Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 217 reacties

Onderzoekers hebben in de afgelopen week een beveiligingslek gepubliceerd uit onvrede over de manier waarop Microsoft een collega bij Google heeft behandeld. Ze verenigen zich in een collectief dat meer bugs openbaar gaat maken.

In de publicatie van het beveiligingslek is te lezen dat de anonieme onderzoekers zich verenigen in het Microsoft-Spurned Researcher Collective. De researchers willen alle beveiligingslekken die ze in Microsofts besturingssysteem vinden, publiceren.

Aanleiding voor de onvrede is een kleine rel rondom Google-beveiligingsonderzoeker Tavis Ormandy. Hij publiceerde vorige maand een bug, vijf dagen nadat hij Microsoft ervoor had gewaarschuwd. Ormandy wilde met de aangekondigde, snelle publicatie het bedrijf uit Redmond onder druk zetten om een oplossing te vinden. Zijn ervaring was dat Microsoft vaak laks met bugmeldingen omsprong, omdat het beleid is bugs pas bekend te maken als de oplossing al is gevonden. Microsoft reageerde door het gevaar van het lek in Windows Vista en Server 2008 te bagatelliseren. Kwaadwillenden zouden fysiek of al via een ander beveiligingslek toegang tot de computer moeten hebben.

De Google-medewerker laakte het vrijblijvende beleid van Microsoft: "Ik zou genegeerd zijn als ik het bugreport had aangeleverd zonder een werkende exploit." Hij stelde dat Microsofts geheimhoudingsbeleid rondom bugs leidt tot vertraging bij het ontwikkelen van een oplossing. Netwerken zouden zo onnodig lang aan beveiligingslekken worden blootgesteld.

Met de bugpublicaties van het Microsoft-Spurned Researcher Collective proberen de researchers Microsoft onder druk te zetten om het beleid te veranderen. Met de naam van het collectief nemen de onderzoekers Microsofts beveiligingsafdeling MSRC op de hak.

Moderatie-faq Wijzig weergave

Reacties (217)

veel mensen hebben blijkbaar geen idee van de cyclus voor patch releases
  • development overloopt de bugreports, schedueled een fix voor de komende patch,
  • dev implementeerd de fix en forward het naar QA
  • patch word geinstalleerd in QA
  • QA test de patch
  • QA vind nieuwe issues of ziet dat iets niet correct gefixed is en forward ze opnieuw naar dev
  • Dev werkt opnieuw aan de patch en forward opnieuw naar QA
  • enzovoorts todat QA een acceptabel resultaat behaald
  • de patch word gereleased, soms worden dingen naar de volgende patch verhuisd omdat de deadline nabij is & dev niet genoeg tijd had
Dit alles doe je niet op een paar dagen, zeker niet als je weet dat het om zeer complexe materie gaat.
Ze kunnen die patch niet gewoon buitengooien zonder alles tot in detail getest te hebben.
QA is binnen microsoft enorm. Een fix van 5 minuten minimaal een dag door regressie testen heen moeten alvorens het sein op groen wordt gezet. Daar wordt niet door een mannetje getest in een donker kamertje. :)
Compleet idioot om bugs open en bloot te posten met exploit.

Agreed dat MS support wel de moeite en tijd moet nemen om degelijk te antwoorden op ingezonden bugs, maar is het zeker niet professioneel om dit publiek te maken. Me dunkt dat Google er toch ook niet mee aan het lachen was toen het youtube lek in diverse hoeken tevoorschijn kwam. Niet iedereen update zijn systeem 24/7, zeker niet nu de vakantieperiode begint en zijn de onderzoekers zelf verantwoordelijk voor ALLE schade die ontstaat vanaf het posten van een dergelijke bug.
Mmm.. ik denk dat de mensen die dit doen eerst eens naar het security beleid van Google moeten kijken, want deze werkt hetzelfde als die van Microsoft. Sterker nog, ze geven aan dat bepaalde zaken een vorm van beleefdheid is om zaken niet openbaar te maken.
Het is dus niet echt netjes dat dit nu op deze manier gebeurd door de betrokken personen.
Als ik een ernstige bug ontdek in de account-security van google en dan Google maar 5 dagen de kans geef, denk ik ook dat ze nog niet gereageerd hebben (ivm onderzoek ernaar).

Van de google security pagina:
Het proces waarbij informatie pas openbaar wordt gemaakt nadat de verkoper ervan op de hoogte is gesteld, is in de industrie gebruikelijk en staat bekend als ’Responsible disclosure’. Responsible disclosure is belangrijk voor de ecologie van het internet. Het stelt bedrijven zoals Google in staat gebruikers te beschermen. Zwakke plekken en beveiligingsproblemen kunnen worden opgelost voordat ze worden ontdekt door mensen die er misbruik van maken. Iedereen die beveiligingsproblemen onderzoekt en meldt, wordt aangeraden kennis te nemen van de eenvoudige beleefdheidsprotocollen en andere protocollen met betrekking tot Responsible disclosure.

Samenwerking maakt internetgebruik veiliger voor iedereen.

Google neemt beveiliginsproblemen serieus en zal verifieerbare problemen zo snel mogelijk oplossen. Sommige van onze producten zijn complex. Het aanpassen daarvan kan dan ook meer tijd in beslag nemen. Wij reageren zo snel mogelijk op daadwerkelijke problemen waarvan op de juiste manier melding is gemaakt. Waar mogelijk sturen wij je een bevestiging van je e-mailbericht; wij onderzoeken het probleem en lossen het zo snel mogelijk op
bron: http://www.google.com/corporate/security.html
Als ze het allemaal zo goed menen en vinden dat ze MS moeten en kunnen treiteren op deze manier is het toch geen punt om het niet anoniem te doen? Of hebben ze de bugreport ook anoniem gedaan? Beetje stoer doen terwijl je je niet wil laten zien. Ik heb een 4 jarige dochter die dat ook doet.

Ik denk dat ik wel weet waarom... iemand die dit soort dingen doet komt niet meer aan de bak. Als een van mijn medewerkers zoiets zou doen staat ie binnen een paar minuten buiten de deur. Zoeken we daarna wel een reden om hem te ontslaan.
Inderdaad, als ze toch dit probleem willen aankaarten lijkt het mij een eerlijker alternatief om hun bug reports (en eventueel van andere submitters) privaat bij te houden op hun site, en wanneer de fix voor deze bug uitkomt, het volledige bug report publiek te maken, en hoelang het geduurd heeft voor elke bug om een patch uit te brengen.
Je krijgt dan (na x aantal bugs) een webpagina die aantoont wat de gebruikelijke duur is vanaf de melding van een bug tot de oplossing hiervan.
Dit geeft geen directe hinder aan microsoft, maar stelt hun bug management systeem wel in een slecht daglicht (er vanuit gaande dat het effectief lang duurt voor elke bug ;)) wat effectief het signaal geeft dat de "Microsoft-Spurned Researcher Collective" zegt te willen geven. Namelijk: doe iets aan uw bug fixes. Dit is een stuk objectiever en volwassener dan na 5 dagen een hoop herrie te maken over 1 specifieke bug.

EDIT: Als ze toch nog hun bad-boy imago willen behouden, kunnen ze dan nog onopgeloste bug rapporten (beperkt) publiek beschikbaar maken als er geen oplossing is gekomen binnen een redelijke termijn (ik ga hier geen concreet tijdstip op plakken, aangezien ik niet weet wat de gemiddelde duur is in een bedrijf met een omvang zoals Microsoft)

[Reactie gewijzigd door RubenBentein op 7 juli 2010 17:19]

Aah,
De Open-Scource manier van bugfixen word nu ook op MS Closed-Source toegepast.

Hiermee bedoel ik: Iemand vind een bug, en anderen gaan proberen deze te fixen aan de hand van de publicatie.
Enige verschil is hier dat MS niet het voordeel van de community erbij heeft.

Leuke ontwikkeling vind ik dit.
Dat is niet helemaal waar. Veel opensource projecten vragen bij het melden van security-problemen om dat te doen via een mailtje naar het beveiligingsteam, ipv het toevoegen van een bugreport. Vaak wordt zo'n bug geheim gehouden tot er een work-around of bugfix voor is. PHP heeft in het verleden ook vaak commentaar gekregen op de manier waarop ze met dat soort bugs omgingen (erg laks).

Een bug al naar buiten brengen zonder dat er nog een degelijke work-around of andere oplossing voor is lijkt me toch behoorlijk gevaarlijk. Echter zodra er een mogelijke oplossing aanwezig is lijkt het me ook zaak om beheerders op de hoogte te stellen van dergelijke problemen, zodat je dat soort problemen als beheerder kan ontwijken. Dus de manier waarop Microsoft het doet lijkt me ook niet helemaal netjes.
Verschil is, dat bij OpenSource degene die het probleem vind, het ook kan proberen te patchen.

Bij Microsoft software kan dit echter in de meeste gevallen niet, en dat lijkt me problematisch. Immers, als ze een bugreport met een veiligheids-fix wel accepteren, hebben anderen het werk voor hun gedaan, dus dat is goedkoper voor hun en goed voor het imago van hun software. Maar helaas kunnen mensen buiten Microsoft vaak wel problemen vinden, maar gelijk 'patchen' is een stuk moeilijker.

Het zou handig zijn als de mensen die de fouten vinden op de een of andere manier inzage hebben in broncode, maar aan de andere kant is de kans dan groot dat de broncode weer op straat ligt.
dat is dus het verschil tussen open source en gelicensieerde software. bij open source is er vaak wel support, maar het meeste moet je zelf uitzoeken. ook kan er in opensource bewust bugs en exploits geschreven worden in de broncode. dat kan bij MS niet, of in ieder geval lastiger.

Bij MS is de support vaak wel beter, alleen het nadeel vinden veel mensen dat je overal voor moet betalen.
Vind ik een goede oplossing. microsoft onder druk blijven zetten om te zorgen dat ze doen wat ze moeten doen
En toch... stel je voor bij Microsoft wordt met stoom en kokend water gewerkt aan een pleister tegen een veel ernstiger lek wat nog niet in de openbaarheid gebracht is. Dan komt er een jantje horlepiep die zijn 15 minuten beroemdheid nu wil en dwingt Microsoft zijn minder ernstige lek eerder te patchen.
Is dit wel legaal?
Waarom niet? Ze wijzen alleen maar op fouten die gemaakt zijn door Microsoft. Dat Microsoft deze fouten niet snel genoeg repareert (in de ogen van deze onderzoekers) leidt ertoe dat je die gasten pissig maakt, en tja, dan roep je het wel een beetje op je af.

Anyway, ik kan me geen wetten herinneren die het verbieden om een "howto" op het gebied van exploits te maken. Het uitvoeren van die exploit is natuurlijk weer een ander verhaal..
Is juridisch eigenlijk wel intressant, vanwege medeplichtigheid:
Als de uitvoerende eerst nog niet wist hoe het moest, en vervolgens van jou een stap voor stap uitleg krijgt, denk ik dat je dr ook bij bent.
men zou het illegaal moeten maken om bugrapports te negeren!
Het is echter gelul dat het bugrapport genegeerd wordt. Een termijn van 5 dagen is gewoon niet voldoende voor een compleet OS. Je moet naar de juiste personen, daarna moet getest worden, om te zien of het reproduceerdbaar is, en waar het probleem precies zit. Dan moet het gefixed worden. En dan moet het ook nog eens rigoreusgetest worden. Dat kost gewoon tijd. Alleen het testen zal al minstens een week duren!
Dat klan MSFT allemaal verhelpen door een publieke bugtracker op te zetten.
true, - maar dat is net zo iets als 'altijd liegen, en mensen voor de gek houden, en het dan raar vinden dat mensen niet reageren als er 'ns ECHT iets is...

mensen worden je gedrag beu en zullen harder reageren dan redelijk is, dat heb je dan aan jezelf te wijten.


ja daarmee reef ik aan dat een termijn van 5 dagen misschien onredelijk is maar soms niet perse onterecht hoeft te zijn.
Waarom zou dit niet legaal zijn? Beetje hetzelfde als iemand wijzen op het feit dat ie zn auto niet op slot zet, en hem een aantal minuten de kans geeft om die op slot te doen, als ie dat niet doet loop je gewoon weg bij de auto, vinden er vanzelf mensen uit dat ie niet op slot staat.
Als je een vergelijking gaat trekken doe het dan goed. Je loopt weg bij de auto om vervolgens aan iedereen te vertellen dat die auto open staat. Of het in juridische zin iets uit maakt weet ik overigens niet.
Niet alleen dat, hij heeft ook een werkende exploit aangeleverd. Of te wel een nep sleutel om gebruik te kunnen maken van de auto die niet goed op slot zit... en dat lijkt mij toch wel een tikkeltje illegaal hoor.
Nonsens, er zit een fout in het product van Microsoft en daar kunnen inbrekers gebruik van maken.

Dus meer zoiets van: Toyota maakt fout bij autosloten waardoor je ze met enige moeite mits je naast de auto kan staan, met een paperclip open kan friemelen. En zolang de rapporteur geen werkende oplossing voor Toyota's fout rappoteert, doet Toyota er niets aan.
Wie ooit overigens zowel een Starlet uit '89 en '91 heeft vergeleken, weet dat de eerstgenoemde met een touwtje opengemaakt konden worden (was algemeen bekend, vooral bij boevengilde), maar de tweede was zo lastig dat zelfs de wegenwacht het met mijn toestemming na 20 minuten amper voor elkaar kreeg hem te openen zonder sleutel, terwijl hij wist welke onderdelen waar zaten (ontwerp was 'open').

Hopelijk gaat Microsoft voortaan ook zo te werk, dus dat hackers met tools, toestemming en broncode het voortaan ook maar amper meer lukt.
De vergelijk loopt mank op het punt dat Microsoft er niets aan doet.

Ze doen er wel iets aan, ze brengen alleen nog niet naar buiten dat er een bug is.

Oftewel, ze fixen het voordat ze er mee naar buiten komen, zodat voorkomen wordt dat er massaal misbruik van wordt gemaakt.


Ter vergelijking met je toyota:
iemand meldt dat ze met een touwtje open kunnen bij toyota. Deze kijkt ernaar. Op het moment dat ze een terugroepaktie doen om het te fixen, maken ze pas bekend wat er mis is, ter voorkoming dat pietje op de hoek het bij jou auto gaat proberen.


Op het moment dat er iets zwaar mis is op punt van security brengt Microsoft dit regelmatig binnen enkele dagen naar buiten, met een tijdelijke oplossing erbij.
Dat dit een paar dagen duurt, heeft te maken met het controleren van de bug, het nabootsen van het probleem en het onderzoeken wat voor gevolgen het heeft. Daar moet vervolgens een prio aan gehangen worden. De prio bepaald de vervolgstappen.
Er wordt vrolijk op losgespeculeerd, maar de vergelijkingen die hier geponeerd worden bieden verwarring in plaats van inzicht en zijn sturend in plaats van accuraat. De betreffende onderzoekers hebben details van een bug gepubliceerd. Misschien zijn ze per auto naar hun werk gegaan, maar daar houden zinnige relaties op. Plankton123 betoogt volstrekt terecht al dat de feiten niet dusdanig ingewikkeld zijn dat ze vergelijkingen vergen om begrepen te worden.

Een sluitend bewijs dat hun handelen illegaal was, bestaat niet uit 'lijkt me' en 'een tikkeltje illegaal'. Het bestaat ook niet uit analogieën, daar de wet doorgaans zoveel mitsen en maren kent dat het kleinste afwijkende detail de situatie volstrekt kan veranderen. Het bestaat uit een relevante wettekst die een en ander verheldert. Ik durf met aan zekerheid grenzende waarschijnlijkheid te zeggen dat zo'n wet niet bestaat en er derhalve bijzonder weinig condities nodig zijn om te stellen dat het openbaarmaken van bugs geheel legaal is.
Je maakt een terecht punt over de complexiteit van wetgeving, echter heb ik bij alle hier genoemde analogieen gemerkt dat eigenlijk niemand 'em precies goed heeft.

Er wordt namelijk een punt over het hoofd gezien, namelijk dat de consument (of het bedrijf) geen idee heeft van het feit dat hun systeem onveilig is.

Wat mij betreft is de juiste analogie:

Er is een type auto waarbij het erg makkelijk is voor een dief om het raam naar beneden te krijgen en de auto te jatten. Dit is mogelijk al bekend bij de producent van de auto, maar dat is onzeker.

De fout wordt gemeld bij het bedrijf van de auto. Er wordt ook gemeld dat ze fout zeer snel publiekelijk bekend gemaakt zal worden omwille van het risico van diefstal.

Dit maakt 't juist wel netjes om het te melden, al is het alleen maar om ervoor te zorgen dat alle bezitters van de auto weten waar ze aan toe zijn.
Ik mag toch tegen me buurman ook zeggen dat zijn buurman (nee niet ik zelf maar de andere kant :P) ze raam nog open heeft staan... Hier staat ook iets open en dat mag heus wel hardop gezegd worden!
mmm.. en wat denk je dat je buurman er van vind dat jij tegen de hele wereld schreeuwd dat zijn raam open staat en dat hij een maand met vakantie is?
Nog beter: Het is zelfs verboden om je auto niet op slot te zetten. Je zou dat niet denken maar is dus echt zo. In dit licht gezien zou het dus aan softwaremakers verboden moeten zijn om een "deur" te laten openstaan.
Incorrecte vergelijking:

Als de softwaremakers een deur op laten staan, zou de fabrikant/maker van het product dat gedaan hebben, en niet de gebruiker.

Dan zou Automerk A dus bijvoorbeeld een sleutel hebben waar alle auto's van merk A mee geopend kunnen worden.
Lijkt me niet. Degene die er misbruik van maakt en de auto jat is wel fout. Tegen iedereen vertellen dat jou buurman zijn auto niet op slot zet lijkt me juridisch geen probleem. Maar blijft niet netjes ;)
Voor een goede vergelijking wordt een auto fabrikant gewezen op het feit dat het slot niet goed is.
En worden vervolgens door het probleem te publiceren de eigenaren van de auto's op het risico dat ze lopen gewezen.
Dàt is inderdaad de enige juiste vergelijking:
Je koopt (bijvoorbeeld) een Toyota Prius. Je komt er achter dat de sloten extreem gemakkelijk te kraken zijn door een fabrikagefout. Je stelt Toyota hiervan op de hoogte omdat:
- Jouw auto een risico loopt;
- Alle andere (eigenaren van) Priussen een risico lopen;
- Jij vast niet de eerste of de laatste bent die deze fabrikagefout op zal merken;
- en (zeer belangrijk) jij niets kwaads in de zin hebt maar dat er hoogst waarschijnlijk een hoop types zijn die wel misbruik van deze fabrikagefout willen & zullen maken.

Wanneer Toyota na jouw bericht simpelweg niet reageert en dus het risico negeert dan kan je zulke info publiceren. Dit met het oog op algemeen belang: waarschuwen van andere Prius eigenaren en Toyota door middel van publicitaire druk te bewegen het probleem alsnog op te lossen.
Dit gedrag is logischerwijs niet 'strafbaar' (in dit geval zou de term 'onrechtmatig' beter zijn). Slechts wanneer je zonder Toyota de mogelijkheid te geven om het gebrek op te lossen, direct dit soort info publiceert, ben je onrechtmatig bezig. Daarmee kan je namelijk schade toebregen aan zowel Toyota als (meest voorname probleem) de andere eigenaren van een Prius.
Om nog precieser te zijn, toyota zegt dat ze het probleem bekeken hebben en het niet ernstig vinden omdat je fysiek naast de auto moet staan om het toe te passen.
Dat is toch wat anders dan, dat jij bij de auto staat te wachten en dit roept:

Hey ik heb je gewaarschuwd je hebt je auto niet op slot gedaan en nou ga ik op straat schreeuwen dat jouw auto niet op slot is?
Vergelijking klopt niet helemaal. De vergelijking klopt pas als je bij het weglopen ook aan iedereen verkondigd dat die auto niet op slot staat.
Kappen met altijd de auto vergelijkingen. Dit is een bugreport geen auto.
Zo moeilijk is dit toch niet dat je er vergelijkingen voor nodig hebt om te begrijpen? :P
Ik moest hardop lachen om je reactie :D

Maar, je hebt gelijk. Een bugreport/proof-of-concept-exploit is bijv. ook iets dat je kunt googlen, een auto niet :+

In dat geval zou je namelijk ook een soort loper-sleutel kunnen maken voor de auto (die wel afgesloten is, maar niet goed), en op internet publiceren waar je die kunt vinden.

damn, doe ik het toch nog! :P
Eigenlijk is het dan het publiek maken van een manier om in te breken in een bepaald merk auto nadat je de fabrikant al op de hoogte hebt gesteld van de manier.

Verder valt het niet te vergelijken, je kunt een auto niet misbruiken om massaal post te versturen naar iedereen of om aanvallen te doen op andere auto's ;)

Het is wel zo dat ze met het bekend maken van deze exploits internet criminelen weer handvaten geven om windows systeemen te hacken. Deze systemen kunnen onderdeel worden van een botnetwerk of er worden persoonlijke gegevens van buit gemaakt etc. etc.
Wat nou, kofferbak vol folders en een stukje rijden met de bak open. Aanvallen op andere auto's hoef ik niet uit te leggen gok ik. :P

Maar zonder gekheid, deze houding heeft Microsoft al jaren, en al jaren wordt hier over geklaagd. Er zijn al vaker bugs aan het licht gekomen die al sinds Windows NT aanwezig waren en bij Microsoft al lang bekend, maar oplossen?
Ho maar, zolang niemand het weet/misbruikt (voor zover ze weten) maakt het ze niet uit.
@Killemov:
Los van het wel en niet nodig is: Wat denk je wel niet dat jou of iemand anders het recht geeft om te eisen dat ze er mee ophouden?
Daarnaast: waarom stoor je je er überhaupt aan?

[Reactie gewijzigd door MaZeS op 7 juli 2010 15:33]

damn, doe ik het toch nog! :P
dan haal je het toch gewoon weg? :|

[Reactie gewijzigd door White_Collar op 7 juli 2010 14:11]

offtopic:
Geloof 't of niet;

maar je kunt een boete ontvangen voor het niet op slot zetten van jouw auto!!

Onbeheerd achterlaten van goederen van grote waarde, is uitlokkend voor junkie-x, en daarom strafbaar voor jou.

(jah nederlands is gek)

[Reactie gewijzigd door himlims_ op 7 juli 2010 14:18]

alleen maar als een rechter oordeelt dat het daarmee jouw intentie was een diefstal opzettelijk uit te lokken hoor... bijvoorbeeld om de verzekering uit te laten betalen of dat vervelende buurtschoffie een loer te draaien, en te laten arresteren. dan ben je volgens artikel 48 van het wetboek van strafrecht feitelijk medeplichtig

Als je gewoon vergeetachtig ben, of gewoon te veel vertrouwen hebt in je medemens is er helemaal niets aan de hand hoor... (behalve dan dat je vrij snel van je spulletjes af raakt)
Waarom niet? Zolang je er geen misbruik van maakt is het volstrekt legaal.
wat heeft misbruik met legaliteit te maken? Als er misbruik van gemaakt wordt, wordt het dan ineens illegaal?

Publiceren mag, maar accepteer dan ook de gevolgen van je daden. Een klokkeluider ben je pas als je eerst intern iets aankaart en er niets mee wordt gedaan. Dat is bij Microsoft niet zo.

Beetje flauwe actie dus van wat lui die wat aandacht willen.
Hoezo wordt er iets bij Microsoft aan gedaan ? Ze leggen het in het juiste postvakje en stoppen het in de grote database voor bugs, totdat het ooit eens misschien weer bovenaan de prioriteiten lijst komt of niet.

Het gaat deze klokkenluiders dus gewoon om het feit dat het te lang duurt voordat er iets gebeurt en daar valt wel iets voor te zeggen. We kennen inmiddels wel genoeg voorbeelden dat Microsoft al tijden van bepaalde bugs af heeft geweten zonder dat er iets aan werd gedaan.

Laat ze maar eens wat meer personeel inzetten voor het oplossen van bugs als dat nu niet lukt met de huidige bezetting, het is niet zo dat ze daar geen geld voor hebben.
Ik kan me voorstellen dat Microsoft aan sommige bugs meer prio geeft dan aan anderen.

Als de bug alleen te misbruiken is door eerst fysiek toegang te krijgen tot het systeem, kan ik me voorstellen dat je er een lagere prio aan geeft en dat je er dus langer over doet om deze te fixen.
Ja inderdaad kan ik me ook voorstellen dat Microsoft dat doet, maar ik kan me ook voorstellen dat Microsoft eens wat meer prioriteit geeft aan de nazorg van haar producten.

Het gaat hier inderdaad om een enkel geval, maar het is een van zoveelste "uitzonderingen". Ik loop vijvoorbeeld zelf ook nog dagelijks tegen allerhande bugs aan in Microsoft software en dan heb ik het niet alleen over security bugs, maar ook van die bugs die al sinds Windows 95 gemaakt en herhaald worden. Er zijn genoeg zaken die nooit gefixed zijn omdat men andere prioriteiten heeft.

En tevens is het bekend dat alle bugs (die apart niet zo gevaarlijk zijn) tezamen wel een compleet lek mandje kunnen maken.
Een local to root exploit is minstens zo ernstig als een remote userexploit, al was het maar omdat de combinatie van de twee bovenstaanden dus een remote root exploit is. Let op dat het niet gaat om een console-only eploit, maar om iedereen die user access heeft.
Publiceren mag, maar accepteer dan ook de gevolgen van je daden. Een klokkeluider ben je pas als je eerst intern iets aankaart en er niets mee wordt gedaan. Dat is bij Microsoft niet zo.
Heb je de samenvatting van het artikel uberhaupt wel gelezen? De bug is gemeld bij Microsoft maar die wilden er niks mee doen en deden alsof het allemaal wel meeviel, als reactie daarop is de bug nu dus gepubliceerd, en gaat dit voortaan vaker zo gebeuren.

En wat Tsurany waarschijnlijk wil zeggen is dat het publiceren van veiligheidslekken niet legaal is, maar dat het illegaal wordt als je ze zelf actief gaat gebruiken om systemen te rooten of wat dan ook. Dat mag namelijk niet.
Super als je een bug meldt, maar daar stopt het toch echt. Je hebt je best gedaan nu is het aan Microsoft om te zien wat ze met je melding doen.

Klinkt allemaal een beetje als een bende kleine kinderen die gaan stampvoeten in het midden van de winkel omdat het zijn zin niet krijgt.

Ik waarschuw ook heel vaak mensen voor mogelijke problemen, indien ze dan niet luisteren of de verkeerde conclusies trekken is dat hun probleem niet het mijne.
Ben ik het niet mee eens, in het geval van een bug in een stuk software is het niet de fabrikant die uiteindelijk de schade lijdt maar de gebruiker. Dus het 'zie maar wat je ermee doet, jouw probleem niet het mijne' gaat m.i. dan ook niet op hier.

Ik vind dat je wel degelijk van een fabrikant mag verwachten dat gemelde bugs serieus worden genomen, en dat je als uiterste pressie middel ook best bugs openbaar mag maken als dat niet zo is. Nu de hele wereld weet dat deze bug bestaat kan Microsoft niet anders dan hem oplossen.
Hmm, dus al die mensen die ik uitleg dat geen wachtwoord hebben of iets stompzinnigs als "geheim" erg onverstandig is die moet ik dat voortaan duidelijk maken door een uurtje later (in een uurtje moet je toch wel je wachtwoord gewijzigd kunnen hebben?) hun inloggegevens te publiceren?

Nee sorry, maar dit is dus echt not done. Het is een feit dat software bugs bevat en het is een feit dat niet alle bugs even ernstig zijn en dat bij het bepalen hoe ernstig een bug is ook meeweegt hoe makkelijk de bug te misbruiken is en of dat al gebeurd en zoja, op welke schaal. Die inschatting moet toch echt gedaan worden door de maker van de software en niet door een of andere egotripper die, ik zou zeggen welhaast onvermijdelijk, zijn eigen gevonden bugje natuurlijk de Grootste Bug Ooit vindt.

Bedenk je ook dat zélfs als Microsoft binnen 5 dagen de bug bevestigd, getraceerd en opgelost heeft (en de oplossing ook al door de QA gehaald heeft) het nog véél langer duurt voordat alle klanten netjes de fix geïnstalleerd hebben. Sommige klanten zullen dat zelfs pas na 2 service packs doen omdat die altijd één service pack achter willen lopen en verder geen updates installeren. In die tussentijd lopen al die klanten dus een risico omdat deze meneer het nodig vond de bug te publiceren...
En laat de ontdekker nou net een Google medewerker zijn en laat Google nou net hebben gezegt dat werknemers Windows beter kunnen droppen en voor Mac OS of linux kunnen kiezen. Want dat is totaal geen security through obscurity. Het feit blijft gewoon dat 5 dagen veel te kort was. Tuurlijk moeten bugs zo snel mogelijk gefixed worden maar in 5 dagen kan nooit.

Wat ze nu doen door de bugs niet te reporten aan microsoft is gewoon stom en brengt ook alleen maar bedrijven in gevaar. Want neem nou die fix die de google medewerker had meegeven. Die bleek achteraf helemaal niet te werken en zijn de systems dus nog steeds in gevaar.

Ik ben het helemaal mee eens als microsoft er te lang over doet om de bugs dan te publishen maar 5 dagen is gewoon te kort.
Hier ga je de mist in, het is niet dat ze niet binnen 5 dagen reageren en ook niet omdat die niet binnen 5 dagen was gefixt, dat is logisch.
Neej, Microsoft geeft juist als tegenreactie op de bug, die toch echt wel problemen zal *kunnen* veroorzaken, dat die niet belangrijk is voor ze. Dat geven ze binnen 5 dagen aan:
- Zijn ze dan zo druk met de opvolger van Windows 7?
- Is Windows zo lek en buggy dat ze nog veel meer (en belangrijkere) bugs hebben te herstellen?
- Denken ze: Zolang het niet algemeen bekend is en de exploit niet door iedereen gebruikt wordt doen we niets?

Dat zijn zomaar een paar vragen die in me opkomen. En in het laatste geval: Als de exploit bekend is, dan ben je te laat. Je moet dan nog (beginnen met) herstellen, en in de tussentijd liggen de systemen van miljoenen bedrijven over de hele wereld bloot aan de exploit.
Naar mijn idee is het dan altijd erg slim (en belangrijk) om potentiële bedreigingen zsm te verhelpen. Als 1 persoon het kan vinden (ws niet de eerste de beste, maar daar gaat het niet om) dan is de kans heel groot dat er nog enkele mensen zijn die het kunnen vinden.
Deze persoon heeft het gevonden en gemeld, om geen misbruik van de bug te maken. Wie zegt mij dat die andere mensen die de bug ook (kunnen) vinden ook zo netjes zijn?

Als je als MS aangeeft dat er een paar andere bugs zijn waaraan wordt gewerkt, dat deze ook mee wordt genomen en dat je de melder bedankt voor het doen van de melding sla je een veel beter figuur dan dat je maar meldt "dat je de bug niet belangrijk genoeg vindt".
@Rutix Het blijft dan jammer dat op dit punt niet geconcurreerd kan worden. Als Microsoft zegt dat 5 dagen te kort is is het gewoon zo. Ook al zou een ander bedrijf het in 4 dagen kunnen. Microsoft brengt fixes en niemand anders daar zit je gewoon aan vast.

En zeg a.u.b. nooit nooit. Een gezonde markt heeft in het verleden een hoop mensen doen fronzen omdat zij dingen onmogelijk achtte.
Gezien je opleiding had ik iets meer realiteitszin verwacht. Het is nou eenmaal een feit dat veel kleine bedrijven ronduit laks zijn met het installeren van updates. En grote bedrijven hebben een eigen QA-afdeling die éérst gaat kijken of die update niet toevallig ergens negatieve effecten heeft op mission critical systemen.

En natuurlijk zou het fijn zijn als Microsoft de beschikking had over oneindige ontwikkelcapaciteit en álle bugs binnen 5 dagen gefixed zou kunnen hebben. Maar in de echte wereld is dat niet zo en zal er voor iedere bug een triage gedaan moeten worden om te kijken hoe belangrijk het is dat die bug snel gefixed gaat worden. Daarin speelt onder andere mee of de bug bekend is en in welke mate er misbruik van gemaakt wordt. En het is hoe dan ook niet aan deze meneer om die twee aspecten even verder op weg te helpen, laat staan om "uit woede" maar nog méér bugs te gaan publiceren.
@i-chat een beetje rustig he...
Je weet niet in wat voor omgeving hij werkt. Ik heb best in omgevingen gewerkt waar patches installeren op een stabiel systeem not done was.
Dit bedrijf had best bestaansredenen, von de privacy van werkgevers en leveranciers wel belangrijk en had daarom ook een closed network ...of zelfs beter nog ... geen netwerk enkel standalone machines voor speciale applicaties / machinesturingen etc etc...
... voor de mensen die mij hierboven zo hard downgemod hebben:

Wat dacht je van wachtwoorden en private keys?
Dat is een vorm van geheim om veiligheid tot stand te brengen.
Geheim houdt in dat je het niet openbaar maakt, obscuur houdt dus.

Zonder geheimen werken de meeste beveiligingssystemen gewoon niet.
Je zou eens moeten bedenken hoe vaak je te maken hebt met beveiligingen die werken op basis van het kennen van specifieke informatie. Alle vormen van authenticatiecodes zijn in de basis security by obscurity. Maar ook het feit dat een microsoft zn sources niet vrijgeeft is security by obscurity. En in princiepe alle vormen van cryptografie.

Ik durf zelfs te beweren dat security by obscurity numero uno goto veiligheidsmaatregel is. 't Zit diep geworteld in de maatschapij en IT.

:Y)

[Reactie gewijzigd door koelpasta op 10 juli 2010 17:09]

Ik vind dan 5 dagen wel een belachelijk korte termijn. In die tijd is de melding misschien nog net bij de juiste afdeling aangekomen.

Het verschil: De eigenaar opbellen dat hij een raam open heeft laten staan, of een briefje bij de supermarkt ophangen dat in de fazantenstraat op nummer 13 een raam open staat.
Mwoah. De random number generator van Debian was na de ontdekking van een bug op 13 mei 2008 diezelfde dag nog verholpen.

Als Microsoft wil dan kunnen zij dat ook. Dat hun prioriteit er kennelijk niet ligt is dan weer een ander verhaal...

--edit-- woeps, als reactie op cdwave bedoeld...

[Reactie gewijzigd door dacoon op 7 juli 2010 15:27]

@dacoon

Kortom, Debian heeft 0,0 testing gedaan of dit consequenties zou hebben, als Microsoft dat zou doen zou je een heel blaat verhaal componeren hoe slecht Microsoft wel niet is omdat ze ongeteste fixes uitstuurden.
@Tijger
Tuurlijk wel!. hangt af van de impact. bijvoorbeeld of de data structuur op de schop moet. En of de fix invloed heeft op de keuzen paden. (if/while/case) Dat was voor deze bug beiden niet het geval.

noem eens 1 Windows bug waar JIJ deze uitspraak op kan doen. kwaliteit is meer dan dom testen. het gaat over het bepalen van de kwaliteit.

[Reactie gewijzigd door daft_dutch op 7 juli 2010 16:29]

En? Als het b.v. 10 dagen duurt om te testen kun je dat ook gewoon communiceren met de ontdekker. Deze kan er dan voor kiezen om te wachten met publicatie.

Nu wordt de ontdekker aan de kant gezet, zijn klanten onbewust van een lek en bij eventuele schade is microsoft niet te bereiken.

Door deze aktie krijgen klanten van MS ineens een hele goede stok in handen mocht de bug inderdaad tot ernstige problemen leiden. Misschien kan dat MS aansporen er snel iets aan te doen.
@tiger, bij debian betaal je dan ook geen honderden euros voor je OS 8)7 dan ligt het voor de hand dat je er ook harder om gaat zeiken als zij bugs openlaten.

[Reactie gewijzigd door tehsojiro op 7 juli 2010 17:13]

Ja, want alle software bugs zijn even makkelijk te fixen natuurlijk !
Je voorbeeld is krom: Microsoft is niet de eigenaar van het huis met openstaand raam, maar de fabrikant van het raam. Als je dan een groot aantal huiseigenaren (windows gebruikers) d.m.v. een briefje in de supermarkt waarschuwt doe je ze juist wél een dienst
Die mening deel je ook nog als inbrekers jouw en 300 andere huizen op 1 dag hebben leeggehaald omdat ze dat briefje hebben gelezen ?
Die inbrekers hebben daar de mankracht niet voor en zullen hun schema heus niet aanpassen.

Het gaat daar allemaal wat trager, een fout in een slot zit er jaren in en is in die tijd al lang bij de inbrekers bekend.

Vergelijkingen accuraat maken is lastig.
In die 5 dagen was er anders wel antwoord van Microsoft dat de bug niet belangrijk was voor hen.

Microsoft (en andere ontwikkelaars) kunnen bugs heel snel opsporen en oplossen, binnen een werkdag moet dit nog kunnen. Een antwoord verwacht ik toch ook wel binnen de 5 dagen (1 werkweek) - als je een support aanvraag instelt krijg je toch ook antwoord binnen 24u bij de meeste bedrijven?
Bwa, je komt zeker de zelfde dag op de juiste afdeling terecht.
Tja, het grootste nadeel van closed source software, je bent van de fabrikant afhankelijk om jouw probleem te fixen. Als jouw systeem een bug bevat kun je er zelf niks tegen doen, alleen maar hopen dat de fabrikant het probleem oplost voordat jouw systeem er door gehackt wordt. Of natuurlijk een ander systeem gebruiken. Overstappen op Linux is gratis, en die lossen hun problemen tenminste wel op...
open source veranderd hier niks aan

Als voorbeeld, nu is windows helemaal open source en we vinden er een bug. Wie gaat die dan fixen en dan ook nog de binary bouwen en distributeren naar alle gebruikers?

Ik denk dat dat niemand gaat doen zonder buiten Microsoft om.
euhhhhhh volgens mij snap je het niet helemaal:

als het opensource is, A dan heb je meer dan 1 ontwikkelaar,
en B kun je vandaag nog met spoed een programmeur (freelancer) inhuren om het probleem op te lossen,

het distribueren is een kwestie van de patch uptream sturen naar de project leiders / hoofd ontwikkelaar - maar dan is jouw probleem al opgelost.

veel meer eigen mogelijkheden dus...

en voor een bedrijf dat genoeg belang heeft bij z'n eigen veiligheid kan zo'n patch best betalen.
@i-chat
Ja joh, je huurt gewoon dezelfde dag nog een freelancer die eventjes in een dag een impact analyse maakt van een systeem bug, een fix formuleert, deze implementeert en uitrolt op al je servers en clients.
Droom maar lekker verder.

Je DENKT mischien dat je de touwtjes in handen hebt, maar hoe goed is de freelancer?
Hoe lang gaatie er over doen en tegen welke prijs?
Een bug melden bij MS is gratis.
Iemand inhuren niet.
Window is er maar in een paar smaakjes (redelijk beheersbaar).
Linux is er in heel veel smaakjes (moeilijk beheersbaar).
Waar ga je uberhaupt met spoed iemand vinden die binnen een paar dagen begrijpt hoe jij je linux netwerk ingericht hebt en snapt hoe de bug tot uiting kan komen in die situatie?
Voor bepaalde classes bugs is dit nog wel te overzien, maar als blijkt dat je op alle machines de kernel moet hercompileren dan ben je nog wel even zoet (alleen al de voorbereiding kan een berg werk zijn).

Ik denk dat als het om bugs oplossen gaat dat microsoft een voordeel heeft.
De open source community kan snel reageren, maar je hebt geen garantie. Mischien is de bug zo obscuur dat er 2 mensen op aarde zijn die een snelle oplossing kunnen bieden. En mischien zijn ze beide op vakantie. Je weet het niet.

Microsoft heeft intern een strakke organisatie en alles wordt gedocumeteerd.
Ze zijn in feite onafhankelijk van specifieke programmeurs met specifieke kennis.
Ze kunnen redelijk snel reageren.
Nou vind ik de verhalen hierboven ook een beetje overdreven.
Als je het goed doet kan je een heftige bug niet binnen een paar dagen fixen.
Je moet weten wat voor gevolgen dat heeft, en dat zul je eerst moeten onderzoeken.
En dat is goed, want je wilt niet dat je door een 'quickfix' (lees hack) opeens geconfronteerd wordt met incompatibiliteit in de toekomst.
Een bedrijf als microsoft kan de impact ten eerste beter overzien (door de uniformiteit) en ten twede een gepastere oplossing vinden.

Ik ben het overigens niet eens met de lakse houding van microsoft. Deze man had mischien serieuzer genomen moeten worden.
Maar ik vind ook dat mensen iets te makkelijk Open Source aanhalen als een betere oplossing.
Als het gaat om een onnoemenswaardige bug die weinig impact heeft dan is de OSS weg wel ok, maar als het dieper gaat dan heb ik liever de eenheidsworst van microsoft.
Microsoft kun je tenminste nog verantwoordelijk houden voor het een of ander.
@koelpasta
Helaas heb je grotendeels ongelijk.

Als je een freelancer inhuurt weet je zeker dat hij aan jou w probleem werkt. Als je hetzelfde probleem meldt bij een closed-source-organisatie heb je geen enkele invloed op wanneer en of er überhaupt wel iemand aan jouw probleem werkt en totaal geen invloed of er een capabele medewerker of een stagiaire met jouw probleem bezig is. Als een freelancer niet capabel genoeg is dan huur je toch gewoon een andere in. Bij open source software kan je altijd nog zelf aan de slag gaan en het probleem lokaliseren en/of oplossen. Bij closed-source software is dit onmogelijk. Dit is nou juist waar het in dit artikel over gaat. Probleem wordt gemeld bij Microsoft en ze doen er niks mee.

Juist Profit-organisaties met winstoogmerk zijn vaak zo geoptimaliseerd dat maar 1 of enkele personen zich met een stukje code bezig houden. En dat die altijd alles goed documenteren is een fabeltje. En ook daar gaan mensen weleens op vakantie.
Bij open-source software wordt heel veel kennis en ervaring gedeeld via het internet.
En is door goed te googelen vaak snel te vinden.

99 van de 100 bugs zijn binnen een halve dag te lokaliseren en op te lossen, inclusief bepaling van de impact. Maar enkele bugs zijn zo ingewikkeld dat je een week of langer nodig hebt om ze op te lossen.
Ik weet niet met welke windows-versie jij werkt, maar de mijne is beslist niet uniform.
Kijk maar eens hoeveel programmertalen Microsoft ondersteund en gebruikt.
Door het principe van object-geoöienteerd programmeren wat in al deze talen wordt toegepast met multiple-inheritance en de mogelijkheid om methods en members onbeperkt toe te voegen aan subclasses kan je ook nauwelijks foutloze code krijgen.

En als je niet weet dat er een veiligheidslek aanwezig is in jouw windows versie hoe wil je dan iemand daarvoor verantwoordelijk houden ?
Jij hebt blijkbaar geen flauw idee hoe het zaakje in de praktijk werkt. Bedrijven kopen incidents bij Microsoft. Als zij een bug melden, dan hebben ze wel degelijk garantie dat er iemand aan het probleem werkt. En als het ernstige genoeg is, dan kan dat een heel team zijn, zelfs 24/7, en juist ook diegenen die het zelf geprogrammeerd heeft. Men heeft ook een direct persoonlijk contact met microsoft. Die support is juist de reden dat bedrijven Microsoft producten gebruiken.

Het idee dat je zelf even met open source software aan de slag kunt gaan om problemen op te lossen is een mythe. Een prachtig luchtkasteel, waar mensen lekker in kunnen wegdromen. De harde realiteit is dat een buitenstaander van geen kant eventjes bugs in code kan oplossen. Het is moeilijk genoeg je eigen code in te kijken wanneer het een lange tijd geleden is dat je het hebt geschreven en bekeken. Andermans code inkijken is nog veel erger...
@koelpasta
Je slaat de plank m.i. totaal mis. Je kunt open source beter vergelijken met wat concurrentie is voor bedrijven; en dat is het in wezen ook.

Bij open source software wordt de service gezien als een los product (lees: iets waarover geconcurreerd kan worden). Bij closed source software heb je het probleem dat je betreft service afhankelijk bent van de software leverancier. Hoe goed of slecht deze leverancier is doet daar niets aan af. Je zit er gewoon aan vast, en dan moet je niet opkijken dat er dit soort clubjes komen.

Je stelt dat Microsoft het beste de bug oplost dus hoef je niet verder te kijken, maar dat is precies het argument waar verkopers mee op de proppen komen. Je staat bij een winkel kraampje en vertelt de verkoper wat je zoekt. Waarop hij antwoord dat hij exact heeft wat jij zoekt voor de laagste prijs. Is dat niet handig 8)7

Nog een voorbeeld. Mijn auto is kapot, ik wil hem laten repareren. Maar de Mazda dealer waar ik hem gekocht heb wil hem pas na 3 maanden maken. Tja, voor mij is dat dan heel simpel. Ik ga naar de eerste de beste garage die het binnen een week doet. En natuurlijk vergaat de wereld als je een niet Mazda certified über 1337 master professional aan het werk zet met minimaal de certificaten banden wisselen en testrit maken. Maar dat heeft mij altijd koud gelaten als ik maar tevreden ben met het resultaat. En alleen jij of ik kan dat beslissen niet de verkoper of "consultant".

Wat ik wil zeggen is: Als Windows open source was geweest had het Microsoft-Spurned Researcher Collective zich gewoon kunnen laten registreren als bedrijf en deze fixes zelf kunnen uitbrengen. Al dan niet tegen betaling, maar dan komt onze grote vriend concurrentie weer om de hoek kijken.
Microsoft kun je tenminste nog verantwoordelijk houden voor het een of ander.
* freaky vraagt zich af of ie nog stopt met lachen voor z'n buikspieren het begeven

Als je MS verantwoordelijk kon houden voor lekken in hun software waren ze allang bankroet geweest... Zo'n beetje ieder software bedrijf schuift alle verantwoordelijkheid af. Maar droom lekker verder.
Al die "problemen" die je opnoemt zijn in fatsoenlijke bedrijven allang opgelost. Beheersproblemen zijn wel de allermakkelijkste problemen uit de informatica om op te lossen.
Ja en dat is nou precies de reden waarom mensen open source software kiezen. Want met OSS kun je gewoon met een concurrent van Microsoft in zee gaan om deze problemen op te lossen. Dan krijg je marktwerking, en mag het bedrijf met de beste, snelste en goedkoopste bugfix het doen.

In een ideale wereld betaal je voor toegevoegde waarde. En niet voor opgelegde beperkingen. Jammer dat de politiek IT lang links heeft laten liggen. Want ze beginnen nu pas met NOiV.
en daar ga je dus mank... het is namelijk niet MS's probleem maar het probleem van miljarden bedrijven die nu gevaar lopen op digitale inbraak oid. het feit dat MS zo laks is is gewoon ongehoord, en zou in sommige situaties zelfs beboet mogen worden (als het te gortig wordt), - het publiceren van bugs of zelfs van werkende exploits mag nooit illigaal zijn, het gebruiken van die zut natuurlijk wil, en natuurlijk ook enkel maar als pressie middel (publiek belang). zodra er andere dan publieke belangen gaan spelen moet de rechter maar beslissen maar tot die tijd juich ik dit soort standvastigheid alleen maar toe.

laat MS maar eens gaan werken voor al die bakken geld die ze krijgen voor hun meuk.
Ik denk niet dat het zo'n goed idee is om exploit code publiceren legaal te maken, al is het alleen om het probleem binnen de perken te houden (ja, security by obscurity werkt als je te maken hebt met massa's klanten/gebruikers etc.).
Stel, microsoft is er achter gekomen dat ze deze bug niet kunnen oplossen zonder een volledig nieuwe versie uit te moeten brengen.
Dan zou ik zeggen dat je door het pubiceren van een exploit voor vele miljarden meer schade toebrengt aan het bedrijfsleven dan door de bug onopgelost te laten.
Ik vind dan ook dat degene die het publiceert daarvoor vervolgd kan worden, hij had namelijk de keuze om het niet of wel te publiceren.
Ik denk niet dat het zo'n goed idee is om exploit code publiceren legaal te maken
Legaal maken? Het is nooit illegaal geweest.

Exploits releasen is onderdeel van full disclosure, en het is bijvoorbeeld dan ook normaal discussiemateriaal op BugTraq. Een willekeurige handvol exploit-aankondigingen aldaar:
... probleem binnen de perken te houden (ja, security by obscurity werkt als je te maken hebt met massa's klanten/gebruikers etc.).
Security though obscurity werkt juist dan niet; hoe groter de groep klanten/gebruikers, hoe sneller mensen geneigd zijn te denken "ach, de rest heeft ook geen problemen, dus waarom zou ik me druk maken" en hoe groter de groep, hoe meer kwaadwillenden geinteresseerd zijn in het vinden van bugs (die niet gefixt zijn).

Het gevolg? Vroeg of laat gaat het mis, en als het mis gaat gaat het goed mis.
Stel, microsoft is er achter gekomen dat ze deze bug niet kunnen oplossen zonder een volledig nieuwe versie uit te moeten brengen.
Dat is echt bijzonder zeldzaam. Het is vrijwel altijd mogelijk om een veiligheidsprobleem in bestaande versies op te lossen met een relatief kleine ingreep (klein in de zin van de hoeveelheid code-aanpassingen).
Dan zou ik zeggen dat je door het pubiceren van een exploit voor vele miljarden meer schade toebrengt aan het bedrijfsleven dan door de bug onopgelost te laten.
Totdat iemand anders het lek vindt die minder positieve bedoelingen heeft. Dan heb je ineens een golf van inbraken of een nieuwe worm-epidemie, met nog veel hogere bijkomende kosten.
Ik vind dan ook dat degene die het publiceert daarvoor vervolgd kan worden, hij had namelijk de keuze om het niet of wel te publiceren.
Dat vind jij; de wet is het tot dusver niet met je eens.
Volledig mee eens, hoe wel ik me voor kan stellen om een bug te melden, een redelijke tijd te wachten en dan publiceren, wat er kan gebeuren of en aangedaan kan worden, is wel zo netjs. Maar om wraak te nemen, of een actie te ondernemen om een reden welke op zich niets met de bug te maken heeft vind ik idd peuter werk.
Dat is onzin in dit geval, de ontdekker van het lek is zelf ook gebruiker van de software. En wil dus dat het lek verholpen word. En wel zo snel mogelijk.
Beetje flauwe actie dus van wat lui die wat aandacht willen.
Dat ben ik dus niet met je eens. Het werd eens tijd dat iemand dit ging doen.

Het is al jaren bekend dat MS bijzonder laks omgaat met security problemen. MS zou hier een groot voorbeeld kunnen nemen aan de Open Source wereld, die hier in volledige openheid mee omgaat en op security gebied ook nog eens beter scoort.

Microsoft heeft het op de een of andere manier in de loop der jaren voor elkaar gekregen dat iedereen zijn mond hield als het een fout van MS betrof, tot ze het gefixed hadden. Doodzwijgen, intimideren, procederen en "stiekum" patchen is regelmatig aan de orde.

Ik snap best dat MS die openheid niet wil en kan betrachten. Waarschijnlijk zou dan pas goed duidelijk worden hoe groot het probleem is en dat kunnen ze in Redmond niet gebruiken.

Gelukkig lijkt een aantal personen de houding van MS beu en doet daar nu iets mee. Ben benieuwd naar het vervolg!
Ja bij Open Source is dat veel makkelijker. Dat fix je gewoon zelf even, geen probleem toch? Oh maar wacht, het is wel handig als je fix dan ook in de codetree wordt opgenomen. En niet alle OS projecten zijn even happig op code die wordt aangeleverd... Ach, dan forken we de boel toch ff? Pfffrrrttttt. Open Source heeft echt wel zijn voordelen maar ga alsjeblieft niet doen alsof het per definitie beter gaat dan bij Microsoft.

En dit soort schandalige afpersingspraktijken moeten maar weer zo snel mogelijk afgelopen zijn. Absurd gewoon.
als een Git maintainter zijn werk niet goed doet kun je er idd donder op zeggen dat er binnen de korste keren geforkt word. en das terecht ook, kans dat je dat in je eentje moet doen is overigens behoorlijk klein. en als je dan toch bezig bent geef me dan gelijk 's een lijstje van 5 OSS projecten die onder jouw probleem leiden (met bronnen)

maar je kunt bij dit soort zaken wel duidelijk zien waar de MS fanboys zitten,

ja ik gebruik ook wel windows (voor sommige dingen, en voor games, maar dat dit soort pressie blijkbaar nodig wordt gevonden, geeft toch wel een bepaald vervelend onderbuikgevoel...

misschien dus gewoon je kop uit het zand en kijken naar de echte wereld
I-chat laten we er effe van uitgaan dat Microsoft binnen de 3 dagen een oplossing heeft. Ga jij deze dan ook los laten op je computerpark zonder te testen ??
Ik verzeker je op een park van 100000 computers en duizenden servers doe je dit niet zo maar effe.

Dus Open-source of closed source doen er helemaal niet toe, de procedure zou in beide gevallen even lang duren (lees weken, zoniet maanden)
Nee, forken is een goede oplossing als je met een bestaande architectuur zit....... |:(
Een bug melden of een werkende exploit publiceren is een groot verschil. Flauw is het inderdaad wel...
Publiceren mag, maar accepteer dan ook de gevolgen van je daden.
Juridisch gezien is het dan nog steeds legaal, maar vanuit sociaal oogpunt gezien ben je wel direct verantwoordelijk voor het instorten van een netwerk door deze exploit. Immers jij (niet jij, maar "jij") hebt een exploit gepubliceerd en aan de hand daarvan is iemand anders gaan hacken. Dan ben jij dus verantwoordelijk. Dat je daarvoor niet vervolgd kan worden, staat er verder los van.

Ook als ik een website maak waarop ik uitleg hoe je bijvoorbeeld van alléén plastic een werkend vuurwapen kan bouwen, ben ik nog niet strafbaar. Pas als je zo'n wapen echt maakt en gebruikt.
Als er misbruik van gemaakt wordt, wordt het dan ineens illegaal?
Ja. Ik mag best de benodigdheden om in een huis in te breken hebben / maken. Pas als ik inbreek ben ik illegaal.

Natuurlijk is het lekken vinden in software legaal. Meestal meld de onderzoeker het eerst aan de fabrikant, maar dat is zeker geen verplichting!

Het is de fout van de fabrikant dat er bugs in de software zitten. Als iemand die dan vind betekend het zeker niet dat diegene strafbaar is. Alleen als die bug gebruikt wordt om iets strafbaars te doen is het strafbaar (best logisch toch?).
Misbruik maken van deze bugs leidt tot computervredebreuk wat in nederland verboden is, en dus illegaal..
Tuurlijk, het is een stukje fatsoen om bugs te reporten naar de maker van de software maar het is geen verplichting. Als ik wil mag ik alle bugs publishen zonder ooit iets te zeggen tegen MS.
Hoezo zou dit niet legaal zijn?
Uhm, lastig. Kennis zo zeer is niet te verbieden. Ik heb best veel kennis over hacken en ik heb ook de tools, instructie video's en dergelijke. Maar dat alles is totaal legaal. Zolang met maar uit proof-of-concept is, of als je het niet misbruikt, zoals het hacken van je eigen router.

Ik denk dat die zelfde redenatie ook op gaat voor bugs. Het is niet strafbaar, maar het (mis)bruik wel. Ik weet echter niet of daar ook al uitspraken over zijn van rechters.

[Reactie gewijzigd door Eonfge op 7 juli 2010 13:53]

denk het niet, microsoft zal MSRC wel als handelsmerk geregistreerd hebben. En je zag hoe dat in Zuidafrika ging met die biermeisjes; handelsmerk trumps all. :+ / :(

[Reactie gewijzigd door mbb op 7 juli 2010 14:55]

Waarom zou het illegaal zijn een bedrijf aan te sporen te beveiligen.
Wat als zo'n bug bepaalde gebruikers zeer kwetsbaar maakt?
Als een productiefout gebruikers van een product 'kwetsbaar' maakt, en de fout wordt geopenbaard, dan is de openbaring slechts de aanleiding. Maar de fout die werd gemaakt door de leverancier in kwestie, dat is de oorzaak.

Als op een website staat hoe je de OV-chip kan kraken en dat gebeurt, dan is die website de aanleiding, maar zijn fouten in het ontwerp van de OV-chip de oorzaak.
dan kunnen die ervoor kiezen hun systeem offline te halen/over te zetten/op een andere anier extra te beveiligen/bepaalde gegevens te blokkeren/etc
Pas op, de volgende keer dat je een spel fout van mij aankaart, dan laat ik je oppakken.
Heb je nu opzet het woord spelfout fout gespeld? :P
Heel slechte zaak, en ik denk dat hier juridisch tegen opgetreden zou moeten worden (EU of VS ofzo?).

Dit zorgt ervoor dat bedrijven wel heel veel risico lopen, met alle gevolgen van dien. Idem voor consumenten natuurlijk, die worden zo aan volstrekt onnodige risico's blootgesteld.

Je moet MS wel de kans geven om bugs te fixen. Binnen vijf dagen een fix verwachten is volstrekt onrealistisch, je moet hem niet alleen schrijven maar ook zeer uitgebreid testen in diverse scenario's. Dit doe je niet in een paar daagjes.

Slechte zaak dus!
"Dit zorgt ervoor dat bedrijven wel heel veel risico lopen, met alle gevolgen van dien. "

Dat is sowieso de prijs die je als bedrijf betaald als je met Microsoft producten werkt.

Komaan de problemen rond Microsoft en bugs (en ook de response time en dergelijke) heeft al heel vaak kritiek geoogst en dat is al jaren zo. Neen dat Microsoft soms wacht tot patch tuesday wacht om bugs te patchen, dat is pas teken van grote verantwoordelijkheid !

Het verbaast mij zelf dat het net zolang heeft moeten duren tot ze eigenlijk tot dergelijke acties overgaan.
Neen dat Microsoft soms wacht tot patch tuesday wacht om bugs te patchen, dat is pas teken van grote verantwoordelijkheid !
Maar dat doet Microsoft wel omdat de klant daarom vroeg. Systeembeheerders werden helemaal gek van al die onregelmatige updates. Zij konden het risico niet inschatten en gingen daarom gelijk op bijwerkingen testen en uitrollen. Met als gevolg dat het gewone werk niet meer te plannen viel en er vaak bij inschoot. Bij een patch tuesday doet Microsoft de inschatting van het risico en weten de systeembeheerders wanneer er wat er op hun afkomt.
Goede zaak juist, er wordt nou eenmaal veel Microsoft software gebruikt, en ook hun software bevat bugs. Als zij ze niet willen oplossen (zelfs als een goedwillende er 1 heeft gevonden), dan wordt die wel door andere (wellicht kwaadwillenden) gevonden, en wordt er direct misbruik van gemaakt.
Ben het inderdaad met Sh4wn eens..
Iemand met goede bedoeling meld netjes een bug zodat MS ermee aan de slag kan voordat kwaadwillenden ermee aan de slag gaan. Het is niet netjes van MS om mensen niet te waarschuwen voor een mogelijke dreiging. Mensen zouden zichzelf kunnen weren voor vreemde gebeurtenissen en alert blijven totdat de bug door MS is opgelost. Nu weet men van toeten nog blazen en MS houdt ook de lippen op elkaar totdat er een oplossing is gevonden. Lijkt me niet geheel logisch.

Stel dat dit in de auto wereld zo zou zijn.. Een bestuurder van auto merk Y type X meld netjes aan de importeur dat, wanneer men de toeren tot boven de 2k trekt de auto spontaan brandt vat. De importeur meldt dit gebrek pas als ze een oplossing hebben gevonden. Dan krijgen we een behoorlijke bende in de wereld dacht ik zo.. 8)7
Jij gaat er hier vanuit dat MS (of de fabrikant) op elk probleem een lage prio hangt.

Ik ga er vanuit dat MS het probleem onderzoekt, er vervolgens een prio aan geeft en dan vervolgstappen onderneemt. Bij grote bugs die grotere problemen met zich meebrengen, geef je het dus een hogere prioriteit.

De bug van de google medewerker had alleen gevolgen als je fysiek toegang had tot de pc of al toegang had via een andere bug. Je moet dus het systeem al in kunnen. Op dat moment zou ik ook de prio tot het fixen laag houden, want de kans dat je aan die voorwaarden voldoet is zeer klein.
Als je dan een paar bugs hebt met een hogere prio, geef je die voorrang.

Het spontaan brand vatten van je auto bij 2k toeren is een hoge prio bug. Zowel de fabrikant als bv. MS zouden in dat geval waarschijnlijk een notitie de wereld in werken dat je dat geval moet voorkomen en dat er aan een oplossing wordt gewerkt.
Zie het 's van de andere kant; als een bug bekend wordt gemaakt voordat er een oplossing is, is er een vele malen grotere kans dat een kwaadwillende hier misbruik van maakt.
MS wil wel oplossen, maar niet de bug-details publiceren voor de oplossing er is, en dat is begrijpelijk. Dat is de kat op het spek binden, want je kan dan op exploits wachten.

Pas zodra er een fix is, dán word de bug bekend gemaakt. Dit dus om het risico te minimaliseren.

Slechte zaak wat deze club wil doen, want MS krijgt zo niet eens de kans om de bug te bekijken en te fixen, terwijl malware-schrijvers wel de kans krijgen exploits ervoor te schrijven.
MS wil wel oplossen
Het probleem is dat de MS niet snel genoeg wil oplossen, aldus de initiatiefnemers. Het publiceren moet MS wat extra impuls geven om dergelijke belangrijke bugs zo snel mogelijk te fixen.
Slechte zaak wat deze club wil doen
Wat deze club wil doen is MS aansporen om bugs sneller te fixen. Ze willen niet bugs publiceren om het bugs publiceren. Er is nog niets gebeurd, de bal ligt nu bij MS. Het lijkt me verstandig dat zij nu een persbericht de deur uit doen waarin ze verklaren dingen beter aan te pakken.

[Reactie gewijzigd door .oisyn op 7 juli 2010 14:13]

Define "snel genoeg"?

Stel, MS released snel een patch. Dan blijkt er opeens weer een ander probleem naar voren te komen waardoor bijvoorbeeld 3rd party software niet meer (goed) werkt, of zelfs BSOD's worden veroorzaakt.

Dan is het hek weer van de dam, "want MS heeft kennelijk niet getest!" en "veel te snel gereleasede patch!".

Het goed testen van allerlei mogelijke combinaties hardware, software en drivers kost nu eenmaal tijd, en het is wel belangrijk dat dat goed en niet overhaast gebeurd.

Daarnaast worden bugs in de Security Advisories gepubliceerd, echter, zonder methode om een exploit ervoor te maken.
Define "snel genoeg"?
Misschien: Voordat ze een product met fouten erin gaan verkopen?

In de wereld van de fysieke producten is het zo, dat als de fouten worden gevonden als het product al op de markt "gereleased' is (de fase die volgt op 'testmarkt'), dat het dan per definitie als te laat wordt beschouwd.
Ach man, zout toch op, software van meer dan 10 jaar oud die ook nog eens Open Source is bevat soms nog (ernstige) bugs.
soms, maak daar maar altijd van. Bugfree is eeuh, nouwja niet mogelijk.
Wat gaat er dan toch altijd mis tussen het onverwoestbare 'hello world' en alle andere software?
@UnixAdmin

Mensen ;)
In de wereld van de software is het zo, dat er altijd fouten in zitten.
Het goed testen van allerlei mogelijke combinaties hardware, software en drivers kost nu eenmaal tijd, en het is wel belangrijk dat dat goed en niet overhaast gebeurd.
Daar ben ik, als softwaredeveloper, me terdege van bewust, en ik vermoed de bug reporters in kwestie ook wel. Wat gesuggereerd wordt is dat MS niet voldoende met bugreports omgaat. Als je daar vanuit gaat dan snap ik de actie wel. Jij gaat er nu voor het gemak van uit dat MS wél voldoende met bugreports om gaat. Bij mijn weten werk jij niet bij of met MS, dus geef ik de bugreporters in dit geval het voordeel van de twijfel aangezien zij daar veel beter zicht op hebben.

[Reactie gewijzigd door .oisyn op 7 juli 2010 14:29]

De bugreporters werken ook niet bij MS dus da's onzin.
Klopt, maar ze communiceren direct met MS. Wildhagen doet dat niet. Maar jij vind dus dat wildhagen gelijk heeft en de bugreporters in kwestie niet? Op basis waarvan in hemelsnaam :?

[er wordt hier trouwens maar raar gemodereerd]

[Reactie gewijzigd door .oisyn op 9 juli 2010 02:30]

Het probleem is dat de MS niet snel genoeg wil oplossen, aldus de initiatiefnemers.

Probleem is dat MS niet heel erg snel een patch kan uitbrengen (binnen 5 dagen), ze moeten de wijzigingen evalueren, en goed testen of het geen gevolgen heeft. Dat doe je niet zo maar bij een pakket als Windows..
Dat doen ze dus WEL als ze prio geven aan een fix.
maar daar gaat meer tijd overheen, dus zit je in een cirkel. tuurlijk zal er b.v. binnen een maand een fix zijn, maar dan nog, mensen updaten 9 van de 10 keer toch niet.

dus dat kunnen ze NIET.
Als je de bugreport had bekeken: http://seclists.org/fulldisclosure/2010/Jul/3 dan staat er zelfs hoe microsoft het kan fixen.
sja, en er dan nog niks aan doen....en wachten tot iemand van google het publiceerd...niet echt slim van ms natuurlijk
Waar is de garantie dan dat zon fix geen andere nadelige gevolgen heeft?
Maar ze geven geen harde garantie dat het echt goed werkt en geen ongewenste neveneffecten heeft. Dat blijft de verantwoordelijkheid van MS en dan is vijf dagen erg weinig.

Wat ze wel hadden kunnen doen is binnen vijf dagen contact opnemen met Tavis en met hem even bespreken hoe dit kan worden opgelost. Lijkt me niet dat dit gebeurd is en als je mensen tegen je in het harnas wilt jagen is negeren nog steeds failproof!
Het risico is net groter als MS deze bugs niet bekend maakt. Iedereen kan zulke bugs vinden en misbruiken. Als ze bekend zijn kan je op zijn minst tijdelijke maatregelen treffen tot er een patch is die het probleem voorgoed oplost.
Nee toch niet. Ms werkt samen met makers van AV en ze brengen dus meteen updates uit.
Er zijn maar zeer weinig mensen buiten misbruikers die er nut aan hebben om die bug meteen te weten.
Lang niet iedereen kan zulke bugs vinden en gelukkig zijn het er nog minder die het willen misbruiken. Heel veel mensen zullen de tijdelijke maatregelen die je noemt helemaal niet gaan toepassen (al was het maar omdat niet iedereen die veiligheidbulletins leest).
Heb je die publicatie gelezen?
"Microsoft can workaround these advisories by locating the following
registry key: HKCU\Microsoft\Windows\CurrentVersion\Security and
changing the "OurJob" boolean value to FALSE." -> lijkt me niet heel moeilijk om binnen 5 dagen te doen..
Een workaround is geen fix, maar een tijdelijke voorziening tot er een permantente fix beschikbaar is.

Daarnaast is het niet "even die key aanpassen", want je weet niet of dat weer consequenties heeft voor andere software, zowel die van Windows zelf als die van 3rd parties, of bijvoorbeeld drivers etc.

Dat moet je dus allemaal heel grondig gaan testen, en dat duurt wel een poosje.
Maar MS zou dat wel alvast kunnen melden, in plaats van het voor zichzelf houden en pas publiceren als er een fix is.
Dat melden doen ze ook, in de zogenaamde Security Advisories op hun site.

Je kan je ook via mail abonneren op die advisories, dan hoef je niet zelf te gaan kijken.

Alleen de details om te exploiten maken ze niet bekend vóór de fix er is. En dat lijkt me terecht, gezien het onnodige risico zolang de patch nog niet beschikbaar is.
Dat veranderen van een zogenaamde "security\ourjob" registry key is een grap.... :/
Precies!
Ik lig dubbel van de mensen hier die daar serieus op in gaan, en gaan zwammen over het moeten testen van zo'n aanpassing. Hilarisch! _/-\o_
MS gaat geen registry waarde gemaakt hebben speciaal om een bug te creëren...
er moet dus wel degelijk getest worden of die key wijzigen geen ongewenste effecten heeft
Zegt het begrip ironie je iets?
LOL, dat bedoel je sarcastisch hoop ik... je hebt toch niet werkelijk die tekst neergezet en niet begrepen dat dat een grap is he....? toch???
Heel slechte zaak, en ik denk dat hier juridisch tegen opgetreden zou moeten worden (EU of VS ofzo?).
Nee, IMO moet hier tegen opgetreden worden.

nieuws: Microsoft: geen patch dinsdag voor Excel-veiligheidslek
nieuws: Microsoft: recent lek in Jet-database al jaren bekend

Ik ben het eens met de boze onderzoeker. Microsoft heeft helaas te vaak aangegeven dat ze laks zijn in deze.

Daarbij vind ik het fout dat de hacker altijd als crimineel gezien wordt en bedrijven zelfs als die nalaten om zaken zo snel mogelijk dicht te timmeren c.q. veilig te maken en houden als engeltjes gezien worden, die beschermd moeten worden.
imo is niet met hoofdletters
Errr.. Afkortingen schrijf je met hoofdletters. Dus ook IMO.
leer eens beter nederlands. :P

i.m.o. ;)
Ik vind het onprofessioneel om zoiets te flikken. Als conculega-hotel bewaker ga je toch ook niet tegen mensen vertellen dat conculega-hotel zijn achterdeur nooit op slot doet.

Snap dat ze er druk achter willen zetten maar dit maakt het niet beter.

Edit: Nog een teken van kinderachtig gedrag:

Current MSRC Members (alphabetical order!):
XX XXXXXX
XXXX XXXXXXXX
XXXXX XXX
XXXXXXX XXXXXXX
XXXXXX XXXXXXXXX
XXXXX XXXXXXXX

[Reactie gewijzigd door MMaster23 op 7 juli 2010 14:02]

MS is eerst gewaarschuwd en de bug is aangegeven. Er is gewoon genoeg tijd gegeven om het op te lossen.

Als je een andere bewaker verteld dat hij de deur op slot moet doen omdat anders zijn bezoekers in gevaar kan brengen en hij doet dat niet binnen een redelijke termijn dan is het toch eigenlijk gezond verstand dat jij de mensen verteld dat de deur niet op slot staat zodat ze zelf de bewaker kunnen aansporen.

Namen van medewerkers neerzetten is idd wel een beetje over de top.
Ouch, dat is kort door de bocht
je zegt genoeg tijd;
Hij publiceerde vorige maand een bug, vijf dagen nadat hij Microsoft ervoor had gewaarschuwd
je weet niet wat er is gebeurd in die vijf dagen.
Heeft Microsoft de bug al gereproduceerd?
Heeft Microsoft de bug uitgesteld om samen met een andere te gaan fixen? Misschien heeft Microsoft besloten om er helemaal niets aan te doen?
Misschien heeft MS gewerkt aan andere bugs die veel meer prioriteit hebben?
Heeft Microsoft de bugreporter voor rotte vis uitgemaakt?
Heeft Microsoft gezien dat het een enorm complexe bug is, die niet binnen tien dagen gefixt kan worden?

het punt is: je weet het niet. Je kunt allerlei aannames doen, maar dat is niet heel waardevol. assumptions are the mother of all fuck-ups...

Ik vind het dan ook bijzonder onprofessioneel om na vijf dagen zo te reageren ('zo' = het oprichten van deze contra - MSRC uit het artikel).
Ik hoop maar dat de betrokkenen in kwestie gewoon een slechte dag hadden en uit balorigheid een lullige website in de lucht hebben geslingerd; ik zie het dan ook maar als een soort hoogopgeleid vandalisme, zoals een dronken hooligan een verkeersbord uit de grond zou trekken, zetten deze mensen een website neer.
Precies hier ga je de mist in.

Het is inderdaad de verantwoordelijkheid van de betreffende medewerker om dat door te geven als hij het idee heeft dat dat nodig is. En dat van die persoon erboven etc. Maar als jij tegen een schoonmaker zegt dat x niet klopt, moet je er niet van opkijken als het niet wordt doorgegeven aan de baas van het bedrijf (ter vergelijking).
Ja het is waarschijnlijk dat het doorgegeven wordt, en iedereen die de omvang van het probleem in kan schatten zou dat doen, maar voor het zelfde geld gaat de man op vakantie / heeft andere dingen te doen waardoor hij het vergeet / heeft hij de vraag niet begrepen / werkt hij in een ander tempo dan dat de medewerker van Google aanneemt. Maar dan heeft volgens jou het hele bedrijf het gedaan, want je vindt het terecht als de naam van het hele bedrijf wordt gebruikt in de beschuldigingen.
Hoeveel meldingen van bugs denk je dat er geplaatst worden elke dag? En welk percentage denk je dat daadwerkelijk nuttige informatie bevat? Ze hebben echt niet genoeg mensen die kennis van zaken hebben om dat allemaal uit te zoeken.


Ik zeg niet dat het bij Microsoft allemaal goed is verlopen, maar het posten van bugs vind ik gewoon kinderachtig. Al helemaal als "wraak"actie.

[Reactie gewijzigd door jkommeren op 7 juli 2010 15:33]

5 dagen genoeg tijd? jij hebt dus totaal geen idee hoeveel tijd het kost, tja de bug zelf is misschien zo gefixed, maar je moet dus wel heel goed testen of de fix geen gevolgen heeft, en DAT kost veel tijd...
lijkt me niet dat 5 dagen voldoende tijd is. het moet gewoon goed getest worden. als ze nu een of andere halfbakken fix uitbrengen die nog moeilijk doet met andere software, daar heb je natuurlijk ook geen zak aan.

als er zon halfbakken fix uitkomt lopen mensen weer te klagen van MS is bagger met zijn updates, kunnen niets repareren en nog veel meer.

en dan krijg je natuurlijk fix op update op fix op software. :P
Microsoft vaak laks met bugmeldingen omsprong, omdat het beleid is bugs pas bekend te maken als de oplossing al is gevonden


kan je dat laks noemen? IIg wel aardig om druk uit te oefenen, kan geen kwaad.
Ja, omdat er mogelijk reeds mensen zijn die misbruik maken van die bug. Als MS de bugs zo snel mogelijk bekend maakt dan kunnen mensen reeds maatregelen treffen om misbruik te voorkomen totdat er een patch is.
Maar daarmee ook de "exploitanten" een tip geven waar er een open lek is. Liever 1 hacker die van het lek weet dan 1000 die het weten.
Maar als 1 hacker de skills heeft om het lek te vinden, dan zijn er vast wel andere hackers die het lek ook kunnen vinden. Als Microsoft het lek niet dicht dan loop het risico dat andere hackers het lek ook vinden. Je weet niet om hoeveel andere hackers het gaat dus kun je beter maar Microsoft bewegen tot het uitbrengen van een patch.
Natuurlijk moet microsoft het lek asap dichten. En natuurlijk zijn er meerdere hackers in staat dat lek te vinden. Echter als je het aan de grote klok gaat hangen kunnen ook de minder goede hackers het lek vinden en wordt dus het risico groter.
Hahah, wel erg naief, er wordt levendig gehandeld in zero-days exploit...
Ja, dat is nu in handen van echte criminelen, overigens wel navrant dat de aanleiding hiervan een Google medewerker is...een concurrent van microsoft.
@tetraplan

Mischien te ver gedacht ja maar het is wel navrant dat Google zelf exact dezelfde policy heeft als Microsoft tov bugs, daar ziet men echter geen probleem in?
99% van de mensen zullen geen maatregelen treffen. De meeste workarounds zijn alleen uitvoerbaar door IT-ers. Al die miljoenen thuisgebruiken lezen dat soort dingen niet en zijn dus gewoon kwetsbaar.
daar is windows update voor.

niet door iedereen gebruikt, maar wel voor VEEL meer als 1% van de bevolking.

[Reactie gewijzigd door Countess op 7 juli 2010 14:14]

MS moet eerste een goed werkbare oplossing hebben voordat ze een patch kunnen aanbieden via WU. Een update die bestaande functionaliteit sloopt zit (bijna) niemand op te wachten, zeker niet als het veelgebruikte functionaliteit is.
Als een bugfix bestaande functionaliteit sloopt is die bestaande functionaliteit sowieso kapot.
Indien een nieuwe bug meteen publiek bekend wordt gemaakt, voordat Microsoft de kans heeft gehad om voor een oplossing te zorgen kan wel degelijk negatieve gevolgen hebben.

De bug is namelijk wijder verspreid bekend dan, waardoor er misbruik van gemaakt kan worden.

Ik heb geen idee hoe lang Microsoft normaal gesproken nodig heeft om bugs te repareren, maar ik kan me in bepaalde gevallen voorstellen dat een periode van 5 dagen niet heel ruim is, aangezien de oplossingen natuurlijk ook nog uitgebreid getest moeten worden, zodat je niet weer nieuwe problemen oproept.

Ik denk persoonlijk dat het beleid van Microsoft om een bug pas te bekend te maken als er een oplossing voor gevonden is er toe leidt dat ze zelf hun fouten toegeven, maar dat er minder misbruik van gemaakt kan worden.
lang de ene kant is het MS beleid inderdaad helemaal niet slecht.
inderdaad doordat er minder weet van is, is de kans dat het misbruikt wordt ook minder;

Echter heeft MS al een aantal keer bug niet gerapporteerd/erkend/gemeld die wél al lang wereldwijd gekend waren.
en pas na 10 jaar gepatched, omdat het toen aangetoond werd dat die bug nu al jaren misbruikt werd.

er moet idd gekeken worden naar een systeem dat MS een redelijke tijd geeft om te patchen en te testen, maar eens die periode voorbij de melding automatisch zou vrijgegeven moeten worden zodat amateurs eventueel ook suggesties kunnen doen.
Het kan geen kwaad om een bug publiek te maken voordat het gefixed kan worden? Hoe precies zie jij dat?

Ik zie sowieso niet echt in waarom deze onderzoekers nou "woedend" zijn. Omdat MS de bug die iemand anders heeft gevonden niet als erg gevaarlijk classificeerde?
Als positieve bijzaak zou het wel kunnen, dat Microsoft voortaan nadenkt voordat ze producten die fouten bevatten gaan verkopen.

Ze hebben mazzel bij Microsoft dat hun 'terugroepacties' waarbij hun foutieve product gerepareerd wordt zo goedkoop zijn. Bij GM, Toyota en Kia doen ze echt beter hun best om geen foute producten op de markt te zetten, daar zal na de dure terugroepacties meer controle zijn.

Eigenlijk raar dat de meeste besturingssystemen terugroepacties hebben, en Windows zelfs maandelijks. Als een auto maandelijks terug naar de leverancier moest om 11 productiefouten te herstellen zou het waarschijnlijk niet geaccepteerd worden. Maar goed dus, dat auto/softwarevergelijkingen meestal mank gaan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True