wel nodig voor het afspelen van mov files..

Quicktime-alternativ zou niet bestaan als quicktime er niet was want er zit gewoon een groot deel van de code in weggestopt.

je wordt gewoon gedwongen om quicktime te gebruiken..
WIl je een movie trailer kijken dan zijn die voor 90% in quicktime formaat.. Je kan er niet omheen als je graag trailers van films kijkt.... En niet iedereen kent het bestaan van quicktime-alternativ.....

crowke @jelly • 22 juni 2006 08:47

Die auto-update functie van FF is inderdaad zeer mooi geïmplementeerd, totdat systeembeheer op de proxyserver/filter de categorie "Software downloads" blokkeert en niemand dus nog zijn FF kan updaten via de automatische weg.

Anoniem: 88387 21 juni 2006 15:55

ik neem aan dat deze problemen zich alleen manifesteren in combinatie met Microsoft Windows OS? of moet ik mij als appelaar ook zorgen gaan maken over de security van iTunes?

Anoniem: 175233 @Anoniem: 88387 • 21 juni 2006 16:14

Ik zou er maar niet vanuit gaan dat je veilig zit.

Bij de meeste van deze kritieke fouten is het zo dat men door een fout in de applicatie, de applicatie er toe aanzetten om kwaadaardige code uit te voeren. Daarvoor maakt het niet uit welk OS er gebruikt wordt, de fout zit op een hoger niveau.

In hoeverre het complete systeem in gevaar is, heeft niet zozeer met het OS, als wel met de normale manier van gebruik te maken. Onder windows werken de meeste mensen met administrator rechten, en dus heeft die applicatie die kwaadaardige code gaat zitten uitvoeren dan ook administrator rechten op de computer.

In andere OS'en is het normaler dat men met minder rechten werkt, en dus zal de kwaadaardige applicatie ook minder rechten hebben, en dus minder kwaad kunnen.

In principe is dat niet OS afhankelijk. Het is ook prima mogelijk om zonder admin rechten met Windows te werken. Maar de meeste mensen willen niet de (vermeende) "rondslomp" van een adminstrator en user account.

(IMHO is Windows 2000 geflopt als desktop OS simpelweg omdat het als eerste een administrator account aanmaakte, en user default op user-level zetten. Men vond dat te ingewikkeld....)

Anoniem: 119007 @Anoniem: 88387 • 21 juni 2006 16:15

Dat zou ik wel doen ja. Onlangs waren er nog enkele grote lekken in Quicktime voor Win en Mac OS X.

XnbX 21 juni 2006 15:13

Binnen kort ook nog win 98 en 2k.
aan gezien microsoft geen updates meer maakt

_JGC_ @XnbX • 21 juni 2006 15:16

Binnenkort? de laatste bugfixronde hebben ze windows 98 al in de kou laten staan, de normale windows explorer zou al vatbaar zijn voor security bugs. Sowieso is windows 98 al een dood platform qua beveiliging, of MS dat nou patcht of niet.

memphis @_JGC_ • 21 juni 2006 15:24

Ach... een beetje goede firewall en virusscanner moet voldoende zijn om 98 probleemloos op het internet draaiend te houden wat al voor veel mensen die geen verstand hebben van computers een probleem is.

Op dit item kan niet meer gereageerd worden.

'Oude versies software erger dan malware'

Lees meer

Reacties (93)

Sorteer op:

Weergave: