Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 23 reacties
Bron: C|net

Microsoft heeft besloten dat het vorige week opgedoken animated-cursorlek een vroege update rechtvaardigt. Tijdens het weekeinde is er een toename in het aantal exploits waargenomen, zo wordt op Microsofts Security Response Center-blog gemeld.

Microsoft Update / Veiligheid / Beveiliging De patch wordt op 3 april beschikbaar gemaakt en komt daarmee een week eerder dan gepland uit. Volgens Microsoft-beveiliger Christopher Budd speelde het in de beslissing de release te vervroegen ook een rol dat er exploitcode is gepubliceerd, maar hij wijst er tevens op dat de softwaregigant al in december van het probleem op de hoogte was gebracht. Het bedrijf wist het testen van de securityupdate eerder af te ronden dan oorspronkelijk geraamd, en kan deze dus vijf dagen na de openbaarmaking van de fout uitbrengen. De hoofdreden voor het vervroegen van de update lijkt dus eerder te zijn dat deze al praktisch klaarligt. Het aantal aanvallen zou tot nu toe, ondanks een gestage groei, beperkt van omvang zijn. Eerder werden onder meer de WMF- en VML-lekken vervroegd gedicht.

Moderatie-faq Wijzig weergave

Reacties (23)

3 maanden over een simpele patch?

Is dat niet wat lang, of is de Windows broncode zodanig verweven geraakt dat zelfs op een simpel iets als een animated cursor al afhankelijkheden zijn door willekeurige Windows componenten???
Toch denk ik niet dat je zo simpel moet denken. Ik bedoel, als je iets fout doet dan zijn het wel miljoenen mensen die er last mee krijgen. Ik neem dan ook aan dat het grootste gedeelte van de patches meer tijd kost op te testen dan te maken.

Daarbij, als MS op de hoogte is van een probleem wil dat nog niet zeggen dat er publiekelijk exploit code beschikbaar is. Het hoeft natuurlijk niet zo te zijn dat als een probleem bekend is dat er meteen misbruik van gemaakt wordt.

De patch was dus klaar voor deze patch tuesday, maar omdat er nu exploit code beschikbaar gekomen is, is besloten dit te vervroegen.

Ik ben het niet altijd eens met de snelheid van Microsoft, maar ik denk dat het allemaal niet zo simpel ligt als dat je denkt.
Ok, dan de volgende stelling:
Microsoft komt pertinent ALTIJD later met patches uit dan dat er exploits opduiken, terwijl ze toch al maanden van de patches wisten.
Meestal komen de patches binnen een week van de exploits uit.

OF exploits hebben de neiging PRECIES 1 week te vroeg uit te komen, of microsoft zit gewoon 2 maanden en 3 weken op zijn lui reet en wacht, en wacht, en wacht, en wacht, en schrikt opeens wakker met 'shit, had ik nou maar....' en dan 'we knew about it, but blablabla'

Als je het andersom bekijkt:
er zullen exploits komen als je onbekende lekken patched, omdat ze dan van het lek afweten.
KLOPT, maar dan is er al een patch voordat ze het vinden, in plaats van andersom... ze komen er hoe dan ook achter dat die exploit bestaat, laat dan in ieder geval de patch er eerder zijn...
Leuke stelling, maar hij klopt niet.

Als je de ptaches en exploits van het laatste jaar bekijkt, dan zie je dat 99% van de exploits 2 weken na de release van de patch verschijnen!
Niet echt. Allereerst is in december de melding van de exploit gedaan. Dat levert een goed start punt op, maar het probleem kan van een veel groter probleem deel uit maken. Je moet dus eerst het gehele probleem (dus niet alleen de exploit) analyseren.

Pas daarna kun je besluiten hoe de issue opgelost moet worden. De oplossing zelf programmeren zal inderdaad niet veel tijd kosten.

Maar daarna komt het testen. Testen neemt altijd de langste tijd in beslag. Als de unit- en regression testen geen nieuwe problemen naar voren brengen, moet microsoft de patch samenstellen (e.g. de gewijzigde bestanden verzamelen) en vervolgens uitrollen op waarschijnlijk tientallen (misschien zelfs honderden) test computers.

En voordat je het weet ben je al snel een paar maanden verder..
Nou user32.dll is idd. een centraal component van Windows. Is wel belangrijk om heel goed te testen.
Mijn mening: de patch komt niet 1 week te vroeg maar 3 weken te laat.
Helemaal lang als je bekijkt dat ze de patch al op de plank hadden liggen (XP en eerder kwam eht ook voor)
maar hij wijst er tevens op dat de softwaregigant al in december van het probleem op de hoogte was gebracht.
Dat geeft meteen een negatief effect aan het nut van: http://www.microsoft.com/...rity/advisory/935423.mspx waarin pas melding wordt gemaakt sinds 29 Maart 2007.

Wij gebruiken die advisories juist om preventieve maatregelen te nemen, zoals het blokkeren van ANI files op router nivo.

Nu zijn er gelukkig andere bronnen voor security, maar blijft toch een lastig verhaal of vroege bekendmaking juist negatief werkt, omdat dan alle personen met slechte bedoelingen erop duiken. Of dat het positief werkt, omdat er workarounds mogelijk zijn.
Het zal altijd een discussie blijven, maar het risico van vroege bekendmaking is in mijn ogen gewoon te groot. Je creeert de mogelijkheid dat iemand voor miljoenen/miljarden schade aanricht zonder de potentiele slachtoffers een reele mogelijkheid te geven zich te beschermen.

Als je de zaak eerst enkel meldt bij de softwareontwikkelaar waarna de bug pas openbaar wordt gemaakt als die opgelost is, verklein je de kans op schade. Zelfs al wordt de bug ondertussen ook door een ander gevonden en misbruikt, win je tijd voor de producent om een patch te maken of een doordachte workaround openbaar te maken bij exploits.

Bij open source ligt het mogelijkerwijs wat anders: Daar kan tenslotte iedereen meewerken aan een patch, dus kan je door het openbaar maken van de fout met meer mensen aan het probleem werken.

Maar dat is slechts mijn inschatting van de zaak en er zullen vast wel hele volksstammen het met mij oneens zijn.
de patch hadden ze toch nog liggen?
Als ik het vorige bericht goed begreep was dit probleem al een keer opgelost in SP1 van XP.
Dus ze hebben er 4 maanden over gedaan om het oude documentje terug te vinden in een bureaula? :o

Maar serieuzer: Ik vind dat ze er lang over doen om het te patchen.
Dat ze het voor de patch ronde uitbrengen vind ik logisch, en verstandig als je waarneemt dat er misbruik van word gemaakt.

edit:
even als opmerking: er werd in het eerste bericht gezegt dat mensen met IE 7 er geen last van hebben....waarom hebben mensen het dan over Vista? deze is toch niet zonder IE7 te krijgen? of heb ik iets gemist?
Wel als je Office 2002 op Vista gebruikt, ofzo. En misschien ook nog wel met andere programma's, waar men het nog niet van weet. Dus beter wel patchen.
Vista heeft de lek, maar IE7 weet de lek enigszins te dichten. Neemt dan niet weg dat de lek nog steeds gedicht moet worden, want als iemand opeens IE6 wilt gaan gebruiken ofzo (ik neem aan dat dat kan?) of een andere browser die deze lek niet tegenhoudt, dan is die lek dus weer hinderlijk aanwezig.
Windows Mail, een standaard component van Vista is wel gevoelig voor deze kwetsbaarheid als je een kwaadaardig mailtje replied of forward via dit programma.
Dat is iets wat ik niet aan zag komen! :o

Microsoft komt op mij toch altijd over als een bedrijf wat lekker wacht tot de patchdag. :z

Toch netjes :)
Netjes?
Volgens Microsoft-beveiliger Christopher Budd speelde het in de beslissling de release te vervroegen ook een rol dat er exploitcode is gepubliceerd, maar hij wijst er tevens op dat de softwaregigant al in december van het probleem op de hoogte was gebracht.
Een groot bedrijf als MS wat zegt beveiliging zo hoog in het vaandel te hebben staan en er dan vervolgens ruim 4 maanden over doen om ene patch te maken en te testen.

Erg traag vind ik dat.

Edit: wel zo netjes om te vermelden als jij je post edit
het komt netjes uit op patch tuesday alleen een week eerder dan verwacht werd.
Zeker gister uitgebracht als 1 april grap
wellicht zullen een boel bedrijven er niet zo blij mee zijn, of er alsnog mee wachten tot patch dinsdag.
Alle updates moeten namelijk ook eerst door het bedrijf getest worden of het wel goed samen werkt met eigen software. Daarvoor is zon patch dinsdag handig want dat kun je inplannen.

Verder is 4 maanden wel heel erg lang voor een simpele ani patch. Alhoewel, het lek zat in windows 2000, xp, 2003 en vista. dus eigenlijk 3 verschillende os-en waar ze een patch voor moesten maken, en grondig testen. Het testen zal de meeste tijd in gaan zitten altijd.
alhoewel het raar is dat het lek in xp sp1 al opgelost was. en toch terug kwam.
Ok ben geen systeem beheerder, maar wat ik niet vat is waarom veiligheids updates maar een keer in de maand worden uitgegeven, kan hier het nut niet van zien.
Je wild toch een veiligheids lek toch zo snel mogenlijk oplossen en niet wachten tot een keer in de maand.

Met updates en laag risico lekken kan ik het nut er nog wel van in zien maar nu wachten hackers op patchdag zo dat hun rommel een maand de tijd heeft om te doen waar deze troep voor is geschreven.

Kan iemand mij de logica er van uitlegen, behalven dan dat het systeem beheerders ontlast.
Het ontlast niet alleen de systeem beheerders, maar ook de eindgebruikers.

Veel patches vereisen een reboot. En die kun je niet zomaar even uitvoeren.
Net zoals jij niet wilt dat er op dit moment een reboot van je systeem plaats vind, willen een heleboel bedrijfsprocessen niet dat dat 's nachts plaats vind.

Het kost als beheerder vaak ontzettend veel moeite om uberhaupt 1 dag in de maand als maintenance window te krijgen.
Het feit dat het al in XP SP1 gepatched was en toch terugkwam maakt het onwaarschijnlijk dat de oplossing "simpel" was. Natuurlijk er kan een oetlul hebben lopen rommelen met het versiebeheersysteem, maar het is waarschijnlijker dat de bug op meerdere plaatsen in het systeem voorkomt. In dat geval is het logisch dat het grondig doorspitten van het systeem naar soortgelijke code enige tijd in beslag neemt.
HELP!!!!!
Mijn cursor lekt.....
B-)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True