Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 77 reacties

Microsoft werkt aan een patch om een vijf jaar oud lek in Windows opnieuw te dichten. De weeffout kwam aan het licht toen de softwaregigant door een hacker uit Nieuw-Zeeland werd wakker geschud.

Windows patchTijdens de hackersconferentie Kiwicon in Nieuw-Zeeland demonstreerde de hacker 'Beau Butler' een niet nader omschreven aanval op Windows-systemen, aldus The Age. Met de kraak kunnen kwaadwillenden een pc geheel overnemen. Het lek was vijf jaar geleden al bekend bij Microsoft, maar toen dichtte de ontwikkelaar van Windows de kwetsbaarheid slechts gedeeltelijk, naar nu blijkt. De opnieuw blootgelegde weeffout zou in alle versies van Windows voorkomen, inclusief Vista. De Amerikaanse edities van het OS blijken ongevoelig voor de bewuste aanval, maar veel andere landen beschikken mogelijk wel over Windows-versies die kwetsbaar zijn. Volgens Beau Butler zijn in Nieuw-Zeeland zeker 160.000 pc's via het lek succesvol aan te vallen. Niet elke pc zou echter gevoelig zijn voor een aanval, omdat het probleem alleen bij bepaalde configuraties zou optreden, aldus George Stathakopoulos die bij Microsoft verantwoordelijk is voor productveiligheid.

Microsoft zegt het gevaar te onderkennen en hard te werken aan een patch. De softwaregigant heeft aan de ontdekkers van de weeffout gevraagd om geen nadere details bekend te maken. De hacker zegt Microsoft al eerder per e-mail op het lek te hebben gewezen, maar Beau Butler zou nooit enige feedback hebben gekregen. Hij ging er daarom vanuit dat het probleem bekend was en dat Microsoft snel een patch zou uitbrengen om het vijf jaar oude gat opnieuw te dichten.

Moderatie-faq Wijzig weergave

Reacties (77)

Wat ik niet snap.. waarin verschilt de Amerikaanse uitvoering met die van de rest avn de wereld? Verder snap ik niet hoe het nog steeds mogelijk is dat om de zoveel tijd weer oude bugs plots boven komen. Hebben ze daar niet een checklist met reeds voorgekomen bugs om ze daar ff op te checken. Ik realiseer me wel dat deze lijst letterlijk uit duizenden bekende en nog veel meer onbekende bugs bestaat. Maar dit is toch wel ronduit slordig.
Omdat de anderstalige uitvoeringen andere broncode hebben.

Het localiseren van software is een taak die vaak met behoorlijk wat gepruts in de broncode gepaard gaat. En het is niet altijd zo dat de laatste US Build meteen wordt uitgerold naar de bedrijven die de localisatie verzorgen. En dan krijg je dus discrepanties.

Daarom werk ik eigenlijk bij voorkeur met EN versies. Hoe vaak je bij MS niet te lezen krijgt dat patch zus en zo enkel op de EN versies werkt en NIET op de gelocaliseerde versies ...
Ik ben stomverbaasd dat er anno 2007 nog bedrijven zijn die software ontwikkelen waar geen abstractie wordt genomen tussen taal en broncode... Er wint niemand bij om je broncode taalafhankelijk te maken, de gebruikers krijgen meer bugs, de programmeurs hebben meer werk en je software porteren naar een andere taal is een titanenwerk. Kortom je productiekosten zijn veel hoger en je productkwaliteit lager.

Als dit lek al meer dan 5 jaar meegaat en er nog steeds in zit op vista stel ik mij er toch ook wat vragen bij... Microsoft voorziet dus hun jaren 2000 modellen van een nieuw laagje verf en wat toeters en bellen en verkopen het als nieuw.
Microsoft voorziet dus hun jaren 2000 modellen van een nieuw laagje verf en wat toeters en bellen en verkopen het als nieuw.
Jaren2000 modellen? Volgens mij zelfs nog ouder. Vista bevat toch nog code van WindowsNT?
Ja dus?
Linux 2.6 bevat ook nog code van 2.4?

En vista = Windows NT ;) NT 6.0 om precies te zijn :)
Okee, met een doorontwikkeling is niets mis, maar Microsoft wordt al jaren door hoog en laag geadviseerd te stoppen met dat geneuzel en Windows simpelweg te herschrijven naar huidige standaarden.
Ja maar dan zullen ze weer kritiek over zich heen krijgen dat oude software niet werkt waardoor je bij een nieuwe windows alles nieuw moet kopen.

sommige anderen OS-fabrikanten doen dit al, en gek genoeg slikt men dit (lees Apple)

Bij MS staat backwardscompatability altijd hoog in het vaandel, en dat lukt ze ook goed, ik kan onder XP SP2 nogsteeds rollcage spelen dat ik gekocht heb toen ik nog windows95 draaide! Hulde dat ik twaalf jaar later nogsteeds met het zelfde merk OS dit kan berijken. (en misschien werkt het ook onder vista, niet getest)

:)
Hoe moeilijk kan het zijn om in een volledig herschreven systeem een goede emulator voor oudere versies mee te leveren? Zelfs Microsoft Virtual PC met een win95 image zou een perfecte oplossing kunnen zijn. Je verwacht toch geen quad core prestaties voor een game op win95 en ik neem ook aan dat microsoft niet verwacht ooit nog een win95 licentie te verkopen? :P
ga je nu een kernel met een OS vergelijken?
maar goed linux heeft maar een paar tree's en patches worden in 2.2 2.4. en 2.6 door gevoerd. En dankzij de opensource constructie wordt dit goed gecontroleert.

Indien source goed gedocumenteerd is en klopt waarom het schrijven. ik snap je punt niet.

[Reactie gewijzigd door daft_dutch op 26 november 2007 14:20]

Ik dacht dat de core (VM, IO, scheduler, driverframework, ...) van de 2.6 kernel volledig herschreven was (anders zou er geen 2.6 branch gekomen zijn). Bijna alle drivers en modules moe(s)ten geport worden van 2.4 naar 2.6 omdat de interne structuur anders is.
@intGod
Vista heeft een universele broncode en daarbij is wisselen van taal mogelijk. Toch treedt bij Vista dit probleem ook op.
Ik kan me echter geen voorstelling maken waaraan het dan wel zou kunnen liggen.
Vista is niet compleet opnieuw opgebouwde code. En taalinstellingen zijn typische voorbeelden waar niet veel aan verandert, in mijn ogen. Dat het wisselen van taal mogelijk is, is waarschijnlijk doordat het een uitbreiding van de taalinstellingsomvattende code is (of hoe je het ook moet noemen).

Edit:
Eigenlijk is het dan logisch en ook te verwachten dat er een bug uit het verleden nu weer terugkeert, doordat Vista laten we zeggen opgebouwd is uit code van voor iig. die specifieke bugfix/patch. Het ontwikkelen van Vista duurt lang, en je kunt door de vele code en tussentijdse patches voor de winXP code, de bugs niet meer zien. Tenzij je een adequate lijst bijhoudt van gefixte bugs en die bugfixes ook 'meteen' toepast in de destijds nog in ontwikkeling zijnde Vista code, maar ook dat is precisiewerk.

[Reactie gewijzigd door Grrmbl op 26 november 2007 12:37]

Omdat de anderstalige uitvoeringen andere broncode hebben.
Ik weet het niet maar volgens mij is in Nieuw Zeeland de nationale taal ook EN.

Waarom in deze versie dan deze bug?
Die spreken Kiwiaans.
Engels(Nieuw Zeeland) ja, net zoals dat je Nederlands (Belgie) hebt in je taalinstellingen. Zo zijn er dus al tientallen anderstalige uitvoeringen mogelijk
Software word gemaakt door mensen.... Mensen maken fouten... Mensen werken onder tijdsdruk of worden afgeleid waardoor ze net dat ene foutje mislopen...

Linux, opensource etc heeft het voordeel dat er veel meer mensen in een developteam zitten die elkaars werk controleren... Daardoor wordt de source beter gefilterd... Je kan er niet van uit gaan dat elke programeur/ontwerper alles weet. Maar hoe meer developers hoe meer kennis daarnaast 4 ogen zien meer dan 2 natuurlijk...

Kun je dit microsoft kwalijk nemen? Ik denk van niet.
Telkens als er een fout word ondekt in software lees ik "slordig", "kansloos" etc.. De grote vraag is dan: hoeveel fouten maak jij en je afdeling in je werk?
Onder normale omstandigheden indien je bedrijf met een ISO certificering werkt ben je geacht fouten te loggen en deze de keren erop bij te houden om te zien of dit niet weer gebeurd. Dus ja ik maak fouten echter het is niet zo dat ik fouten blijf herhalen onder normale omstandigheden.
Verder de follow-ups, ja taal varianten zou logisch zijn, maar de kiwi´s maken toch ook gebruik van de Engelse variant van Windows, dus taalkundig zou deze niet mogen afwijken. Dus dan vraag ik me nog steeds af waar het verschil in zit.
Overigens de meeste Chinezen gebruiken net zo goed een Engelse WIndows versie, met een aparte overlay voor de talen die niet geleverd wordt door MS zelf.
In Amerika spreken ze Amerikaans wat is gebaseerd op Engels. In Nieuw zeeland spreken ze Engels (voormalige kolonie van GB/UK).

Vergelijk het een beetje tussen Vlaams Nederlands (nl-BE) en Nederlands (nl-NL). Veel woorden komen overeen, maar toch zijn er ook flinke verschillen. Met de Engelse talen is dat niet anders.

Wat technischer. Standaard wordt Windows gecompileert op de culture en-US. Echter in Nieuw Zeeland gebruiken ze de culture EN-NZ welke een variant is op en-AU (Australie) welke gebaseerd is op en-GB. en-US is ook een variant van en-GB.

Daardoor hebben de cultures en-US en en-NZ grote verschillen.

Daarnaast heeft Windows al jaren een optie om fouten automatisch door te sturen naar Microsoft. Echter dat wordt vaak uitgezet, of men kiest ervoor om de melding *niet* naar Microsoft te sturen.

Wat betreft het terug keren van een eerder (half) opgeloste issue. Normaal wordt dat ondervangen doormiddel van regression tests.
De vergelijking tussen Amerikaans Engels, Brits Engels en Nederlands, Vlaams klopt niet helemaal. Vlaams is geen officiële taal maar een dialect terwijl Amerikaans Engels een officieel losstaande taal is die ook qua spelling soms afwijkt. (bijv. Honour/Honor, Colour/Color)
Nou, .... misschien omdat bijvoorbeeld je Chinees/Arabisch/Duits anders schrijft als Amerikaans en dus meer en andere karakters tot je beschikking hebt? Of dat de software is aangepast voor een bepaalde cultuur/land.

Dat een issue weer naar voren komt, kan komen door veranderingen in andere onderdelen van de software. Niet alle issues zijn eenvoudig te reproduceren.
Nou is Nieuw-Zeeland voalgens wikipedia 98% engelstalig, maar wie weet..
Ik heb ook meegemaakt dat HP's printerdrivers niet op een nerderlandstalige Vista konden draaien (hulde voor de engineers van HP die 3 dagen later een driver opleverden die wel op de nederlandse Vista wilde draaien). Ik heb geen idee waar de verschillen zitten, maar ze bestaan en zijn soms best groot.
Blijf het toch een raar verhaal vinden dat hele talenversies van een OS. Waarom (ja, sorry) kan Apple wel gewoon 1 OS uitbrengen met alle talen? Waardoor je gemakkelijk een andere taal van je OS kan kiezen? Kost misschien wat ruimte, maar je hoeft het niet te installeren!?
Heb het zelfde probleem met een Cisco VPN client (MS Installer code 1609 geloof ik), die installed alleen maar op engelse systemen. Je kunt trouwens met de platform SDK zelf die installer "hacken" dat ie wel installed, maar dat is weer een hoop werk...
Waarschijnlijk dus een bug in toetsenbord/taal gedeelte :)
Wat is een weeffout nou weer dan? Zegt me echt helemaal niks...
Een patch is in het Nederlands letterlijk vertaald een lapje. Een lapje is van stof. Als je stof niet goed weeft heb je dus een weeffout :) Vandaar, dat is Tweakers jargon.

Ontopic: Er lijkt wel steeds meer regressie voor te komen met Windows en zijn patches. Wordt het niet eens tijd dat Microsoft inziet dat er niet met verouderde inefficiente code meer gewerkt kan worden? Er zijn genoeg voorbeelden te vinden waarom men daar in Redmond eens goed moet gaan nadenken. Vista is traag en soms onstabiel, alle NT kernel systemen hebben last van regressie...
een weeffout is een iets sympatiekere benaming voor een "screw-up", oftewel een fout.
een bekende uitdrukking in de Nederlandse taal misschien?
Inderdaad en de bron zegt er ook helemaal niets over, dus waar komt dat woord vandaan?
Dat betekent dat ze ergens anders iets vandaan hebben getrokken, waar nog een plooitje in zat, maar dat vervolgens bij het mengen met het nieuwe nog niet hebben glad gestreken. ff mijn invulling op je vraag :P
Tja, volgensmij als je een mailtje stuurt naar microsoft met zoiets lachen ze je of uit of ze lezen hem niet... Iets meer feedback zou wel handig zijn, zo blijkt.
Dat is niet mijn ervaring, mijn ervaring met Microsoft is dat als je een serieus mailtje stuurt je ook een serieus antwoord krijgt.
Mwah, die ervaring hoeft niet altijd zo te zijn.
"Hartelijk dank voor uw email, we hebben het probleem bekeken en kunnen dit op geen enkel systeem nabootsen, desondanks hartelijk bedankt" vond ik niet zo héél profi.
Zeker niet toen bleek dat élke Engelstalige Ofice 2003 op Engelstalige Windows 2003 met het multilanguage user interfeest dit probleem had, en we zelf een tweetal stagiaires een week hebben laten bughunten om uiteindelijk MS te mailen met 'je hebt het niet geprobeerd, kijk, als je dit doet gaat dat fout"

Voor het probleem was wel de volgende morgen een hotfix gereed, dat wel. Maar het blijft een feit dat je bij zo'n enorm bedrijf natuurlijk altijd het risico blijft houden dat er iets niet de juiste kanalen in gaat. Waar mensen werken worden fouten gemaakt, ook bij het lezen en verwerken van emails van klanten.

Ik verwacht echter dat zo'n hacker dat ook snapt en eventueel het mailtje nog eens keer stuurt.
Voor een correcte foutafhandeling / support systeem, heb je als groot bedrijf normaal gesproken een standaard en een goed nageleefde procedure. Ik snap dan ook niet dat sommige bedrijven dat toch niet zo goed geregeld hebben, of niet goed nageleefd wordt. Ja bureaucratisch zal de werknemer daar het wel vinden, maar wat/wie gaat voor? De klant of de werknemer?
een hotfix wordt meestal niet direct een dag erna al uitgebracht. dus denk dat ze er al mee bezig waren.
Als die gasten van MS het proberen na te bootsen en het hun niet lukt om dezelfde fout te krijgen moeten ze dan anders doen?

Je kunt je vraagtekens bij MS stellen, maar je kunt ook vraagtekens bij het onderzoek dat jezelf hebt gedaan stellen. Als ik even charcheer, je stuurt een mail en daarin zeg je enkel hij doet het niet. Is het moeilijk om het na te gaan of het ook werkelijk zo is. Laat staan dat je zelf dezelfde opstelling maakt.
Wat loop je nou te zeuren. Je stuurt een mail dat je een probleem hebt. Vervolgens geven ze aan dat ze het niet kunnen reproduceren. Het einde van het verhaal is dat de volgende dag al een fix beschikbaar was. Echt heel veel beter kun je niet verwachten. Wat dacht jij dan? dat je binnen 5 minuten een patch via de mail krijgt ofzo? Daarnaast geef je zelf aan dat het probleem makkelijk te reproduceren was aangezien het altijd plaats vond in een specifieke situatie. Blijkbaar heb je niet aangegeven wat de bug nou precies was, dus is het ook niet gek dat ze verder niets met je vraag konden.
Eerder denk ik dat de mailtjes bij een grote massa onopgeleide werknemers komt die mails op belangrijke punten selecteert, en dat commentaar op de besturingssystemen wordt bestempeld als "Niet urgent" :+
Microsoft reageert niet op een aantal e-mails die ik heb gestuurd met betrekking tot fouten in Vista. Nota bene op hun eigen, hier speciaal voor in het leven geroepen website. Een klacht niet beantwoorden, is dus blijkbaar ook geen klacht in de statistiek.
misschien dat er zoveel klachten zijn dat ze gewoon niet overal op reageren. Of je hebt fouten aangemeld, die ook door anderen zijn aangemeld en verzameld worden om in 1x (bijvoorbeeld via een blog) beantwoord te worden.

geen klacht in de statistiek.
Ach, je hebt leugens, grote leugens en statistieken. Toch? :+
Toch wel fijn om te weten dat microsoft pretendeerd om druk bezig te zijn met beveiligingen, dit soort info naast zich neerlegt.
De eerste zin van het artikel is:
Microsoft werkt aan een patch om een vijf jaar oud lek in Windows opnieuw te dichten.
Waar haal je dan vandaan dat Microsoft dit naast zich neerlegt. Volgens het artikel zijn ze gewoon bezig het lek te herstellen. Er staat wel dat ze geen feedback hebben gegeven aan de hacker, maar dat is iets anders als er niets aan doen.
Nou, dat haalt hij uit het feit dat deze bug al 5 jaar oud is, eerder bij Microsoft bekend was, Microsoft eerder beweerde deze bug getackled te hebben maar dat slechts gedeeltelijk gedaan had...

Dus ja: Microsoft lijkt in dit geval echt alleen maar gedaan te hebben alsof ze deze bug probeerden op te lossen...
De bug was in ieders optiek opgelost. Geen sprake van deels... veel later blijkt dat er kennelijk een stuk nog steeds niet goed was. dat heeft vijf jaar geduurd!!
Kun je nauwelijks MS verwijten lijkt me. Daarnaast reageren ze nu meteen en lossen het lasnog op. Laat maar als je niets weet kun je he took niet oplossen. Jij lijkt uit te gaan van kwade wil. Misschien moet je jezelf eens de vraag stellen wat het grootste software bedrijf ter wereld voor baat zou hebben bij het bewust openlaten van bugs.
De hacker zegt Microsoft al eerder per e-mail op het lek te hebben gewezen, maar Beau Butler zou nooit enige feedback hebben gekregen.
Wat ik daarnaast ook nog grappig vind is dat MS zo hard heeft lopen roepen dat Vista een volledig nieuw OS is.
Halverwege zijn ze zelfs op nieuw begonnen met een van de grond af nieuw OS en ze hebben daar bij de backwarse compatibiliteit zo ver gegaan dat ze zelfs de buggen backwaards compatible zijn :+
knap toch... dat lukt lang niet iedereen ;)
Volgens mij was het de bedoeling dat de Vista code compleet opnieuw zou worden geschreven, maar is het nooit (of niet meer dan enkele procenten) gebeurd vanwege deadline(s).
edt: typo

[Reactie gewijzigd door Grrmbl op 26 november 2007 12:44]

Lijkt me ook sterk dat ze alles wat ze hebben opgebouwd de prullenbak in mikken en weer bij void main() beginnen.
Er zullen vast onderdelen zijn die redelijk nieuw zijn gemaakt, maar helemaal opnieuw beginnen zou ook onzin zijn, want zo verschrikkelijk was het vorige produkt niet.
Het proleem is alleen dat windows XP eigenlijk al een grote berg patches op windows NT (of eerder) is. Wat ze graag bij Vista wilde doen (of dat ook gelukt is weet ik niet) is alle pleisters eraf trekken en gewoon wat cement storten.

Oke, beetje slechte metafoor. Probeer em zo:
Ondertussen heeft de dijk die Windows heet zoveel gaten erin dat de ene kant vol staat met jongetjes met hun vinger in een gat. Wat ze willen doen is een nieuwe dijk bouwen zodat die jongetjes naar huis kunnen. =)
Halverwege zijn ze zelfs op nieuw begonnen met een van de grond af nieuw OS en ze hebben daar bij de backwarse compatibiliteit zo ver gegaan dat ze zelfs de buggen backwaards compatible zijn
Het is dus net andersom. Ze wilden oorspronkelijk een belangrijk gedeelte van Vista vanaf de grond af aan opnieuw opbouwen, met name belangrijke zaken zoals een groot gedeelte van de kernel en het filesysteem. Na een paar jaar werk en zelfs een beta versie van Longhorn hebben ze echter besloten om toch maar Windows Server 2003 als basis te nemen (die op zijn beurt weer gebaseerd is op Windows XP). Daarom zijn veel bugs dus "backwards compatible".
In het geval val Apple is het natuurlijk gewoon een foutje wat altijd eens kan gebeuren. In het geval van Microsoft is er natuurlijk altijd kwade opzet in het spel. :+
@Playboy Mansion


Zo ken ik er ook nog eentje

[Reactie gewijzigd door Gepetto op 26 november 2007 15:28]

Vind het wel leuk om te zien dat het weer eens zover is. En dat Microsoft geen gehoor heeft gegeven aan het e-mailtje kan ik me ook wel voorstellen. Hoeveel van die e-mails zullen ze per dag krijgen?
Het maakt niet uit hoeveel van die mails ze krijgen. Als ze ze niet kunnen verwerken, zou ik toch iemand extra inzetten of een Bug tracker, zoals Bugzilla of Jira. Dit werkt voor heel veel projecten goed. Maar helaas, Microsoft en openheid gaan nu eenmaal niet samen.
Een bugtracker is ook niet alles.
Zo wil Firefox 3 in productie gaan met nog 500 blokkerde bugs.
Er zijn er nu nog 700 en ze gaan nog twee keer een slagje doen waarbij de ontwikkelaars de 10% belangrijkste bugs gaaan oplossen stond op de NY Times site.

Er is gewoon geen ongelimiteerde capaciteit voor het oplossen vaan alle gevonden bugs. Bij MS zullen ze zich allereerst concentreren op bugs waarvan een exploit beschikbaar is omdat hun gebruikers dan veel risico lopen.
Een bug waarvoor nog geen exploit beschikbaar is en waar maar een deel van de Windows populatie (<5%?) door getroffen kan worden zal dus al heel snel een lage prioriteit krijgen
Je denkt dat ze geen bugtrackers hebben daar? :)

Wat openheid betreft, Microsoft was een van de eerste grote IT bedrijven die al haar productteams liet bloggen over hun voortgang. Ze zijn juist de laatste jaren van een van de meest gesloten softwarebedrijven naar een van de meest open softwarebedrijven gegaan.
Microsoft heeft ook bugtrackers, in de (vaak private) beta's op Connect. Daar kun je bugs indienen :)
Is dit die IIS bug? :p
Ja waarschijnlijk daar kon je inderdaad mooie dingen mee :) ff cmd.exe uitvoeren en wat commando's als format c uitvoeren 8)7
format c doet t toch niet als dat de drive is met de win install waar je dan mee werkt :+
Maar wel genoeg om de win install corrupt te laten worden en anders is er nog altijd het met de hand belangrijke bestanden verwijderen. Dan het commando shutdown te geven :)
Hmm, een DAG geleden zag ik iets dergelijks met Mail van Apple. Waar ook een paar jaar na dato nog eens een bug opduikte ^^
De Amerikaanse edities van het OS blijken ongevoelig voor de bewuste aanval, maar veel andere landen beschikken mogelijk wel over Windows-versies die kwetsbaar zijn.

Hm ben ik blij dat ik een Amerikaanse versie heb :-)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True