Door Microsoft gevonden lekken traag gepatcht
Beveiligingslekken die werknemers van Microsoft in de producten van andere leveranciers ontdekken worden maar langzaam gepatcht. Dat is te lezen in het jaarrapport van het Microsoft Vulnerability Research Program (MSVR). Van alle gerapporteerde kwetsbaarheden was 55% na een jaar nog altijd niet gepatcht. Een beter resultaat dan in 2008, toen het om 87% ging. Verder nam het aantal lekke leveranciers af. Vorig jaar werden er kwetsbaarheden bij 19 leveranciers ontdekt, terwijl dat een jaar eerder er 32 waren.
Microsoft noemt de trend positief en is niet verrast dat 55% van de lekken langer dan een jaar op een patcht wacht. "De meeste lekken die Microsoft ontdekt zijn low-level problemen in de architectuur die niet eenvoudig zijn te verhelpen en leveranciers hebben vaak veel tijd nodig om een effectieve oplossing te ontwikkelen en die grondig te testen."
Aanpak
Een voorbeeld van het MSVR was het ernstige lek in de Microsoft Active Template Library (ATL), die met Visual Studio wordt geleverd. Ontwikkelaars gebruiken ATL voor het maken van ActiveX controls en andere componenten. De controls die met de kwetsbare library waren ontwikkeld liepen volgens Microsoft ook risico om aangevallen te worden. Uiteindelijk hadden 37 verschillende leveranciers met het probleem te maken, die Microsoft allemaal werden ingelicht.
Ondanks alle adviezen en begeleiding hadden slechts twaalf ontwikkelaars na het gehele proces het lek gepatcht. Daarnaast had Microsoft voor zes ActiveX controls een kill-bit uitgebracht. "Ondanks de in het algemeen positieve resultaten, maakt de ATL-respons duidelijk dat de software-industrie nog steeds veel werk te verrichten heeft om een gezamenlijke, consistente aanpak te ontwikkelen voor het reageren op beveiligingslekken", aldus Microsoft.
Microsoft
Een aanpak die steeds belangrijker wordt, want 84,5% van alle gerapporteerde kwetsbaarheden in de tweede helft van 2009 bevonden zich in applicaties en add-ons. Besturingssystemen zijn voor 9,5% van alle lekken verantwoordelijk, gevolgd door browsers met 6,1%. Verder blijkt dat 5,2% van alle lekken die in dezelfde periode werden gemeld op naam van Microsoft komen.
Ja, maar ze moeten zich nog steeds schamen.
D'r is niks leukers dan statistiek...
Goed, maar het gaat natuurlijk om het feit dat fouten gevonden worden en dan vervolgens gepatcht. Dan is het nogal schandalig dat ze er kennelijk in meer dan de helft van de gevallen er meer dan een jaar over doen. Stel je nu eens voor dat je een gat van 1m bij 1m in het wegdek van bijvoorbeeld de A1 hebt zitten. Gevaarlijk, kritiek zelfs, en er dan een jaar over doen om het te dichten? Het is raar dat ze dit met droge ogen durven te zeggen.
Ja ja nu snap ik het. Er is een lek in een MS product en die wordt door derden gebruikt in hun software. MS ontdekt het lek repareert dit lek (hoop ik) en nu moeten de derden hun software weer opnieuw maken.
oke duidelijk verhaal.
Tja, zo lusten we er nog wel een paar, niet? Gelukkig knipoog je erbij, anders zou ik het serieus nemen.... Zo hebben ze, als ik me niet vergis (want het is lang geleden), bijna anderhalf jaar op hun handen gezeten om het lek te dichten dat het toe liet om de XP firewall (als het de naam al mocht dragen...) van buiten af uit te zetten. Maar een goede reden heb ik nooit gehoord.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.