Expert vreest meer Microsoft-noodpatches door Google
Het programma van Google om naar kwetsbaarheden in populaire software te zoeken kan dit jaar voor meer noodpatches van Microsoft zorgen. Daarvoor waarschuwt Lane Thanes van beveiligingsbedrijf TripWire. De zoekgigant kondigde vorig jaar de oprichting van het Project Zero Team aan.
Dit is een team van elite hackers en onderzoekers die zowel in de software van Google als andere leveranciers naar beveiligingsproblemen zoeken. Zodra er een kwetsbaarheid wordt gevonden krijgt de betreffende leverancier 90 dagen de tijd om het probleem te verhelpen. Daarna worden de details automatisch openbaar gemaakt, ongeacht of er een beveiligingsupdate beschikbaar is.
"Gemiddeld zal Microsoft, gezien de vaste patchdinsdag en het rigide tijdsvenster van Project Zero, slechts 70 tot 80 dagen de tijd hebben om patches voor door Google ontdekte kwetsbaarheden te ontwikkelen, te testen en uit te rollen", waarschuwt Thanes. Google publiceerde begin dit jaar al de details van verschillende Windowslekken, tot ergernis van Microsoft. De impact van de lekken viel echter mee, waardoor de softwaregigant geen noodpatch uitbracht en de lekken via de standaard patchdinsdag verhielp.
Ik heb afgelopen jaar een paar gaten aangemeld bij leveranciers. Die 90 dagen is nog kort vergeleken bij wat sommige bouwers aanhouden. Eentje is al ruim een half jaar bezig met "breng de laatste patches aan en test het maar weer". Als we de spullen niet zelf gebruikten, zou ik de informatie openbaar maken.
Peter
Ik snap daarom de vrees ook niet echt.
Les 1 marketing: "Een ontevreden klant die daar melding van maakt, is een trouwe klant!"
Steve Balmer zei het zo "Microsoft is perfect (!!!!! -"perfectly capable") in staat om zelf mogelijke fouten in de eigen producten te vinden en op te lossen. Dank u." Nou, dat hebben we dan gezien.
Het werd hoog tijd dat Microsoft door externe onafhankelijke toetsing bij de (security) les wordt gehouden! Hulde voor Google hierbij!
Het probleem is niet het melden van fouten. Het probleem is, dat MS een schema heeft waarop het patches uitbrengt. Dit is gedaan, om het beheerders makkelijker te maken om de spullen bij te houden. Voor iedere tussentijdse patch moet een heel circus worden opgetuigd om in een grote onderneming alles veilig te krijgen. Vergeet niet, dat zo'n bedrijf moet testen of er systemen zijn, die niet tegen die patch kunnen. Wanneer dat het geval is, moet worden beoordeeld hoe groot het risico van het lek voor de onderneming is en wat er moet gebeuren om dat risico weg te krijgen. Dit doe je liever niet ad hoc maar volgens een planbaar schema.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.