image

Microsoft boos over Google's zero-day lek in Windows XP

vrijdag 11 juni 2010, 08:39 door Redactie, 11 reacties

Microsoft is niet blij met de manier waarop Google een ernstig beveiligingslek in Windows XP heeft bekendgemaakt, daarnaast werkt de oplossing die de zoekgigant adviseert ook niet. Eergisteren onthulde Tavis Ormandy, beveiligingsonderzoeker bij Google, een kwetsbaarheid in Windows XP en Server 2003 waardoor aanvallers volledige controle over kwetsbare machines kunnen krijgen. Het lek bevindt zich in het Windows Help en Support Center. Ormandy waarschuwde Microsoft op 5 juni, dat het probleem bevestigde. De onderzoeker besloot niet op een patch te wachten en publiceerde zijn ontdekking, inclusief proof-of-concept en een onofficiële patch.

"Het publiek melden van de details van dit lek en hoe het te misbruiken, zonder ons de tijd te geven het probleem voor betrokken klanten op te lossen, maakt grootschalige aanvallen waarschijnlijker en brengt klanten in gevaar", zegt Mike Reavey, directeur van het Microsoft Security Response Center (MSRC). Hij hamert op het verantwoord melden van lekken, waarbij de softwareontwikkelaar in kwestie als eerste wordt ingelicht. "De vendor die de code schreef is als beste in staat om de oorzaak te begrijpen." Inmiddels heeft Microsoft een advisory over het lek gepubliceerd.

Incompleet
Volgens Reavey is het een mooie vondst van Ormandy, maar is zijn analyse incompleet en is de door Google voorgestelde oplossing eenvoudig te omzeilen. "In sommige gevallen is er meer tijd vereist voor een uitgebreide update die niet te omzeilen is, en die geen kwaliteitsproblemen veroorzaakt", aldus de Microsoft topman. Die erkent dat beveiligingsonderzoekers onmisbaar voor de gehele industrie zijn, maar blijft om 'responsible disclosure' vragen, om zo "klanten te beschermen en de beveiliging te verbeteren."

Kritiek
Volgens sommige critici heeft de actie van Ormandy niets met full-disclosure te maken, maar gaat het om een mogelijk communicatieprobleem tussen hem en het MSRC. "Je zegt dat Microsoft een communicatieprobleem moet oplossen. Dat heeft volgens mij niets met het Full-disclosure onderwerp te maken", aldus Susan Bradley op de Full-disclosure mailinglist. Ormandy heeft niet meer gereageerd want die liet eerder al tegen Bradley weten: "Ik zal geen ongeïnformeerde vragen over dit onderwerp meer beantwoorden."

Patch
Uit onderzoek van het Deense Secunia blijkt dat de door Google aangeboden hotfix niet werkt. "Gebruikers wordt aangeraden om de onofficiële hotfix niet te installeren, maar in plaats daarvan de HCP URI handler uit het register te verwijderen om zo misbruik te voorkomen tot dat een officiële patch van Microsoft beschikbaar is", zegt beveiligingsspecialist Alin Rad Pop.

Verantwoord
De actie van Google volgt op berichtgeving dat de zoekgigant een Windows-verbod voor werknemers zou hebben afgekondigd. Het is dan ook de vraag in hoeverre dit een PR-actie is. In januari van dit jaar is Google begonnen met een beloningsprogramma voor onderzoekers, waarbij het kleine bedragen voor gerapporteerde beveiligingslekken betaalt. Geld dat het alleen uitkeert als kwetsbaarheden op verantwoorde wijze aan Google worden gemeld, oftewel geen Full-disclosure zoals Ormandy nu heeft gedaan.

Reacties (11)
11-06-2010, 09:31 door Anoniem
Waarom dat gedoe met -niet werkende- patches?
Blokkeer gewoon (permanent) in Services de Help&Ondersteuning en het probleem is opgelost.
Start>Configuratiescherm>Systeembeheer>Help&Ondersteuning>Tab Algemeen>selecteer Opstarttype: Uitgeschakeld.
Maar daar komt MS niet mee want dan is hun Help&Ondersteuning permanent uitgechakeld. Alsof het iets toevoegt.
11-06-2010, 10:08 door [Account Verwijderd]
[Verwijderd]
11-06-2010, 10:41 door There Is A
die hebben M$ toch allang de deur gewezen?

"In januari van dit jaar is Google begonnen met een beloningsprogramma voor onderzoekers, waarbij het kleine bedragen voor gerapporteerde beveiligingslekken betaalt. Geld dat het alleen uitkeert als kwetsbaarheden op verantwoorde wijze aan Google worden gemeld, oftewel geen Full-disclosure zoals Ormandy nu heeft gedaan."

wel op verantwoorde wijze zelf "lekken" willen maar bij de concurent "gewoon" op het wereld wijde web zetten
11-06-2010, 10:49 door Anoniem
Kansloos.. En dan zelf ook een patch uitbrengen die niet werkt..
Tegenwoordig kijk ik nergens meer van op bij Google, aangezien ze helemaal niets geven om privacy/bescherming, maar dit is toch weer iets..
11-06-2010, 11:16 door Zipper306
Eh bij google is het toch verboden met het Windows OS te werken?
11-06-2010, 13:59 door Anoniem
Door Anoniem: Waarom dat gedoe met -niet werkende- patches?
Blokkeer gewoon (permanent) in Services de Help&Ondersteuning en het probleem is opgelost.
Start>Configuratiescherm>Systeembeheer>Help&Ondersteuning>Tab Algemeen>selecteer Opstarttype: Uitgeschakeld.
Maar daar komt MS niet mee want dan is hun Help&Ondersteuning permanent uitgechakeld. Alsof het iets toevoegt.

Mee eens. Het is zelfs good-practice om services die je niet gebruikt uit te schakelen. De 'help and support' service is geen systeemkritieke service, en kan in veel gevallen dus ook worden uitgeschakeld.

Maar nog steeds zou ik het onderdeel gepatched willen zien. Het is, of je het nu gebruikt of niet, toch een onderdeel van je systeem.
11-06-2010, 15:15 door Anoniem
Een hotfix van Google zelf?

En hoppa, meteen iets installeren dat jij niet wilt. Iets dat je monitort ook al ben je niet op je webbrowser. Ik accepteer niks behalve jullie zoekmachine met Scroogle of course. Vuile...
11-06-2010, 20:21 door [Account Verwijderd]
[Verwijderd]
11-06-2010, 20:23 door [Account Verwijderd]
[Verwijderd]
12-06-2010, 21:08 door P5ycH0
Flikker op zeg. Als je een lek product oplevert (typisch amerikaans: we leveren eerst op, en gaan daarna pas fixen), moet je niet gek staan te kijken als een lek gevonden wordt. En niet gaan huilen als men het publiekelijk bekent maakt. Dat is misschien niet goed voor MS, maar dwingt wel een snelle fix af.
13-06-2010, 10:36 door Anoniem
@ P5ycH0
Je hebt natuurlijk wel gelijk, zeker als het een ONAFHANKELIJKE security-analyst oid was geweest. In dit geval ligt toch echt de relatie tussen Google en Microsoft er TE dik bovenop. Dit is gewoon walgelijk. Ik kan me voorstellen dat veel mensen een hekel hebben aan M$, maar dit kan zo eigenlijk echt niet. Ik denk dat Google er ernstig rekening mee moet houden dat ze een koekje van eigen deeg terug kunnen verwachten. Elke bug/security issue in Chrome OS zal aan de grote klok worden gehangen, zodra iemand bij M$ er eentje vind. Dit kan allemaal nooit de bedoeling zijn volgens mij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.