Microsoft: ontwikkelaars moeten lekke apps binnen uiterlijk 180 dagen patchen

Microsoft geeft app-ontwikkelaars voortaan maximaal 180 dagen de tijd om ernstige kwetsbaarheden in hun applicaties te verhelpen. Als zij dit nalaten dan wordt de software verwijderd. De nieuwe policy is geldig voor vrijwel alle applicatiewinkels van Microsoft.

Microsoft heeft de zogeheten security policy voor de Windows Store, Windows Phone Store, Office Store en Azure Marketplace aanzienlijk aangescherpt. Ontwikkelaars die applicaties in deze softwarewinkels plaatsen moeten hun software binnen 180 dagen patchen als er een kritiek lek is ontdekt. Als de developer dit nalaat of een fix blijkt niet goed te werken, dan zal de software worden verwijderd.

Een uitzondering wordt gemaakt voor apps die een lek bevatten die al op grote schaal misbruikt wordt; dergelijke software wordt direct verwijderd. Ook kan Microsoft uitzonderingen maken op de 180-dagen regel, bijvoorbeeld als een bug is ontdekt die invloed heeft op een softwareplatform of als er apps van meerdere fabrikanten kwetsbaar blijken voor een identiek lek.

Het Microsoft Security Response Center meldt aan ComputerWorld dat er tot nu toe geen apps zijn gevonden die door de ontwikkelaars niet binnen de periode van 180 dagen zijn gepatcht. Desondanks reageren beveiligingsonderzoekers verheugd op de aangescherpte spelregels. Apple en Google zouden in hun softwarewinkels niet dergelijke duidelijke en strenge regels hebben voor kwetsbare applicaties.

IT-banen

Reacties (59)

hfad 10 juli 2013 18:23

Hmm. Dit lijkt mij wel een slimme zet, alhoewel ik betwijfel of het vaak zal voorkomen dat een "serieuze app" een ernstige lek heeft dat niet opgelost wordt. En dan bedoel ik dus niet de scheetapps.

Daarnaast, is 180 dagen niet erg veel? De kans dat er misbruik van gemaakt wordt is zo namelijk wel groot. Zou eerder 14 dagen, 30 dagen of hooguit 60 dagen verwachten.

[Reactie gewijzigd door hfad op 23 juli 2024 19:57]

SuperDre @hfad • 10 juli 2013 20:29

Maar MS geeft zichzelf met die nieuwe regels dus wel de mogelijkheid om een App eerder te verwijderen uit de store.. Dus als zij vinden dat de bug ernstig is en ook misbruikt wordt kan het zijn dat de app meteen verwijderd wordt...

MClaeys @hfad • 11 juli 2013 03:10

180 is het maximum. Bij de meeste stores van Microsoft komen ook apps voor van minder ervaren programmeurs en dat zijn dan apps die uit een hobby groeien. Als deze een lek hebben is dat niet altijd snel opgelost denk ik dan. Als het lek echt ernstig is is de tijd veel korter (tot onbestaande/onmiddelijke verwijdering).

Martinspire

Microsoft

@hfad • 10 juli 2013 19:09

Mogelijk is dit de eerste stap (er was voor zover ik weet ook geen deadline). Deze kunnen ze wel wat strakker zetten inderdaad, maar ik heb het idee dat het hier meer gaat om het doorgeven van dit soort bugs en ervoor zorgen dat er actie ondernomen wordt.

Niet elke developer update zijn app zo regelmatig en van sommige apps kun je niet verwachten dat ze binnen een dag een fix hebben voor iets wat diep geworteld zit.

freaq @Martinspire • 10 juli 2013 19:47

het is in elk geval beter dan geen tijdslimiet zoals normaal geldt.
goede eerste stap in mijn ogen in elk geval!

Brummetje

10 juli 2013 18:23

Ernstige kwetsbaarheden en dan als nog 180 dagen? Ik vind dat nogal lang als het echt iets ergs is...

Verwijderd @Titan_Fox • 10 juli 2013 18:39

>Er zijn tenslotte genoeg zero-day kwetsbaarheden die nog steeds niet zijn gepatched.

Dat zit dan ook in de definitie van zero-day kwetsbaarheden. Het kunnen aantonen van een aantal zero-day kwetsbaarheden is per definitie niet mogelijk.

>Zelf krijg ik nog steeds regelmatig bakken met updates via Windows Update, dus Windows is ook nog steeds zo lek als een mandje.

Hier spreek je jezelf tegen. Eerst doet Microsoft niet genoeg, maar nu klaag je over de bakken updates die je krijgt. Wees blij dat ze iets doen om de veiligheid van 's werelds meest gebruikte en dus meest getargette besturingssysteem veiliger te maken.

Los daarvan: 180 dagen is enorm lang. Ik zou het niet meer dan 30 dagen gunnen. Het fixen van de app kan misschien langer duren, maar doe op z'n minst iets om gebruikers te beschermen.

84hannes @Verwijderd • 11 juli 2013 12:17

's werelds meest gebruikte en dus meest getargette besturingssysteem

Er zijn nauwelijks telefoons, servers, settop boxen en andere apparaten die Windows draaien. Windows wordt op één en één computermarkt alleen veel gebruikt, en dat is de pc-markt (laptop/desktop). Het lijkt me dan ook sterk dat Windows meer gebruikt wordt dan Linux. Overigens loopt het aantal Linux updates ook uit de hand de laatste jaren, dus je punt is duidelijk.

Loller1

Microsoft

@Titan_Fox • 10 juli 2013 19:26

En wat gebruik je dan nog, buiten Windows? OS X? iOS? Dat die 2 alles in 1 update steken ipv individuele patches laat het misschien lijken dat Windows meer bugfixes krijgt als OS X en iOS, maar zo is het echter niet. Trouwens: je hebt het over een OS, veruit een van de meest complexe software die je kan schrijven. En niemand kan een bugloos programma schrijven.

Berkeley @Loller1 • 10 juli 2013 23:53

ohnee? print("Hello world!") hier heb je een bugloos .py programma

ATS @Berkeley • 11 juli 2013 07:49

Hoe zeker weet je dat? Weet je bij voorbeeld zeker dat de benodigde libraries bugvrij zijn? En de compiler of de interpretter? Zo niet, dan weet je niet zeker dat je programma bugvrij is.

DeEchteKwartel @Berkeley • 11 juli 2013 00:07

Dat is geen programma. Dat is een script. Python is namelijk zowel een programmeer- als scripttaal.

OddesE @Loller1 • 11 juli 2013 21:09

niemand kan een bugloos programma schrijven.

Als programmeur heb ik er eigenlijk belang bij om deze mythe te onderschrijven, maar dit is echt niet meer dan dat. Een mythe.

Je kunt software precies zo bugvrij krijgen als je zelf wilt. Dat is gewoon een kwestie van tijd en geld. Dat een app die nu voor 85 cent in de app store staat dan ineens 85.000 euro gaat kosten is natuurlijk wel een belangrijke afweging, maar het kan zeker wel. Daarvoor hoef je mij niet op mijn woord te geloven, maar moet je bijvoorbeeld gewoon eens kijken naar L4.verified. Dit is een OS kernel die 'proven bugfree' is. Of het programma dan precies doet wat je wil is nog maar de vraag, want als je specificaties niet kloppen dan doet het programma (zonder bugs) precies wat je niet wilt, maar dat is een andere discussie.

Bugvrij is mogelijk. Dit is natuurlijk ook simpel te bevestigen. Je kunt een assembly programma schrijven zonder gebruik te maken van libraries en dan alleen twee getallen optellen. Dit krijg je wel bugvrij. Vervolgens is het een kwestie van regel voor regel code toevoegen, met na elke toevoeging code reviews en formele (wiskundig 100 procent dekkende) test uitvoeren. Iedereen kan inzien dat er geen magische grens van X regels is waarboven het ineens onmogelijk wordt om nog bugvrij een nieuwe regel code toe te voegen.

Wel heeft ATS natuurlijk volkomen gelijk dat je ook gebruik maakt van libraries en een operating systeem, drivers en wie weet wat nog meer voor een externe code. Dus zelfs als je zelf perfect programmeert dan nog kan er via die weg een bug in je programma sluipen. Daarom is het ook wel logisch om met een OS kernel te beginnen. Daar draait alles bovenop dus als die niet bugvrij is dan kan de rest dat ook nooit zijn. Maar die bugvrije kernel is er dus nu. Het wachten is op de eerste drivers en low level libraries om dit mooie voorbeeld te volgen.

Ik denk dat er ooit een tijd komt dat vrijwel alle code een proces als beschreven voor L4.verified moet doorlopen en dat je het anders aan de straatstenen niet meer kwijtraakt. Maar goed voor die tijd zal er waarschijnlijk eerst een tijd komen dat alle programmatuur gewoon per sé met source code geleverd moet worden. Anders kun je niet eens controleren of er backdoors inzitten...

darkjeric

@Titan_Fox • 10 juli 2013 18:32

Dat een OS (nota bene de hele onderlaag waarop je apps draaien) als meest complexe stukje software op je toestel ook de meeste lekken vertoont, vind ik persoonlijk eigenlijk niet meer dan normaal...

Bonez0r @Titan_Fox • 12 juli 2013 00:06

Ze mogen niet teveel lekken dichten anders kan de NSA niet meer in onze systemen komen >_>

(volgens ex-NSA man William Binney gaan ze zo te werk. Mochten ze je communicatie niet kunnen inzien omdat je bijvoorbeeld sterke encryptie gebruikt, dan gebruiken ze zero-day exploits om in je systeem te komen).

lorenzovds 10 juli 2013 18:39

Hmm, mits er geen update komt van Whatsapp zijn we die over een half jaar dus ook kwijt op Windows Phone..

October @lorenzovds • 10 juli 2013 19:17

Whatsapp functioneerde tot vorige week gewoon goed. Kan niet zo zijn dat het aan WA ligt. En wat er aan de hand is met WA is waarschijnlijk geen "ernstige kwetsbaarheid".

Het is wel zo als dit probleem met Whatsapp een half jaar lang door blijft gaan, dan kun je Windows Phone vergeten en hoeft niemand anders dan Microsoft zelf hun lek dichten in hun financiele boekhouding.

Verwijderd @October • 11 juli 2013 00:22

Ik sprak ooit eens een Microsoft trainer op een training en die vertelde me dat Whatsapp een van de protocollen ofzo misbruikte. Dit vind je vooral terug in het feit dat als je in de music app, laatst afgespeelde muziek wilt vervolgen, whatsapp opstart. Of het hier geheel aan ligt weet ik niet, maar whatsapp is in ieder geval een heel slecht gemaakte app. Snap niet dat Microsoft hier nog niets aan heeft gedaan..

Enige reden dat ik Windows Phone niet kan aanraden bij mensen is omdat je geen dataverbruik kan zien (jammer, maar niet het ergst), je het 'overige' geheugen niet kan wijzigen waardoor deze kan vollopen en dus omdat de whatsapp app echt heel slecht is. Voor de rest; perfecte telefoon voor de gemiddelde gebruiker.

De meeste huidige ontwikkelaars willen hun positie op dit platform behouden, dus goede actie van Microsoft :-)

Poops_McGhee 10 juli 2013 18:40

In het artikel staat nergens dat een app waar een kritiek lek gevonden is, ook nog gedownload kan worden of niet. Kan zijn dat ze hem wel in het bestand houden, maar non-actief. Dan mag de app bouwer nog 180 dagen besteden om het te fixen, en anders wordt die app perma-banned.
Het lijkt me niet dat Microsoft na het vinden van een kritieke lek, de app nog stimuleert om door te blijven lekken.

NanoSector @Poops_McGhee • 10 juli 2013 22:02

Zoals wel in het artikel staat wordt wanneer een kritiek lek gevonden de app vrijwel onmiddelijk uit de store gehaalt, alleen met wat minder forse lekken worden de apps verzocht om gefixt te worden.

Poops_McGhee @NanoSector • 11 juli 2013 00:49

Nee, in het artikel staat dat apps met kritieke lekken 180 dagen de tijd krijgen om gefixed te worden. Mocht dat niet gebeuren, dan worden ze verwijderd. Er staat nergens dat de apps beschikbaar blijven om te downloaden, of alleen zichtbaar in de store staan.
Je zou eigenlijk een vermelding moeten zien dat de app een kritiek lek bevat en verzocht is om gepatched te worden. Ik denk dat de app bouwers dan wat meer haast gaan maken om de app te patchen.

NanoSector @Poops_McGhee • 11 juli 2013 12:54

"Een uitzondering wordt gemaakt voor apps die een lek bevatten die al op grote schaal misbruikt wordt; dergelijke software wordt direct verwijderd."

Aldus, met ernstige lekken worden de apps direct verwijdert.

Soldaatje 10 juli 2013 19:00

Wie zijn die beveilingsonderzoekers dan die zo blij zijn met de 180 dagen?
Even om het wat duidelijker te maken, dit zijn de criteria:

Critical
A vulnerability whose exploitation could allow code execution without user interaction. These scenarios include self-propagating malware (e.g. network worms), or unavoidable common use scenarios where code execution occurs without warnings or prompts. This could mean browsing to a web page or opening email.
Microsoft recommends that customers apply Critical updates immediately.
Important
A vulnerability whose exploitation could result in compromise of the confidentiality, integrity, or availability of user data, or of the integrity or availability of processing resources. These scenarios include common use scenarios where client is compromised with warnings or prompts regardless of the prompt's provenance, quality, or usability. Sequences of user actions that do not generate prompts or warnings are also covered.
Microsoft recommends that customers apply Important updates at the earliest opportunity.
Moderate
Impact of the vulnerability is mitigated to a significant degree by factors such as authentication requirements or applicability only to non-default configurations.
Microsoft recommends that customers consider applying the security update.
Low
Impact of the vulnerability is comprehensively mitigated by the characteristics of the affected component. Microsoft recommends that customers evaluate whether to apply the security update to the affected systems.

http://www.microsoft.com/security/msrc/app_management.aspx
Het lijkt me niet echt handig om een app 180 dagen in je store te laten staan die een lek bevat die onder Critical valt, of dat nou Microsoft, Google of Apple is.
Ok, als een lek actief misbruikt wordt dan wordt hij eerder verwijderd, maar waar heb je die 180 dagen dan voor nodig?
En wie zegt dat Google en Apple geen apps verwijderen?

[Reactie gewijzigd door Soldaatje op 23 juli 2024 19:57]

SuperDre @Soldaatje • 10 juli 2013 20:32

Heb je het artikel wel gelezen? MS geeft zichzelf het recht om een app METEEN te verwijderen als deze een kritiek veiligheidslek heeft dat ook al misbruikt wordt.. 180 dagen lijkt mij voor de apps met een lowimpact..

dutchgio 10 juli 2013 19:13

een goed plan, alleen lijkt 180 dagen me nog een vrij lange periode. wees dan echt hard en maak er 2 a 3 maanden van.

Verwijderd @dutchgio • 10 juli 2013 21:33

Updates moeten getest worden, en hoe groter een lek hoe langer dat gaat duren. 180 dagen lijkt lang maar als je je even indenkt over hoeveel tijd zoiets kost zul je zien dat het eigenlijk best meevalt.

Verwijderd 10 juli 2013 22:40

Goed idee. Gaat Microsoft dan een lek OS zoals Windows ook eens echt goed bekijken ipv met talloze updates en andere pleisters de boel vervuilen?

Verwijderd @Verwijderd • 10 juli 2013 23:05

Zo gek, ik kan software op Linux ook updaten omdat er soms beveiligingslekken inzitten. Blijkbaar kunnen die ook al geen bugvrije software schrijven. Tsk, tsk.
Maar waarom schrijf je zelf geen superveilig OS? Moet natuurlijk nog wel blijven samenwerken met andere software, he. Standaarden enzo.

Verwijderd @Verwijderd • 10 juli 2013 23:10

Ik hoor je over een paar jaar wel wanneer je eerst je koffiezetapparaat moet updaten voordat je een bak pleur krijgt.
Blijkbaar vind iedereen het normaal dat je kapot gesmeten wordt met updates. Ik niet in ieder geval niet.

mjl @Verwijderd • 11 juli 2013 08:58

Systemen zijn zo. complex dat bugs onvermijdbaar zijn. Uiteindelijk ook de schuld van de consument. Ofwel we vragen om fancy features danwel accepteren we de push van fabrikanten door de software te kopen en gebruiken.

Als je geen bugs wilt moet je terug naar de tijd van ... tja DOS mischien? Of een simpele calculator?

Verwijderd @mjl • 11 juli 2013 10:34

Sorry maar ik deel je visie niet...
Tegenwoordig worden er teveel producten en software pakketten de markt op gestuwd die gewoon nog niet af zijn.
Ik kan me niet voorstellen dat iemand daarom gevraagd heeft. Ik denk ook niet dat de consument graag halfbakken troep koopt...

HerrPino @Verwijderd • 11 juli 2013 11:36

Ik hoor je over een paar jaar wel wanneer je eerst je koffiezetapparaat moet updaten voordat je een bak pleur krijgt.

Daar ga ik niet van opkijken. Tot 5-6 jaar geleden hoefde je ook je telefoon niet te updaten... die werkte gewoon, deed gewoon wat hij moest doen ... bellen. Als ik straks een koffiezetapparaat heb die je aan het internet hangt en die 1000 en 1 opties heeft dan verwacht ik dat deze geüpdate moet worden zo nu en dan.

Loller1

Microsoft

10 juli 2013 19:40

Mooi idee, al zou ik toch kiezen om hier nog eens de helft van te nemen. 90 dagen moet meer dan genoeg zijn. Daarbij, wordt de app echt verwijderd of blijft hij in de Store maar dan wel voor niemand beschikbaar?

DDX 10 juli 2013 21:13

Nu nog een optie dat de apps automatisch geupdate worden.
Misschien dat een Windows 8 gebruiker ooit eens in de Store heeft gekeken en een app heeft installed.
Maar waarom moet je dan handmatig die updates installeren ? (en kan dit niet icm windowsupdate automatisch installed worden?)

alt-92 @DDX • 11 juli 2013 08:16

Gebeurt al in 8.1.

mysterieworld 10 juli 2013 22:31

is maar net wat slim is, als ze het ook fysiek van je computer laten verwijderen terwijl je betaald heb. Dan zit je er wel mooi mee.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (59)

Sorteer op:

Weergave: