Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties
Bron: PC World

Windows-beestjeEen groep beveiligingsexperts heeft voor Microsofts meest recente Windows-lek, dat in toenemende mate geŽxploiteerd wordt, een patch uitgebracht. Het is de eerste release van het zogeheten Zeroday Emergency Response Team (ZERT). Daarmee begint de situatie van het huidige VML-lek enigzins te lijken op die van de veelvuldig uitgebuite WMF-bug, die zich begin dit jaar ook mocht verheugen op de aandacht van onofficiŽle patchers. Uiteindelijk dichtte Microsoft dat gat vervroegd. In een blogposting laat Microsofts Scott Deacon weten dat het bedrijf de laatste dagen toegenomen vertrouwen heeft gekregen dat het in staat zal zijn om eventueel ook ditmaal een zogeheten 'out of cycle'-patch de deur uit te doen gaan, om het gestaag groeiende aantal sites te neutraliseren dat bezoekers middels het lek van een aardige berg malware weet te voorzien. De volgende reguliere patchdag is op 10 oktober, wat genoeg tijd lijkt te zijn voor het probleem om aardig uit de hand te lopen. Microsoft moedigt het installeren van de ZERT-patch zoals gebruikelijk niet aan; het bedrijf test zijn eigen patches altijd uitgebreid om problemen te voorkomen - wat overigens niet altijd lukt.

Moderatie-faq Wijzig weergave

Reacties (50)

Ik snap niet waarom MS tegenwoordig gedwongen moet worden om patches vervroegd vrij te geven door er zelf een te releasen. Waarom kan MS de patch niet gewoon releasen wanneer deze klaar is ipv telkens te wachten op die vervloekte patch tuesday? Snappen ze dan niet dat elk gat zo snel mogelijk gedicht dient te worden?
Snappen ze dan niet dat elk gat zo snel mogelijk gedicht dient te worden?
Natuurlijk snappen ze dat wel, maar de patch moet goed zijn. Omdat in het verleden systeembeheerders geklaagd hebben dat ze zo vaak patches moesten installeren heeft Microsoft er een 1x per maand event van gemaakt. Of vaker als het echt ernstig is.

Maar ik ben het helemaal met je eens dat Microsoft daar niet door gedwongen door (mischien wel) goedwillende amateurs als het Zert.
Eens per week een paar patches lijkt altijd nog minder dan iedere dag een patch ontvangen. (van: "Hee, alweer? gister ook al!") Marketing noemen ze dat ook wel ;)

Hackers laten graag zien dat het helemaal niet praktisch of veiliger is, en brengen exploits natuurlijk net na een patchdag uit.
Systeembeheerders kunnen zo hun computerpark voorbereiden op de patchdag. Ze weten wanneer ze moeten paches en dat is zeer handig voor bvb server die je niet even kan uitzetten. Voor de gewone consument is dit natuurlijk eerdere een vloek dan een zegen. Maar MS moet een kant kiezen en bij bedrijven is veel meer geld mee gemoeid.
Als systeem beheerder kan je toch zelf bepalen wanneer een patch word door gevoerd? Dan kan je zelf er toch voor kiezen om dit elke dag, 1 maal per week/maand/jaar te doen?

De taak van Microsoft is een zo veilig mogelijk O.S. aan te bieden.
En wat als die server niet meer opkomt? Hoe ga je dat verkopen tijdens kantoortijd? Met een beetje pech zitten complete afdelingen niets te doen. Tel uit je verlies, ik hoop dan wel dat je goed bent in het schrijven van sollicitatie brieven want die kennis zul je dan hard nodig hebben.
Het vak van systeembeheerder zit tegenwoordig wat anders in elkaar. Tegenwoordig is de wens van de klant leading i.p.v. de wil van de systeembeheerder.
Het vak van systeembeheerder ontwikkeld zich steeds meer richting dienstverlening. En dat is een goede zaak.
De systeembeheerders die van mening zijn dat zij nog de dienst uitmaken zijn een uitstervend ras.
Dus ... ja de systeembeheerder bepaald in overleg met zijn klant ( de gebruikers dus) wannneer een server onbeschikbaar word voor onderhoud.
Bij veel bedrijven is er een SLA afspraak m.b.t. maintenance windows, en die vallen over het algemeen niet binnen kantoortijden.
Dat kun je als systeem beheerder in een groot bedrijf helemaal niet zelf bepalen.

Systemen kunnen niet zomaar aangepast worden (en vaak nog gereboot worden) zonder overleg met de afdelingen die er van afhankelijk zijn.

Zowiezo vallen de kantooruren al af. Maar vaak ook de avonduren.
En als je een beetje pech hebt ook een aantal weekenden, omdat er dan lange jobs lopen op bepaalde servers. (salarisadministratie bv)
De reinste flauwekul. Een half uurtje servertijd moet geregeld kunnen worden. Prioriteiten stellen heet dat. Bureaucratie heb je en moet je doorbreken.
Door het schrijven van een patch kunnen er in andere delen van de code weer fouten ontstaan, het is dus handig als een patch getest wordt. Het is niet echt wenselijk in een bedrijfssituatie oid dat een patch een heel systeem onderuit haalt.
Met 1x per maand patches te releasen helpt M$ systeembeheerders maar ongewild ook hackers. Deze hebben immers ook een hele maand de tijd om nieuwe exploits uit te buiten...
99,9% van de malware verschijnt pas 2 weken NA een patch. Juist omdat ze met de informatie in de patch aan de slag kunnen gaan om de vulnerability te vinden.

Door 1x per maand patches te releasen zijn systeembeheerders daar op voorbereid en kunnen ze de patches sneller doorvoeren in hun systemen dan daarvoor. (doordat ze al tijd ingepland hebben om de patches te testen bv)

Daardoor hebben de hackers dus MINDER tijd om nieuwe exploits uit te buiten.
Snappen ze dan niet dat elk gat zo snel mogelijk gedicht dient te worden?
Omdat ze er helemaal geen belang bij hebben.

Nu vista een beetje afgerond begint te worden en gepromoot wordt als het "meest veilige OS" hebben ze er alle belang bij om aan te tonen dat de oude meuk niet veilig is zodat mensen upgraden naar vista.
Leuk, wil je een website bekijken. EN dan bepaalt microsoft of die site wel of niet bekeken mag worden. ivm met de veiligheid van het OS.

/edit
Was al reactie op hAl bedoelt

@hAl: Klopt dat is zekers niet gewenst. Daarom ben ik ook van mening dat je de maker van je gekochte O.S. verantwoordelijk kan stellen voor eventuele schade. Hier door zo'n maker wel beter na denken over de veiligheid van een O.S. of gewoon weer terug gaan naar dagelijks patchen van hun produkt.
@hAl: Klopt dat is zekers niet gewenst. Daarom ben ik ook van mening dat je de maker van je gekochte O.S. verantwoordelijk kan stellen voor eventuele schade.
Wat een gigantische flauwekul.

Maar stel dat zoiets mogelijk zou zijn. Dan staat er voortaan bij het opstarten van IE de volgende melding: "Het browsen op internet brengt altijd een zeker risico met zich mee. Het gebruik van deze tool is geheel voor eigen risico."

Maar eh, waarom stel je eigenlijk de maker van het OS verantwoordelijk, en niet de maker van de anti-virus tool die de zero day exploit nog niet herkent?

En als je fiets gestolen wordt, dan stel je ook de maker van het slot verantwoordelijk voor de geleden schade?
Als je auto gestolen wordt, dan stel je je dealer verantwoordelijk?

Oh ja, en btw. Dagelijkse patches helpen niet bij een zero day exploit!
Het installeren van malware op je PC zonder toestemming door een lek in je software lijkt me in geen enkel geval gewenst !!!
Zie je toch maar dat IE nog steeds onveiliger is dan de rest, niet alleen omdat Ms niet al te snel zo een lek dicht, maar ook omdat hun aandel IE zo groot is, een lek in Fx is veel minder interessant.
Dus als nou iedereen overstap op FireFox kun je beter IE gebruiken?.....
De verspreiding van malware tegenhouden is quasi onbegonnen werk. Geen enkele patch kan daar snel genoeg op inspelen. Naast de exploits, zoals de VML-lek, wordt malware ook vaak samen geÔnstalleerd met allerlei 'goodies' }> zoals players, viewers, popup blockers, enz.. waarvoor de gebruiker voor de gelegenheid gewillig zijn firewall en alle security even laat zakken om deze software toch maar geÔnstalleerd te krijgen. Geen enkel OS is tegen zoiets opgewassen. Behalve misschien het VMS OS, waar de systeemparameters en alle processen door hardware worden bijgehouden.
Windows is het meest gebruikte besturingssysteem. Microsoft levert IE als browser mee met hun product. Dat betekent dat veel mensen niet de moeite nemen om een (betere?) browser te installeren of onwetend zijn dat er andere browsers bestaan. Er is wel degelijk een relatie tussen het percentage Windows en IE gebruikers ;) Dus 'iedereen overstappen op FF' is een onmogelijke zaak.

Daarnaast kan FF in sommige gevallen veiliger zijn, omdat het programma losstaat van het besturingssysteem. Een fout in IE leidt al snel tot het uitbuiten van de fout in Windows. En dat zal met FF niet zo snel gebeuren. Hetzelfde geldt voor Opera of een andere losstaande browser :)
Als je de rest van alle andere IE flaws buiten beschouwing laat, ja dan wel.
Ik ga er niet mee akkoord, Natuurlijk zullen hackers zich meer gaan focussen op Fx wanneer dit popuairder word, maar dit betekend niet automatisch dat Fx even gevaarlijk zal worden of gevaarlijker. Ook is het ontwikkelmodel anders. Bij Fx worden nu al redelijk wat bugs gevonden, maar dit is ook mogelijk vanwege de vrijgegeven broncode. Het is onbekend welke grote onbekende lekken er nog in IE zitten die onbekend zijn voor de buitenwereld.
Nee ik denk dat als Fx 75% aandeel zal hebben (wat nooit gebeurt vrees ik), dat die altijd nog veiliger is dan IE, vanwege het snelle open-source karakter van de development,en het niet verweven zitten in het OS. Maar je zal altijd mensen hebben die Fx niet updaten. En als je de laatste update zag, ernstige lekker werden gedicht, een met een bufferoverflow, waardoor willekeurige code kon worden gerunt. Als Fx eens 75% krijgt, zal het fabeltje dat het "o zo veilig" is, worden doorbroken. Overigens ben ik Fx-fan, daar niet van, fijne browser.
@Sjah:
Aantal lekken in Mozilla-browsers snel gestegen

In de eerste zes maanden van dit jaar zijn 47 lekken gevonden in de browsers van Mozilla. Dat zijn er fors meer dan de 17 lekken die in de laatste zes maanden van 2005 werden ontdekt. Dat concludeert Symantec in zijn halfjaarlijkse Internet Security Threat Report.

In Internet Explorer werden van januari tot juli 38 beveiligingsfouten gevonden, tegenover 25 in het laatste halfjaar van 2005. In de Apple-browser Safari zijn 12 lekken gevonden, terwijl dat er een halfjaar eerder nog maar zes waren.

Opera vormt een uitzondering, zo merken de onderzoekers op. Alleen in Opera werden minder fouten ontdekt; zeven in het afgelopen halfjaar. In de periode daarvoor waren dat er nog negen.
Geld

Symantec heeft wel een verklaring voor het feit dat in bijna alle browsers meer lekken zijn gevonden. Er wordt steeds meer geld aan verdiend door beveiligingsbedrijven die waarschuwen voor de lekken. Ook krijgen hackers steeds beter betaald om de lekken te misbruiken, aldus Vincent Weafer van Symantec Security Response.

Bovendien zijn browserlekken zijn relatief eenvoudig op te sporen en te misbruiken, vult Marc Maiffret van Eeye Digital Security hem aan.

Patch-snelheid

In zeker 31 procent van de gevallen was de aanval gericht op IE-gebruikers. Daarmee blijft IE nog altijd het favoriete doelwit van hackers. Eťn op de vijf aanvallen was gericht op Firefox-gebruikers.

Hoewel er in de Mozilla-browsers meer lekken werden gevonden dan in IE, scoort Mozilla bij Symantec toch hoge punten op het gebied van patchbeleid. Een lek in een Mozilla-browser werd gemiddeld binnen ťťn dag, nadat het in het openbaar bekend is geworden, gepatcht. Bij Opera duurde dat gemiddeld twee dagen, Apple had vijf dagen nodig en Microsoft doet er gemiddeld negen dagen over om een patch uit te brengen.

Tot slot merken de onderzoekers nog op dat vooral consumenten ten prooi vallen aan hackers. Met name Amerikaanse consumenten worden het slachtoffer van lekken in browsers. Ongeveer 37 procent van alle browseraanvallen vindt in de VS plaats, zo stelt Weafer.
bron
Ik kan me niet voorstellen dat iemand een patch installeert van een niet te vertrouwen groep die niet uitvoerig is getest.
Hoe weet jij dat ze niet te vertrouwen zijn? Ze zetten er netjes een link naar een handmatige oplossing van een andere partij bij.

Daarnaast schrijven ze:
It is always a good idea to wait for a vendor-supplied patch and apply it as soon as possible, but there will be times when an ad-hoc group such as ours can release a working patch before a vendor can release their solution.
Je hebt kortom zelf de keuze wat je doet.
Het probleem is niet zozeer of 'het werkt', maar of het te ondersteunen is. Als het bij jou niet werkt, dan heb alleen jij daar een probleem mee. Als het bij een willekeurig Fortune-500 bedrijf uitgerold wordt en niet werkt op 10% van de systemen (bijv. vanwege ťťn of andere group policy) dan zijn de rapen gaar.

Da's ook het probleem waarom patches van MS zo lang duren. Het schrijven van de patch is misschien in een uurtje gedaan, maar de regressie tests voordat ze de patch kunnen uitgeven nemen veeeeeel langer in beslag.
Bij de test, via de link op de pagina met de un-officiele patch, blijkt dat IE7 in Vista RC1 x64 er geen erg in hebben. Ze hebben het probleem dus niet. Ligt dit aan Vista? Of aan IE7. (x86 en x64 overigends).

In Windows 2003 onder IE7 RC1 for Windows 2003 zie ik overigends de twee rode vlakken niet. Ook niet de melding die zou moeten verschijnen. De browser kan ik daarna wel nogsteeds gebruiken.
Onder IE7 XPSP2 staat dat ik immune ben voor de exploit (met de twee rode vlakken). IE7 heeft dus waarschijnlijk geen last van dit probleem.
Tja, zolang in windows processen nou eenmaal toegang tot je complete systeem hebben zal je dit houden.

MS wil processen niet afschermen of whatever their reason is, dus dan krijg je dit soort gezeik.
De reden is niet MS, maar de gebruikers en applicatie ontwikkelaars.

Zij zijn het die administrator rechten voor de gewone gebruiker willen/vereisen. Windows heeft al heel lang een prima security systeem. Maarja... wanneer niemand dat gebruikt, schiet je er niet zo veel mee op.

Met Windows2000 heeft MS geprobeerd dat een beetje te pushen, maar zoiets als een apart administrator account vonden de gewone gebruikers, (en computer magazines e.d.) veel te moeilijk. En dus kwam er een mythe dat 2000 voor bedrijven is, wat het helemaal niet is.

Wat je nu dus ziet, is dat MS in Vista probeert een gouden middenweg te zoeken, waarbij gebruikers zoveel mogelijk administrator-achtige rechten behouden, en dat toch niet zijn. Ook zie je dat er veel werk van is gemaakt om te zorgen dat slecht geschreven applicatie software geen reden is om altijd met adminstrator rechten te werken.

Het is makkelijk vanuit je ivoren toren kritiek te hebben... maar MS heeft te maken met de realiteit, waar gebruikers en ontwikkelaars weerbarstig zijn.
Ik heb op een aantal PC's ook maar eens de testpagina geprobeerd, maar helaas, de virusscanners vangen de exploit af :'(

Oftewel, ik heb niet a-la-minute een patch nodig, mensen met een up-to-date virusscanner zijn dus best veilig!
klopt mijn virusscanner vangt hem ook meteen. Maar vind het wel fijn dat ik veel Firefox gebruik want je weet niet wat de virusscanner alle hacks wel of niet pakt.
Wat wouden ze doen met het lek in Powerpoint? Ongewenst een presentatie laten draaien? :D
Wat ik nog steeds niet begrijp is, hoe een website in hemelsnaam zomaar bestanden kan plaatsen in de systeem map en dan met name system32. Waarom is deze map niet alleen toegankelijk voor Microsoft en is er geen aparte 3rd party map voor andere bedrijven, zodat deze twee gescheiden blijven :?
daarom is dit ook een exploit |:(
En dan nog mag het niet kunnen, want iedereen surft niet als local administrator.... toch? :o
Ik voel me aardig veilig met SocketShield geinstalleerd.
http://www.explabs.com/index.html
Hij kent deze exploit ook reeds.
Nu pas?

Vrijwel alle virusscanners hadden binnen een dag nog een update van hun definities.
En veel hebben tegenwoordig zowiezo al bescherming tegen buffer-overflows.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True