Nieuws
image

Microsoft patcht Windows-lek na 270 dagen

woensdag 18 augustus 2010, 12:18 door Redactie, 16 reacties

Verschillende lekken die Google beveiligingsonderzoeker Tavis Ormandy maanden geleden aan Microsoft rapporteerde, zijn pas vorige week gepatcht. Ormandy kreeg flinke kritiek te verduren toen hij in juni een zeer ernstig lek in het Help en Support Center in Windows XP in juni openbaarde. Naar eigen zeggen wilde Microsoft het lek niet binnen zestig dagen verhelpen, terwijl de softwaregigant volhoudt dat er nog helemaal geen afspraak was gemaakt en het contact nog liep.

Full-disclosure
Voor deze full-disclosure actie blijkt Ormandy meerdere lekken in de Windows-kernel aan Microsoft te hebben gerapporteerd, die tijdens de patchcyclus van augustus werden opgelost. Via de kwetsbaarheden kon een aanvaller zijn rechten verhogen. De Google-onderzoeker heeft nu de exploits online gezet en voorzien van het aantal dagen dat Microsoft nodig had om ze te verhelpen.

Eén lek was 270 dagen geleden gemeld, wat bij Ormandy alleen voor de opmerking "Srsly" zorgt. Voor de andere kwetsbaarheden had de softwaregigant 240 en 150 dagen nodig. Ormandy werd wel door Microsoft in Security Bulletin MS10-047 bedankt voor zijn inzet.

Reacties (16)
18-08-2010, 12:53 door Eerde
Volgens Jeff Jones is dat allemaal FUD, M$ patcht zeer snel. Het zou juist GNU/Linux zijn dat zo traag is met het dichten van lekken...

Ja, ja.... en mijn vrouw is: the Queen of Sheba ;)
18-08-2010, 13:55 door Anoniem
Eerde, stop onderhand eens met bashen. Het is makkelijk om commentaar te leveren op andermans handelingen.

Dat iets meer dan 60 dagen kost om te patchen is vervelend en moet zoveel mogelijk worden voorkomen. Maar wanneer een patch vervolgens ergens anders voor problemen zorgt tijdens het testen, betekent dit soms, dat je terug moet naar af.

Ben je dan al 50 dagen bezig en heb je daarna weer 50 dagen nodig om het wel goed te doen, ben je dus 100 dagen bezig, dan verschijnt de patch dus pas na 120 dagen. Dat is lang, maar een brakke patch is misschien wel erger....

Denk maar eens aan de gevolgen van een false positive door een virusscanner op een essentieel OS bestand.
18-08-2010, 14:47 door spatieman
zijn we niet anders gewend van MS om traag te patchen.
18-08-2010, 14:47 door Anoniem
Door Anoniem: Ben je dan al 50 dagen bezig en heb je daarna weer 50 dagen nodig om het wel goed te doen, (...)

Als een tweede poging weer 50 dagen kost, dan ben je ofwel een zeel slechte programmeur of het programma dat je probeert te patchen is zeer slecht geschreven.

Peter
18-08-2010, 17:09 door ej__
Door Anoniem:
Door Anoniem: Ben je dan al 50 dagen bezig en heb je daarna weer 50 dagen nodig om het wel goed te doen, (...)

Als een tweede poging weer 50 dagen kost, dan ben je ofwel een zeel slechte programmeur of het programma dat je probeert te patchen is zeer slecht geschreven.

Peter
Vertel eens wat nieuws. ;) Waarom denk je dat 'ze' bepaalde fouten in de afhandeling van het cifs protocol niet eens durven te patchen? :D
18-08-2010, 18:05 door Anoniem
Beter laat dan nooit, toch??
18-08-2010, 18:25 door SirDice
Door ej__:
Door Anoniem:
Door Anoniem: Ben je dan al 50 dagen bezig en heb je daarna weer 50 dagen nodig om het wel goed te doen, (...)

Als een tweede poging weer 50 dagen kost, dan ben je ofwel een zeel slechte programmeur of het programma dat je probeert te patchen is zeer slecht geschreven.

Peter
Vertel eens wat nieuws. ;) Waarom denk je dat 'ze' bepaalde fouten in de afhandeling van het cifs protocol niet eens durven te patchen? :D
Simpel. Omdat dat de compatibiliteit om zeep helpt. "Ze" kunnen het best patchen, alleen kan jouw machine dan niet meer communiceren met andere machines die die patch nog niet hebben.
18-08-2010, 18:45 door Anoniem
Als je echt snelle patches wilt hebben, moet je Unix gebruiken, dat bleek nou maar weer eens,
18-08-2010, 21:43 door Anoniem
Door Eerde: Volgens Jeff Jones is dat allemaal FUD, M$ patcht zeer snel. Het zou juist GNU/Linux zijn dat zo traag is met het dichten van lekken...

Ja, ja.... en mijn vrouw is: the Queen of Sheba ;)

Waarom zien we jouw niet in deze thread we wten dat jij deze thread hebt gelezen.

http://security.nl/artikel/34195/1/Ernstig_Linux-lek_geeft_hackers_toegang_tot_systeem.html
19-08-2010, 10:42 door SirDice
Door Anoniem: Als je echt snelle patches wilt hebben, moet je Unix gebruiken, dat bleek nou maar weer eens,
Je bedoelt dat gat wat er al sinds 2004 in zat en nu pas opgemerkt is? Ja, da's inderdaad lekker snel.
19-08-2010, 11:07 door Anoniem
Misschien dat MS gevonden lekken traag patcht, maar als de lekken bij andere OS-en zo traag gevonden worden dat aanvallers in de tussentijd wel 10 exploits kunnen schrijven heb je er nog niet zo veel aan ;-). (Geinige captcha trouwens, http://bit.ly/CaptchaReATcy)
19-08-2010, 12:33 door ej__
Door SirDice:
Door ej__:
Door Anoniem:
Door Anoniem: Ben je dan al 50 dagen bezig en heb je daarna weer 50 dagen nodig om het wel goed te doen, (...)

Als een tweede poging weer 50 dagen kost, dan ben je ofwel een zeel slechte programmeur of het programma dat je probeert te patchen is zeer slecht geschreven.

Peter
Vertel eens wat nieuws. ;) Waarom denk je dat 'ze' bepaalde fouten in de afhandeling van het cifs protocol niet eens durven te patchen? :D
Simpel. Omdat dat de compatibiliteit om zeep helpt. "Ze" kunnen het best patchen, alleen kan jouw machine dan niet meer communiceren met andere machines die die patch nog niet hebben.
Niet helemaal correct zoals bleek uit de discussies tussen het Samba team en het windows team. Ze _durven_ het niet te veranderen omdat de impact niet kan worden ingeschat (door broddelprogrammering). Ze waren in ieder geval wel zo eerlijk daarvoor uit te komen.
19-08-2010, 12:36 door ej__
Door SirDice:
Door Anoniem: Als je echt snelle patches wilt hebben, moet je Unix gebruiken, dat bleek nou maar weer eens,
Je bedoelt dat gat wat er al sinds 2004 in zat en nu pas opgemerkt is? Ja, da's inderdaad lekker snel.
Je bedoelt dat gat dat 270 dagen geleden is opgemerkt en nu pas wordt gepatched? Dat is vlug...

Na alle eerdere nieuwtjes heb ik er nog eentje: alle OSen hebben nog minimaal 1 kritisch gat dat er al vanaf het begin van het betreffende OS in zit.

Het gaat er niet om hoe lang een gat in een OS zit, het gaat er om hoe snel het gepatched wordt na ontdekking. Want dat is de kritische tijd dat gebruikers voor 0day aanvallen open staan.
19-08-2010, 14:20 door SirDice
Door ej__: Het gaat er niet om hoe lang een gat in een OS zit, het gaat er om hoe snel het gepatched wordt na ontdekking. Want dat is de kritische tijd dat gebruikers voor 0day aanvallen open staan.
Wie zegt er dat de bad guys niet allang en breed op de hoogte waren?

(Jouw definitie van een 0day klopt niet)
19-08-2010, 17:20 door ej__
Door SirDice:
Door ej__: Het gaat er niet om hoe lang een gat in een OS zit, het gaat er om hoe snel het gepatched wordt na ontdekking. Want dat is de kritische tijd dat gebruikers voor 0day aanvallen open staan.
Wie zegt er dat de bad guys niet allang en breed op de hoogte waren?

(Jouw definitie van een 0day klopt niet)
En wederom: iets genuanceerder lezen. Een 0day is een lek dat nog niet is gepatched, maar wel gebruikt kan worden|wordt door aanvallers. Wie de ontdekking doet is irrelevant, dit kan natuurlijk ook de aanvaller zijn. :)
23-08-2010, 18:22 door SirDice
Door ej__: Een 0day is een lek dat nog niet is gepatched, maar wel gebruikt kan worden|wordt door aanvallers.
Nee, een 0day is een exploit voor een onbekend lek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search