Staat Microsoft met al zijn geld en grote hoeveelheid personeel toch mooi voor schut...

Toch wacht ik liever op een officiele patch, dit is alleen maar een work around.


Zeker aangezien:
Om de micropatch te installeren moet wel de gratis 0patch Agent-software op het systeem draaien.
Ik hoef geen third party software om een patch te installeren...

Ik zou als beheerder geen patch van een ander bedrijf gaan installeren. En ze hebben het lek niet aan Microsoft gemeld , dus hoezo staan die voor schut?

Microsoft staat voor schut omdat het een ander bedrijf blijkbaar wel lukt snel een patch uit te brengen terwijl we van Microsoft nog niks gekregen hebben. [sarcasm]Oh wacht, het is natuurlijk nog geen Patch Tuesday geweest! Wat dom van mij :-))[/sarcasm]

Het hele update systeem van Microsoft doet mij denken aan de MS-DOS tijd, het is antiek en achterhaald, ze kunnen wat dat bestraft een voorbeeld nemen aan Linux en BSD.

Ze vinden een bug, ontwikkelen een patch en komen dan naar de buitenwereld dat hun "gratis" oplossing je veiliger maakt.

Dit is een slechte reclame stunt van Acros.
Wat ze moeten doen: bug in confidentialiteit melden aan Microsoft en in hun pakket hun oplossing toevoegen en reclame maken dat ze tegen 0-day aanvallen beschermen van microsoft, zonder broncodes of details van de bugs te lossen, pas na een vooropgestelde tijd (bv 90 dagen) los je alle details van de bug en pak je ermee uit dat al je gebruikers al 90 dagen lang beschermd waren en in tussentijd nog beschermd zijn voor x-aantal bugs.

Tja, je naam zegt het al, je wilt gewoon even MS bashen. nou ja, je geluk momentje van vandaag weer gehad

volgens mij begrijp je het verhaalniet helemaal.

Acros heeft een patch gemaakt voor een Zero day die iemand anders wereldwijd bekend heeft gemaakt waardoor Microsoft zelf nog geen patch had

Acros heeft niet de Zero day zelf gevonden
lees ook even:
https://tweakers.net/nieuws/142617/amerikaans-cert-waarschuwt-voor-op-twitter-verschenen-windows-zero-day.html

Nee, dat is het niet. De patch is door "iemand" gevonden, en direct in de openbaarheid gebracht via Twitter, waarna Acros geprobeerd heeft het lek tot nader order te dichten. Ze kunnen idd sneller opereren omdat het geen officiele fix van Microsoft betreft en dus geen compatibiliteits tests en validatie proces hoeven te doorlopen. Installeren is dus geheel op eigen risico. Als beheerder van een verder goed onderhouden omgeving zou ik dat risico niet aanwillen en gewoon wachten op de officiele publicatie, al was het maar omdat ik niet vanwege zoiets "ff snel een gratis agent van een security toko" zou willen installeren, maar wie zich er mee vertrouwd voelt: doe het vooral en niet huilen als het toch blijkt stuk te gaan.

Microsoft kan het volgens sommigen nooit goed doen. Duurt het te lang, dan zijn ze verouderd en niet flexibel genoeg, komen ze snel met een fix en er gaat iets niet werken, dan is het huis te klein, want kunnen die gasten verdomme nou nooit eens fatsoenlijk testen. "Wat een ontzettende prutz0rs!"

Sorry mensen,

De enige die in dit verhaal het fout heeft gedaan is de boerenlul die persé zijn ontdekking aan de wereld moest laten zien om te bewijzen dat hij de ultime h4x0r was i.p.v. volgens een redelijke definitie van responsable disclosure zijn informatie via de daarvoor ingerichte kanalen met de schrijver te delen.

Dit is niet door Acros gevonden....

Zij hebben die bug niet gevonden. Ze vonden alleen dat Microsoft niet snel genoeg reageert en hebben het daarom maar zelf gedaan. Totale blamage voor Microsoft.


Je blaft tegen de verkeerde boom op. Zij hebben die bug niet gevonden en er was al een exploit publiek gemaakt - https://www.securityweek.com/exploit-published-windows-task-scheduler-zero-day. Dan zou je verwachten dat Microsoft er bovenop zou zitten en a.s.a.p. een patch uitbrengt. De realiteit is anders gebleken. Dus dan doe je het maar zelf. Ik vind het een lovenswaardig initiatief dat meerdere partijen zouden moeten oppakken!

https://0patch.com/
"Crowdpatching the future" klinkt als "pak de gevonden kwetsbaarheden in systemen zelf aan en geef ze uit". Klinkt ideaal, totdat je verantwoordelijk bent voor informatiebeveiliging in een organisatie. Welke onderneming vertrouwt die 3-rd party agent-software en rolt ze massaal uit op de Win10 werkplekken? We zien in dit geval de broncode op Twitter, maar ja, hoe zeker is dat de software daarmee overeenkomt?

De security patches die ik tegen MS Windows toepas heten OpenBSD + PF en Debian GNU / SELinux, beiden op AMD 64-bits hardware met custom-made Coreboot firmware.

Het is tenminste geen officiële iso die achteraf besmet blijkt te zijn.

Ik krijg helemaal kippevel, dat is toch veel erger?

het is wel zuur, aan de ene kant krijg je rotte updates binnen om een ietwat exotischere exploit waar geen PoC code voor is en je machine langzamer gaat maken (https://www.security.nl/posting/574946/Intel-microcode-update+zorgt+voor+problemen+met+Windows+10), maar aan de andere kan krijg je nog geen update om een kinderlijke expoit die waar een PoC voor is aan te pakken en moet dat gedaan worden door een andere toko. sjeez! lekker bezig... NOT!

Ik vind meer dat jij met dit antwoord voor schut staat.

Een 3de partij bedrijf ontwikkeld even een patch, zonder enige vorm van garantie of door testing. Microsoft moet de update goed door testen en ondersteunen op alle mogelijke situaties. De 3de partij bied garantie tot de voorkeur.

Kan ik deze partij ook bellen als mijn omgeving van 15K werkstations niet meer werken, of zich in eens vreemd gaan gedragen of als andere applicaties in eens anders werken? Volgens mij niet.... Bij Microsoft kan ik wel bellen..

Dus nee. Er is er momenteel maar 1 die voor schut staat, en dat ben helaas jij.

Ach gut, dat is welgeteld één keer gebeurd bij Linux Mint... tegenover de talloze blunders van Microsoft...

In de praktijk blijkt dat Microsoft niet erg goed is in uitgebreid testen gezien het aantal problematische updates de laatste tijd.

De talloze aters met linux iot spul zijn notoir en onherstelbaar.
Binnen enterprise omgevingen gaat die lijn door.

Slecht beheer kun je niet met techische foefje en een geloof oplossen.

Zoals eerder al gesteld dit verhaal stinkt.
Als je als beheerder de scheduler niet aan kan moet je zeker niet wat code van anderen er over heen halen.
Ja ik weet in de foss aanpak is kopieren van andermans code omdat je het kan zien maar niet doorgrond prima.
Ik ben meer voor doorgronden en dan een overwogen keus maken.

Die BSD updates hebben behoorlijk gefaald toen het er op aan kwam. Beloften etc gebroken lhm.

Die hebben niets met Linux te maken!


Nee. Alleen in jouw kleine wereldje. De grote mensen bij Google, Amazon, etc. werken met Linux in de allergrootste enterprise omgevingen en hebben jouw probleempjes niet.


Hoeft ook niet. De echt grote spelers hebben aangetoond dat het werkt. De kleine jongens in hun kleine wereldje denken allerlei probleempjes te zien die er helemaal niet zijn.


Jij wel ja :-) Ik heb medelijden met degenen die je meesleept in je kleine wereldje.

Het is wel een zielig geval bij deze bug melder/meldster/een 'ie'. Heeft last van een gender-depressie na een 'ombouw' -
de stem bleef namelijk te mannelijk, dus te laag. IT Brains in een verknipt lichaam. Dit tenminste volgens wat je uit zijn Twitter messages zou kunnen opmaken.

Daarom heeft ie waarschijnlijk ook niet via de gebaande wegen aan normale disclosure gedaan en Microsoft vond het vervolgens niet zo belangrijk om te komen met een "out of band" pleister.

Deze third party fix lijkt me meer een publicity stunt van de makers ervan en je krijgt er geen garantie op en moet zorgen dat je het met de originele fix weer ongedaan hebt gemaakt.

Vreemd intermezzo dus in de bug melding procedure en het oplossen van een zero-day of is het misschien eerder te bestempelen als een "dll-feature" en gaat MS het helemaal niet patchen? We zullen zien.

Het zijn over het algemeen vrij complexe aanpassingen die inderdaad af en toe mislukken vanuit Microsoft. En het is dan altijd gemakkelijk om Microsoft de schuld te geven.

Dat veranderd hier niets aan, dat jij met je opmerking nog steeds voor schut staat. Want het veranderd er namelijk nog steeds niet aan. Je probeert nu alleen extra de focus op iets anders te leggen. Zien we wel vaker hier.

Nee dat is niet alleen het geval in karma4 zijn kleine wereld. Dat heet Enterprise IT. Ik zie het bij veel klanten voorbij komen. De beheerders daar staan heel ver de werkelijkheid, en is vaak platform on afhankelijk. Maar ik zie wel een groot issue aan de Linux kant, maar ook bij de Microsoft beheerder, netwerk beheerder is het zelfde aan de hand.

Je wilt dit soort bedrijven met een normale (enterprise) IT omgeving vergelijken? Dan sta je ver van de werkelijk en de echte wereld, als je dit met elkaar wilt vergelijken.

Zo zijn er ook kleine spelers die aangetoond hebben dat het kan. En die grote spelers, hoeveel ITers lopen daar wel niets? IT is hun core business en dus niet te vergelijken met de normale wereld. In de normale wereld werkt het in eens heel anders.
Zie alle grote data lekken die tegenwoordig naar voren komen. Allemaal hele grote partijen en alle lekken komen van Linux systemen af.

Maar jouw standaard opmerking is hierop natuurlijk weer, dat ligt niet aan Linux.
Maar dat is juist ook wat Karma4 iedere keer aan haalt. Het ligt aan de beheerders. Dat zie je ook aan jouw grote namen die je iedere keer aan haalt. Daar zitten hele goede beheerders. En die zijn er voor beide platformen.

ik wil even nuanceren, ik merk dat het vaak it management is en minder de beheerder, die niet meer weet waar het om gaat. die eerste is excel-sheet systeem denkend bezig en vergeet daarbij de 20% die express negeerd wordt door zijn systeem en procedures en standaard keuzen want anders is het te duur en te veel, en ik merk dat beheerders vaak meerdere wegen naar rome zien en flexibeler zijn daarin. vaak worden die dan bij keuzes overruled door mangament dat maar voor een weg kiest (en dus een 80% systeem opzet) en zichzelf vaak ook nog eens in een hoek vast schilderen.

vb: ooit op een uni moest storage komen en wetenschappers moeten voor hun data dat van centrale it afnemen tegen betaling. it werkvloer had het plan een heterogeen storage oplossingen te bieden met verschillend karakteristieken en prijzen om op het rare speelveld onderzoeks it te kunnen opereren. het begon met fabrikanten die beloofden dingen die achteraf niet werkten (joh), mangament heeft besloten toen een machine that does it all te nemen en een hele dure storage is het gevolg die het dan wel doet (katsjing) ipv verder naar een oplossing intern te zoeken. daarop volgend heeft iedereen krappe ruimte (want duur) en i kid you not, betaal je meer dan 350 euro / tb / jaar. daar staan dan pragmatishce onderzoekers tegenover die elk dubbeltje tegenwoordig ook om moeten draaien en voor dit soort prijzen een promovendus moeten offeren, en die kopen dus een stapel extrene usb disks a 4 T voor 100 euro. die it dienst is nu weer klaar op het punt voor een reorganisatie want ze hebben amper (betalende) gebruikers buiten hun aan de uni verplichte KA IT om. niemand vanuit onderzoek land gaat naar de centrale it met zijn dingen, en dat speelt op meerdere unis in nederland, amsterdam, delft, leiden, utrecht enzv. rraaaaaaaarrrrrr hoooroororoor ?!?!?!?! waaaaaaaar zou dat nu aan liggen? de techniek? de beheerders? dacht het niet! er zijn immer tokos die het wel kunnen => techniek kan het en die beheerders daarzo dus ook.

leuke case niet? waar is het probleem? ik zie vaak falend korte termijn midde management dat geen idee van techniek meer heeft de bron zijn van langdurige ellende. dus karma en FOSS, en annoniem. een clusterfuck is zelden het gevolg van een partij dat is waar, maar als er een partij is die steevast als katalysator in clusterfucks opereert, dan is dat management wel :).

Eens, dank je.
Ik heb wel eens de volgende opmerking gemaakt:
- dat het management (architecten inbegrepen) de ruimte hebben om zo te opereren door de geloofsstrijden die als advies hun kant op gaan
- het gebrek aan samenwerking tussen "de beheerders" is die pragmatische eenvoudige oplossingen in de weg staan om gedragen te krijgen. Er is altijd wel iemand die fud brengt, een bijzondere geval als uitzondering waardoor het allemaal zeer risicovol zou zijn. De beslisser kijkt dan wel uit, extern advies van grote namen is veiliger voor zijn positie.
- Het management wil ook alleen maar goed nieuws en succes horen, dat is en bekend fenomeen. Het maakt op tijd kunnen bijsturen vrijwel kansloos.

nou karma, je maakt wel meer opmerkingen die regelmatig kant nog wal raken en als nu werkelijk je mening is dat het probleem ook deels een management issue is, waarom reageer je dan altijd als een stier op een rode vlag met 'het ligt aan linux beheerders' ook al gaat de gehele topic daar niet eens over? kom je aandacht te kort thuis, is dat het?

on topic nu:

ik ben blij dat dit security bedrijf een nood patch beschikbaar stelt. het geeft een extra optie die je kunt overwegen nu met al dan niet een risico. zonder de noodpatch, is het maar afwachten of komende dinsdag die MS update komt, en of die niet weer meer dingen stuk maakt dan fixed. hierin is wel duidelijk het verschil met OSS, je kunt de fix van de noodpatch in source format publiekelijk maken (een diff bijvoorbeeld) en iedereen kan die diff zien en besluiten toe te passen of niet. volledige transparantie. vaak wordt die diff meteen als patch upstream geaccepteerd en gaat het via je distro binnen een dagje of wat tot een betrouwbare gesigneerde en geverifieerde update komen die niet enkele reboots behoefd. hoe geweldig mensen MS windows vinden vwb gebruikerservaring, met de gang van zaken aangaande updates zijn maar weinig MS fans echt blij!

efin, ik juich de patch toe en ik deel de mening dat dit een teken is dat dingen minder soepel gaan bij MS en windows dan technisch eigenlijk zou hoeven wat updates betreft! ik zie hier geen verandering in komen omdat het gedrag en wan presteren van MS nog niet the bottom line raakt en ik denk dat dat vooral komt door gebruikers inertia die als 'verslaafden' vast zitten aan iets dat ze maar moeilijk los kunnen laten. typisch genoeg zie je bij dat soort mensen dan een tijdje lang de raarste argumenten tevoren komen om hun 'keuze' weer te proberen te bevestigen. dogma dingetjes! 'ik kan niet zonder app ditum of datum leven' is dan een showstopper terwijl app ditum of datum ook via een vm met windows op linux zou kunnen draaien ofzo, maar dan krijg je weer 'ja maar ...'. dit zijn mensen die niet te overtuigen zijn, en ook niet overtuigd hoeven te worden eigenlijk, maar ikzelf vind het wel onzinnige irrelevante argumenten en ik ervaar dat soort mensen als 'beperkt' op het IT vlak. dit laatst is dus mijn persoonlijke mening, niet meteen een waarheid natuurlijk. efin ze doen maar, als dit soort management baasjes fresh van een hbo waar ze excel hebben geleerd dan ook maar niet de arrogantie hebben mij te moeten vertellen hoe ik mijn werk moet doen dat ik al 20j doe met meetbare prestaties daarbij :).

De reden om te reageren op die linux adepten is eenvodig.
Juist door hun extremistische opstelling van linux good - microsoft bad verzieken ze elke kans dat de informatie verwerking met informatieveiligheid naar een hoger niveau gebracht kan worden. Het benodigde hogere niveau dat het geen sluitpost achteraf is maar iets wat je van de basis opzet. Het verslaafd zijn en een heilige MS bashing oorlog is nu niet echt zinvol.

joh blijf het maar herhalen, misschien ga je dat dan nog zelf geloven. je faalt in je 'missie' en de rest hier op het forum weet al lang dat jij vaak zo een troll sessie uitlokt door off topic te gaan en onleesbare vage posts te plaasen. bij confrontatie daarvan is iedereen weer linux beheer volk dat persee MS moet bashen. we kennen je kleuterachtige riedeltje nu wel. je houd je niet aan de regels van dit forum!

on topic:

MS is alles behalve rocking wanneer we het updaten en patchen van de laatste tijd bekijken. je moet wel onder een steen leven wil je dat niet erkennen. daar gaat deze draad dus over, een extern bedrijf geeft een patch uit voor een 0-day die windows machines powned op het moment. ga jij maar lekker volhouden dat dat komt door linux mensen. je komt niet snugger over hoor!

een boom is groen, dus alles wat groen is dat een boom? microsoft bad is dus niet gelijk aan linux good zoals jij dat elke weer op lijkt te vatten. MS verzaakt en een 3e partij komt met een fix en daarom stinkt het aan MS kant. kan het nu echt niet anders? jawel, kijk maar eens naar de andere OSen, daar gaan updates veel minder vaak mis en hebben minder reboots nodig en worden veel minder vaak 'terug getrokken'. dus reageer nu eens niet zo als een stier op een rode lap zonder na te denken en beperk je je tot de topic. er is een patch beschikbaar voor de 0-day die windows nu plaagt. dat is fijn, ook al zou het kunnen dat je de patchers niet vertrouwd, je hebt nu een keuze! en dat heeft allemaal NIETS met andere OSen t emaken behalve dan dat je daar ALS VOORBEELD ziet dat het technisch ook wel anders moet kunnen met MS en dat toont het fijt dat een 3e partij een patch nu heeft ook al aan.

sucess verder don quichot!

Je hebt de vraag niet beantwoord.

Ga ij bij de 3 party levernacier aankloppen als door hun update jouw omgeving niet meer werkt ?

/quote]

een boom is groen, dus alles wat groen is dat een boom? microsoft bad is dus niet gelijk aan linux good zoals jij dat elke weer op lijkt te vatten. MS verzaakt
.. ziet dat het technisch ook wel anders moet kunnen met MS en dat toont het fijt dat een 3e partij een patch nu heeft ook al aan.

sucess verder don quichot![/quote]
Omdat herhaling nodig is om te beklijven:
De reden om te reageren op die linux adepten is eenvoudig.
Juist door hun extremistische opstelling van linux good - microsoft bad verzieken ze elke kans dat de informatie verwerking met informatieveiligheid naar een hoger niveau gebracht kan worden. Het benodigde hogere niveau dat het geen sluitpost achteraf is maar iets wat je van de basis opzet. Het verslaafd zijn en een heilige MS bashing oorlog is nu niet echt zinvol.


Prima vergelijk trouwens https://nl.wikipedia.org/wiki/Miguel_de_Cervantes Het verhaal van don quichotte was het einde van de ridderromans. Net zoals ik het einde van dat Linux ophemelen met dat epos ideaal als doel heb.
Wil je nu echt zeggen dat IOT en als die brakke websites en cloud databases een succes van OSS met Linux is? Dan moeten we daar asap van af.

als bij herhaling blijkt dat je methode steeds averechts werkt, dan is het een teken van een chronische obsessie als je voor de zoveelste keer weer probeert op precies diezelfde wijze te reageren en dan verwachten een andere uitkomst te krijgen.

voor onze don quichot (<= leuk gevonden):

HET WERKT NIET, HET IS OFF TOPIC EN JE VERPEST HET FORUM MET JE GERDRAG


Wil je nu echt zeggen dat het uitbijven van een MS update op een 0-day, of een jaar lang MS updates voorbij hebben gehad die PCs stuk maken op de raarste onhandige momenten een success van Windows is? Dan moeten we daar asap van af.

@ mankar,

Daar raak je voorlopig ook nog niet van af, mijn beste, want dat is helemaal inherent aan het verdienmodel. Stel dat je een veilig OS zou hebben ontworpen, dan verkocht je niets meer met de belofte van "iets beters" achter de hand. Microsoft is toch nog in de eerste plaats een marketing bedrijf en daarin waren ze gidscorporatie voor vele andere ondernemingen.

Trouwens bepaalde partijen blijken voortdurend gebaat met een OS met vele onontdekte zero-days (5 eyes etc).. Neem aan wat je niet zou verwachten en je komt vaak heel wat dichter bij de werkelijke toestand.

Waarom werkt men niet aan PHP met evenredig veel cheatsheets ernaast om de implementatie veiliger te maken? Waarom heeft 77% van de websites tenminste nog minimaal 1 af te voeren jQuery bibliotheek. A. omdat het geen geld oplevert en B. omdat ik denk, dat niemand daar op zit te wachten.

Ik rapporteer al veertien jaar JavaScript errors aangetroffen op allerhande websites en nog andere onveiligheid en gebrek aan best policies. Ik kan er negentig mee worden en dan is er op veiligheidsniveau nog niet bar veel veranderd. Ik denk dat het mede komt omdat degenen met relevante kennis er niet toe doen en degenen, gespeend van elke kennis, heden ten dage de dienst uitmaken, Want voor de smeer likt de kat de kandeleer en zo is het.

luntrus

De herhaling is falende informatieveiligheid. Os flaming en extensie in bad good is iets wat van alles verpest.
Ik verpest het graag voor de slechterikken.

Wil je nu echt zeggen dat IOT en als die brakke websites en cloud databases een succes van OSS met Linux is? Dan moeten we daar asap van af.

off topic:


on topic:

Wil je nu echt zeggen dat het uitbijven van een MS update op een 0-day, of een jaar lang MS updates voorbij hebben gehad die PCs stuk maken op de raarste onhandige momenten een success van Windows is? Dan moeten we daar asap van af.

on topic:
Linux adepten zien enkel Microsoft bad Linux good. Het heel probleem wat zij aan microsoft bestaat niet in een normaal beheerde omgeving. Het grote probleem van falende IOT security falen open source gebruik bij grote commerciëlen wordt ontkend omdat het niet in het geloof past.
bijvoorbeeld: https://www.security.nl/posting/575772/Oracle-producten+kwetsbaar+door+lek+in+Apache+Struts en dat is maar een topje. Wordt er van alles verweten aan PHP, open source tool en met richtlijnen bij het cern, nog valt het kwartje niet..

on topic:
"Wil je nu echt zeggen dat IOT en als die brakke websites en cloud databases een succes van OSS met Linux is? Dan moeten we daar asap van af."


Je bewijst die bewering helaas telkens weer met je os flaming en basing gedoe,l

allemaal weer off topic. de draad gaat helemaal over MS en niet IoT. dat haal jij er steeds bij omdat je niets meer te melden hebt. je begrijpt ook dat het blijven volhouden van een onverdedigbare stelling enkel een ondergang tot gevolg heeft? je hebt geen enkele credibility meer op dit forum!

weer on topic:

Wil je nu echt zeggen dat het uitbijven van een MS update op een 0-day, of een jaar lang MS updates voorbij hebben gehad die PCs stuk maken op de raarste onhandige momenten een success van Windows is? Dan moeten we daar asap van af.