Microsoft gaat informatie over lekken eerder vrijgeven

Microsoft gaat vanaf oktober fabrikanten van beveiligingssoftware sneller informeren over beveiligingslekken in zijn software. Het bedrijf zal zijn Mapp-initiatief officieel op de Black Hat USA 2008-hackconferentie aankondigen.

Microsoft-logoMakers van beveiligingssoftware die zich aanmelden voor Mapp, kunnen al vóór Microsofts maandelijkse 'Patch Tuesday' informatie krijgen over de beveiligingslekken die gedicht zullen worden. Het doel van het programma is de beveiligingsbedrijven te helpen met het vroegtijdig reproduceren van beveiligingslekken, het aanpassen van virusdefinities en het opsporen van virussen die gebruik maken van een nog te patchen exploit.

"De tijd tussen het bekendmaken van de Patch Tuesday-fixes en het opduiken van exploits wordt steeds korter en klanten hebben gevraagd om informatie om hier adequaat op te kunnen reageren. Wij willen met Mapp de mogelijkheden voor kwaadwillende hackers beperken", aldus Mike Reavey, hoofd van Microsofts beveiligingsafdeling. Soms weten hackers al binnen enkele uren na het vrijgegeven van de patches exploits uit te brengen. Microsoft heeft nog niet aangegeven hoe lang van tevoren patchinformatie zal worden vrijgegeven, maar volgens de Zero Day-blog op Zdnet zal dat waarschijnlijk 24 uur zijn.

Blackhat 2008 logoMicrosoft heeft wel een aantal criteria opgesteld waaraan makers van beveiligingssoftware moeten voldoen om aan het Mapp-initiatief mee te mogen doen. Zo moeten deelnemers effectieve beveiliging tegen netwerk- of host-based-aanvallen aan Microsoft-klanten leveren, moet de klantenkring voldoende groot zijn en mogen ze geen software verkopen waarmee aanvallen uitgevoerd kunnen worden.

Microsoft zal voortaan ook een 'Exploitability Index' publiceren. In deze lijst zal het bedrijf bijhouden wat de kans is dat bepaalde zwakke plekken in de beveiliging door hackers zullen worden benut. Aan de hand van die index kunnen systeembeheerders prioriteit geven aan patches, wat handig is voor bedrijven die patches eerst willen testen voordat ze op de computers in het netwerk worden losgelaten.

Door Pieter Molenaar

Feedback • 06-08-2008 16:51 14

06-08-2008 • 16:51

14

Lees meer

Google-engineers achter ruim helft bugmeldingen bij laatste patchronde Microsoft
Google-engineers achter ruim helft bugmeldingen bij laatste patchronde Microsoft Nieuws van 13 februari 2013
Exploit van rdp-lek in Windows verschijnt als proof-of-concept
Exploit van rdp-lek in Windows verschijnt als proof-of-concept Nieuws van 16 maart 2012
Microsoft laat bij maandelijkse patchronde gevaarlijk IE-lek openstaan
Microsoft laat bij maandelijkse patchronde gevaarlijk IE-lek openstaan Nieuws van 7 november 2010
Honderdduizend sites verwijderd na hack Britse webhoster - update
Honderdduizend sites verwijderd na hack Britse webhoster - update Nieuws van 9 juni 2009
Microsoft: geen patch dinsdag voor Excel-veiligheidslek
Microsoft: geen patch dinsdag voor Excel-veiligheidslek Nieuws van 6 maart 2009
Tussentijds gepatcht Windows-lek wordt al misbruikt
Tussentijds gepatcht Windows-lek wordt al misbruikt Nieuws van 24 oktober 2008
Microsoft dicht donderdag 'kritiek lek' in alle Windows-versies
Microsoft dicht donderdag 'kritiek lek' in alle Windows-versies Nieuws van 23 oktober 2008
Onderzoekers omzeilen beveiligingsmechanismes Vista
Onderzoekers omzeilen beveiligingsmechanismes Vista Nieuws van 9 augustus 2008
Nieuwe exploit in Flash-player direct misbruikt -- update
Nieuwe exploit in Flash-player direct misbruikt -- update Nieuws van 28 mei 2008
'Microsoft patcht 0day-kwetsbaarheden sneller dan Apple'
'Microsoft patcht 0day-kwetsbaarheden sneller dan Apple' Nieuws van 28 maart 2008
Microsoft: recent lek in Jet-database al jaren bekend
Microsoft: recent lek in Jet-database al jaren bekend Nieuws van 26 maart 2008
Zero-day vulnerability in Citrix ontdekt
Zero-day vulnerability in Citrix ontdekt Nieuws van 11 oktober 2007
'Kritiek lek in Acrobat Reader is gevaarlijk voor Windows'
'Kritiek lek in Acrobat Reader is gevaarlijk voor Windows' Nieuws van 23 september 2007
Mozilla belooft binnen tien dagen kritieke patches -- update
Mozilla belooft binnen tien dagen kritieke patches -- update Nieuws van 7 augustus 2007
Safari-bug ontdekt tijdens hack-wedstrijd
Safari-bug ontdekt tijdens hack-wedstrijd Nieuws van 21 april 2007
Meer producten en artikelen
Netwerk en systeembeheer Microsoft Beveiliging

Reacties (14)

-Moderatie-faq
14
13
1
1
0
0
Wijzig sortering
Pink Fandango 6 augustus 2008 18:39
Ik blijf het naar vinden dat je altijd op die Patch-Tuesday moet wachten voor het gefixed wordt... als je kijkt naar de snelheid van in het verleden verspreidde virii, wormen, ed.

of hebben ze ook emergency fixes door de weeks?
ralphje @Pink Fandango6 augustus 2008 18:51
Het idee is dat op Patch Tuesday alle patches worden uitgebracht, zodat systeembeheerders maar 1x in de maand bezig moeten.

Dat werkt echter alleen als van te voren niet bekend is wat er wordt gepatched, dus de lekken nog niet openbaar zijn. Anders heeft het systeem maximaal 1 maand een groot bekend veiligheidslek.

In dat opzicht moet er, in mijn ogen, iedere keer dat er een lek bekend wordt z.s.m. worden gepatched. De systeembeheerder kan dan zelf beslissen of hij vasthoudt aan een vaste dag in de maand of de meest veilige optie kiest.
Verwijderd @ralphje6 augustus 2008 19:43
Kritische patches werden toch al buiten Patch Tuesday om vrijgegeven?
Verwijderd @Verwijderd6 augustus 2008 20:17
Inderdaad. Meestal binnen de 2 à 3dagen door al de testen die ze er op moeten draaien.
locke960 6 augustus 2008 19:43
Ik snap het nut niet. Wat heb ik er nu aan dat mijn beveiliging software leveranciers (firewall, antivirus, etc) 24 uur voor dat er een patch uitkomt weten dat er een probleem met Windows is :?

Wat kan mijn softwareleverancier in die tijd doen waar ik dan ook nog wat aan heb. ?

En als die al wat kan doen, die 24 uur valt natuurlijk in het niet bij de meerdere maanden die Microsoft nodig heeft om de patch te maken. Al die tijd zijn mijn systemen ook al kwetsbaar.
Verwijderd 6 augustus 2008 21:34
Hoe lang heeft de mensheid er over gedaan coordat het wiel uitgevonden werd ? Maw, het kan nog heel lang duren voor er bullit proof systemen verschijnen en zolang misdaad loont blijven er ijverige bij'tjes op de aarde alles aanvallen.

De wereld staat voor makkelijke keuze's maar het logge regeerapparaat zorgt er voor dat simpele humanitaire zaken niet snel opgelost worden. Zo lang er voedselnood, oorlogen en verdrukking zijn maak ik me niet zo druk om een computer. Iedereen anno 2008 weet best wel wat kan en niet kan voor de veiligheid op de PC. Maarjah, als ik dan in de vuilcontainers kijk en zie hoeveel voedsel er weggegooid word dan vind ik dat een kwalijker zaak :)

Trek het 1 en ander wat uit zijn verband maar de PC is inmiddels ook wel een aardige melkkoe geworden. En dan te bedenken dat de PC er aan zou bijdragen dat er minder papier vebruikt zou worden, wat eigenlijk alleen maar is toegenomen.

Maar goed, MS is nog nooit snel geweest, eerst zien en dan pas geloven :)
volgensbartjes. 7 augustus 2008 01:27
En hoe komen ze achter een lek? toch ook doordat hij misbruikt wordt lijkt me?
Als mensen dan dus pas 29 dagen daarna een patch krijgen in geval van geen-kritische-patch vind ik aardig lang.

Blijkbaar zijn er dan dus wel behoorlijk veel kritische patches, want ik krijg regelmatig etjes bij afsluiten de melding dat mijn computer nog even gezellig blijft na brommen als ik in me bed lig omdat hij nog eventjes alleen wil zijn met zijn patch :P

Dan vraag ik me toch af, als er toch al af en toe een kritische patch doorheen wordt gelaten, kunnen ze daar toch gelijk de kleine patches tot dan toe ook bij stoppen? :S of denk ik nu te simpel? :P
speedydown @cumulus0076 augustus 2008 18:28
er geld nog altijd : je os is net zo veilig als de gebruiker. op een paar uitzonderingen daar gelaten dan
ASS-Ware @speedydown6 augustus 2008 18:33
er geld nog altijd : je os is net zo veilig als de gebruiker. op een paar uitzonderingen daar gelaten dan
Onzin, de beheerder kan de gebruiker over het algemeen genoeg limiteren.
Verwijderd @ASS-Ware6 augustus 2008 19:09
Dat is nog geen garantie... mijn moeder doet QA voor een bedrijf en heeft haar QA report documenten op een share staan waar blijkbaar iedereen met een PC in het bedrijf aan kan. Blijkbaar is daar geen systeembeheerder die de moeite neemt (of uberhaupt weet) om het zaakje dicht te timmeren.

Dit heeft verder niks van doen met de beveiliging van het OS, maar weerlegt je impliciete stelling dat systeembeheerders adequaat zijn om de veiligheid van je bedrijfsinformatie te waarborgen.

Daarbij is het in de meeste thuis-situaties zo dat er geen systeembeheerder is. Als pa een Aldi PC koopt, thuis neerzet en aan het internet knoopt dan is pa meestal ook de zwakste schakel in de beveiliging.


Om maar terug te komen op de stelling dat "het überhaupt nodig is om zoveel lekken te krijgen in je software", software maken, goede software maken, is lang niet altijd triviaal. Zeker niet als het om complexe systemen gaat (zoals een operating system) waar een gigantische berg legacy in zit waar alsmaar op voort borduurt wordt. Bij ons op het werk bouwen we ook op legacy code voort waar security nooit prioriteit heeft gehad, en de software die we op dit moment bakken is ook niet met security in het achterhoofd gebouwd. We maken demo en test software voor intern gebruik, dus zo'n probleem is het niet. We moeten dingen snel prototypen dus er is geen tijd of geld om veel aandacht te besteden aan security.
Maar als ooit iemand het handig vindt om deze software publiek toegankelijk te maken zal er geheid een potentieel security lek in zitten.

Ja, het zou fout zijn om deze software zo maar publiek toegankelijk te maken, maar vanuit commercieel standpunt uit begrijp ik heel goed dat het gemakkelijk en goedkoper is, of zelfs noodzakelijk met betrekking tot time to market, om het stuk software gewoon te recyclen, zo lek als het is.


In het kort, software security kost tijd om goed te implementeren, en dit creeert een spanningsveld tussen development en de commercie. En zolang security geen verkoopbare feature wordt zal de commercie het nooit enorm hoog op de wishlist hebben.
Dus, dames en heren consumenten, ben bereid om wat meer te betalen voor onze software, en wacht geduldig op onze software en laat de lekke software van onze concurenten de komende tijd links liggen, en we zorgen heel graag dat er geen lekken in zitten.

[Reactie gewijzigd door Verwijderd op 3 augustus 2024 02:38]

WPN @cumulus0076 augustus 2008 17:45
er werken mensen aan dus er zitten lekken in..... (of het nou windows of linux is)

voorlopig zal het ook zo blijven

van een andere kant gezien: als er geen lekken in zitten dan hebben hele hoop programmeurs geen werk meer......
Verwijderd @WPN6 augustus 2008 18:15
Dan hebben een hele hoop programmeurs tijd voor nieuwe zaken te implementeren ja :p
WPN @Verwijderd7 augustus 2008 21:48
die nieuwe zaken komen er pas als de business managers denken dat the general population er klaar voor is....

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq