"Microsoft misleidt publiek met security bulletin MS06-015"
Zwarte dinsdag ligt alweer twee dagen achter ons, maar volgens sommigen is Microsoft niet helemaal eerlijk met haar informatie geweest. In Security Bulletin MS06-015 werd een patch voor een enkel "Windows Shell lek" aangekondigd. In het overzicht staat echter:
Toen dit security bulleting uitkwam, was het lek toen al bekend gemaakt?
Nee. Microsoft ontving informatie over dit lek via verantwoordelijke disclosure.
Iets verder staat:
Opmerking De update voor dit lek verhelpt ook een variant die al bij het publiek bekend was en vermeld staat onder Common Vulnerability en Exposure number CVE-2004-2289.
Volgens Steve Christey is dit lek al sinds mei 2004 bekend. Dus het gedocumenteerde lek is alleen aan Microsoft gemeld, maar de "variant" die ook gepatcht is, was al meer dan 700 dagen bekend. In dat geval zou de echte "variant" dus na de publieke ontdekking aan Microsoft gemeld zijn.
De update bevat ook een "verandering van functionaliteit":
Deze security update bevat een Defense in Depth aanpassing die ervoor zorgt dat er continu geprompt wordt in Internet zone drag en drop scenario's.
Het is echter niet bekend welke dreiging met deze aanpassing wordt verholpen. Volgens SecuriTeam moet Microsoft veel transparanter zijn in de informatie over dreigingen waar haar klanten mee te maken hebben. En niet alleen klanten, ook systeembeheerders die de patches moeten installeren weten niet welk probleem precies verholpen wordt.
interpreteren om Microsoft negatief in het licht te zetten. Er is niks mis met
de informatie. Maar ja...zo krijgen zij ook weer wat reclame.
de vraag wat eerst wel en daarna misschien niet bekend is
geworden.
Als er maar een patch wordt uitgegeven. De rest vind ik
onbelangrijk.
Als eindgebruiker ben je inderdaad niet in die details
geïnteresseerd. Daarom wil je kunnen vertrouwen op de
meldingen die de leverancier doet. In dit geval gaat het om
een leverancier die vaker lekken stilhoudt of
bagatelliseert. En sommige lekken worden pas erg laat
gerepareerd.
Deze kennis in voor eindgebruikers dus in zoverre
belangrijk, dat ze weten niet blind te kunnen varen op het
oordeel van de leverancier.
Daarom vind ik het geen 'gezeur'.
Inderdaad. Als eindgebruiker ben ik niet geïnteresseerd in
de vraag wat eerst wel en daarna misschien niet bekend is
geworden.
Als er maar een patch wordt uitgegeven. De rest vind ik
onbelangrijk.
Helaas duurde het 700 dagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.