Nieuws
image

Microsoft laat beveiligingslek 2 jaar zitten

donderdag 13 augustus 2009, 14:43 door Redactie, 6 reacties

Een van de drie gepatchte beveiligingslekken in Office Web Components, die al zeker een maand door aanvallers wordt misbruikt, was al meer dan twee jaar bij Microsoft bekend. Alle drie de fouten in de ActiveX controls waren via het Zero Day Initiative (ZDI) beloningsprogramma aan de softwaregigant gemeld. De controls geven gebruikers de mogelijkheid om Office documenten op het web te publiceren en vervolgens met Internet Explorer te bekijken. Een van de kwetsbaarheden werd al ruim een maand via drive-by aanvallen gebruikt voor het besmetten van systemen. Dit lek was al sinds 19 maart bij Microsoft bekend, aldus het overzicht van het ZDI. Ook het tweede lek was al 29 maanden bekend. De derde kwetsbaarheid stamt uit december 2007 en is daarmee 20 maanden oud.

Toch heeft het beveiligingsbedrijf geen kritiek op het trage patchen van Microsoft. "Over het algemeen genomen is Microsoft een van de betere leveranciers wat betreft het tijdig patchen van kwetsbaarheden", zegt onderzoeker Cody Pierce. Hij vraagt zich af of echter 29 maanden een acceptabele tijdsduur is. "Lekken als deze zijn vrij complex en het ontwikkelen van een patch die niet de applicatie sloopt, kan soms jaren duren."

Reacties (6)
13-08-2009, 15:02 door Anoniem
Kwestie van prioriteiten. Als security nog eens echt belangrijk is en mensen anders apps niet meer gebruiken, zullen dit soort patches toch wel een stukje sneller komen.
13-08-2009, 15:56 door Anoniem
Een van de drie gepatchte beveiligingslekken in Office Web Components, die al zeker een maand door aanvallers wordt misbruikt, was al meer dan twee jaar bij Microsoft bekend.

Al meer dan twee jaar oud en pas een maandje misbruikt? Dan is er wat voor non-disclosure te zeggen aangezien de meeste lekken pas na full-disclosure misbruikt worden.
13-08-2009, 16:11 door [Account Verwijderd]
Toch heeft het beveiligingsbedrijf geen kritiek op het trage patchen van Microsoft. "Over het algemeen genomen is Microsoft een van de betere leveranciers wat betreft het tijdig patchen van kwetsbaarheden", zegt onderzoeker Cody Pierce.


En dat zegt genoeg over de software leveranciers waar Pierce Microsoft mee vergelijkt. Wat een bagger...
13-08-2009, 17:10 door [Account Verwijderd]
Door Anoniem:
Een van de drie gepatchte beveiligingslekken in Office Web Components, die al zeker een maand door aanvallers wordt misbruikt, was al meer dan twee jaar bij Microsoft bekend.

Al meer dan twee jaar oud en pas een maandje misbruikt? Dan is er wat voor non-disclosure te zeggen aangezien de meeste lekken pas na full-disclosure misbruikt worden.


Zeker. Dat geeft bedrijven de ruimte lekker lang aan te rotzooien en, op kleine schaal dan, klanten voor lange tijd in gevaar te brengen zonder dat ze marktaandeel verliezen. Wereldsysteem...
15-08-2009, 13:15 door Van Hoorne
Ja en Linux laat een groot lek acht jaar zitten. Wereldsysteem, he Rotsmoel?
15-08-2009, 16:16 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search