Goed dat MS al bezig was met een patch dus, alleen jammer dat er zoveel smaken zijn, dat het schrijven en testen lang kan duren.

Voor wie op MS wil katten: ook bij firefox enz. zal eerst iemand iets moeten melden, voor het gefixed kan worden en daarna kost het ook daar tijd.

Je moet beter lezen: Er staat "bug was BEKEND bij MS sinds september!".

Verder is het natuurlijk om je dood te schamen. Maar het is als zo vaak. Bugs worden pas serieus genomen wanneer de pleuris uitbreekt. Mensen betalen genoeg geld en je mag dan ook verwachten dat MS (of elke ander bedrijf) serieus met dit soort dingen omgaat.

Hallo, misschien heeft iemand hier ervaring Een. Ik heb namelijk
mshtml.dll uit windows vista gekopiereerd en in Windows XP geplaatst.
Thuis heb ik alleen DLL´s van IE8 webbrowser uit vista gehaald en
in system32 geplaatst, Is er ook iemand die dezefde truck heeft uitgehaald?
Microsoft weigert nu mijn webbrowser tevoorzien van uptdate!

Je moet beter lezen. Dat het BEKEND was, betekent niet dat er dan ook meteen een OPLOSSING is. Met dank aan alweer de tendentieuze berichtgeving van de redactie.

Er 4 maanden voor publiek bekend worden van een groot misbruik al kennis van hebben en dan 3 dagen doen om na de eerste publieke berichten een waarschuwing uit te geven en er meer dan 4 maanden over doen om een patch uit te brengen voor zo iets kritieks. Microsoft kan zich in een hoekje gaan staan schamen. De uitleg van Microsoft doet ook ernstig vermoeden dat ze zeer goed op de hoogte zijn van nog meer kritieke lekken waar ze voorlopig echt niets aan gaan doen.

Als ik ooit een pleidooi voor "full disclosure" heb gelezen, dan is het dit bericht. Ontluisterend.
Ze hadden Google dus gewoon kunnen beschermen tegen de aanval in China door sneller een patch uit te brengen. Als ik Google was zou ik direct naar de rechter stappen voor een schadeclaim.

Ik neem aan dat MS nu uitzoekt hoe het MSRC deze bug zo heeft kunnen onderschatten en welke andere bekende bugs potentieel even gevaarlijk zijn en dus een snelle oplossing vergen?

En als ze in alle haast een patch uitbrengen krijg je dat er computers crashen etc... en dan huilen de ms bashers daar wel weer over. Ik bedoel het is vrij logisch dat ze eerst grondig testen en zodra er een andere bug actief wordt misbruikt zullen ze die inderdaad eerder patchen, dan een bug die nog niet bekend is. ;) logisch toch ?

Dat beter lezen geldt voor jezelf. Er staat ook: De update had Microsoft al voor de patchcyclus van februari gepland.

Er wordt dus WEL serieus mee omgegaan. Selectief lezen is ook een vak, maar het blijft natuurlijk een sport om te katten. Elk groot bedrijf heeft tijd nodig, je weet b.v. niet hoe lang een AV leverancier bekend is met een nieuwe variant, voordat ze dit toegevoegd hebben. En je weet niet op welk niveau het issue zit, zodat je niet kunt vergelijken tussen patches. Vergeet niet dat DLL's door meerdere applicaties gebruikt kunnen worden en je ook die moet testen om problemen te voorkomen.

"Dat beter lezen geldt voor jezelf. Er staat ook: De update had Microsoft al voor de patchcyclus van februari gepland."

Geloof je dat zelf ?!? Ik geloof er geen reet van.

Gek hè? *zucht*

Mooie reclame voor TippingPoint :-)

Sure.

Wake up! Zeker niet werkzaam bij een grote enterprise organisatie maar bij een kleine gemeente in lutje-lol-weet-ik-veel vraag ik dan.

Snap je eigenlijk wel hoe zo'n proces gaat en hoelang dat duurt? En waarom?? Mede omdat de halve wereld nog op oude versies wil blijven zitten om wat voor onnozele reden dan ook (vaak alleen maar geld....) en dus de remmende factor in voortgang en innovatie is.

In plaats van nu eerst eens de hand in eigen boezem te steken.... Security en maatregelen nemen zoals ontwikkelingen volgen is totaal niet van belang bij veel organisaties. Behalve dan als het goed mis is. En dan voor niet zelf verantwoordelijkheid nemen maar naar andere wijzen.

Dit voorbeeld is dan even een lek en ja dan heb je even commotie. Maar bekijk het nou eens allemaal van een afstand en realistischer.

Laten we nou a.u.b. eens ophouden met stommetje spelen en dat gejank richting leveranciers van welke pluimage dan ook. Ooit wel eens gekeken hoe de meeste applicaties worden gebouwd intern of extern in organisaties? Ongelofelijk: dat is pas dik janken. Nou ik kan je verzekeren dat er maar weinig trajecten zijn waar secure coding en je houden aan best practises voor programming worden meegenomen. Het stikt van de lekken en fouten. Ik kan met een gerust hart zeggen dat de meeste applicaties zo lek zijn als vergiet. Gekocht en zelf ontwikkeld! Er is volgens mij ook onderzoek geweest en daaruit blijkt dat er een grote verschuiving is van Operating System naar applicaties. Toevallig nu IE maar heb je wel eens gekeken in de lijst van vulnerabilities van het laatste jaar? Right. Case closed lijkt me.

Je hebt gelijk, dat is idd schrijnend. Maar dat zegt ook iets over de cultuur die er heerst bij de ontwikkeling, nl het moet allemaal zo snel mogelijk geld op brengen. Ik ben ervan overtuigd dat als de prijs van het besturingssysteem lager zou zijn, dan zouden de mensen mss iets sneller overschakelen op een nieuwere versie.

Het feit dat microsoft reeds op de hoogte was van de vulnerability vind ik anderzijds wel een goed iets, maar ze hadden iets sneller kunnen zijn. Ze zeggen wel dat ze x-aantal verschillende versies moeten maken, maar als je programmatie process goed is, dan mogen talen van de eindgebruiker daar geen rol in spelen. Of toch veel minder. Er moet namelijk geen taal gecodeerd zitten in de mshtml.dll, dit zouden enkel code moeten zijn. Ze hebben eindelijk dit anders aangepakt vanaf Vista, maar dit had al veel eerder moeten gebeuren.
En betreffende nog andere lekken, natuurlijk is Microsoft daarvan op de hoogte, Mensen zoeken constant naar fouten, en MS kan enkel diegene patchen die zij zien als het dringendste, bij deze hebben ze een foutje gemaakt vind ik persoonlijk. Deze was wel dringend, remote code execution via een browser zou altijd high priority moeten zijn.
</rant>:)

Wake up! Zeker niet werkzaam bij een grote enterprise organisatie maar bij een kleine gemeente in lutje-lol-weet-ik-veel vraag ik dan.

Snap je eigenlijk wel hoe zo'n proces gaat en hoelang dat duurt? En waarom?? Mede omdat de halve wereld nog op oude versies wil blijven zitten om wat voor onnozele reden dan ook (vaak alleen maar geld....) en dus de remmende factor in voortgang en innovatie is.
-------------------------------------------------------------------------------------

Omdat 9 van de 10 mensen (die bij de slager op de hoek wereken) niet verdienen wat jij blijkbaar wel verdient...

Als MicroSoft een O.S. op de markt brengt voor 30 euro!!! Dan zou de halve wereld elk jaar de laatste nieuwe versie kopen! (en zouden ze NOG meer winst kunnen maken) Dat zou pas innovatie zijn!

Kom zelf uit de muziek industrie...
en die hebben zichzelf ook 'de das om gedaan' door vanaf de 1e dag blijvend woekerprijzen te vragen voor de CD's
Daarom zijn mensen gaan kopieren en zelf branden... en niet andersom zoals zij beweren!
Peerke...

TGuurlijk joh. Microsoft is een boef. En Google is Sinterklaas. Nou goed?