Microsoft legt uit wanneer het beveiligingslekken patcht
Microsoft heeft een document gepubliceerd waarin het uitlegt wat het als beveiligingslekken beschouwt en wanneer kwetsbaarheden worden gepatcht. In juni verscheen al een vroege versie van het document, waarvan nu de definitieve versie is uitgebracht (pdf). Volgens de softwaregigant gaat het echter om een dynamisch document dat in de loop van de toekomst zal worden aangepast.
Het document stelt dat er twee vragen centraal staan bij de beslissing om een beveiligingsupdate te ontwikkelen. De eerste is of de kwetsbaarheid een belofte van een beveiligingsgrens of beveiligingsfeature van Microsoft schendt. Ten tweede wordt gekeken of het beveiligingslek dusdanig ernstig is dat het in aanmerking voor een update komt. Wanneer het antwoord op beide vragen "ja" is, zal de kwetsbaarheid een update ontvangen.
Vervolgens worden alle beveiligingsgrenzen benoemd die Microsoft voor Windows heeft opgesteld en of die in aanmerking voor een update komen wanneer er een kwetsbaarheid in wordt gevonden. Ook worden beveiligingsfeatures genoemd die tegen dreigingen moeten beschermen en in aanmerking voor een update komen. Het gaat dan om features zoals BitLocker, Secure Boot en Windows Hello. Zowel in het geval van de beveiligingsgrenzen als -features is Microsoft van plan om eventueel gevonden kwetsbaarheden te patchen.
Voor zogeheten "Defense-in-depth security features", waaronder User Account Control (UAC), AppLocker en verschillende beveiligingsmaatregelen die exploits moeten voorkomen, heeft Microsoft geen plan om eventueel gevonden problemen te verhelpen. Ook zullen onderzoekers niet worden beloond voor het vinden en melden van problemen in een deel van deze security features. Onderzoekers die erin slagen om de exploitbescherming van Microsoft te omzeilen kunnen echter wel op een beloning rekenen. Microsoft hoopt met het document onderzoekers meer duidelijkheid te geven of een gemelde kwetsbaarheid zal worden gepatcht.
Tja, als je als bedrijf een beetje krap bij kas bent dan moet je gaan beknibbelen op de veiligheid. Wat heet 'ernstig'? Slechts een 'klein aantal' zal gebruikers worden besmet en ten prooi gaan vallen aan ransomware. Altijd patchen om dat hoe dan ook uit te sluiten? Welnee! Da's veels te duur!
U bent wel erg negatief. U hebt in geen enkel bedrijf vertrouwen??
Tja... Als er updates beschikbaar maar je wilt niet de moeite nemen om ze te installeren... Dan is het eigen schuld dikke bult nietwaar?
Linux heeft de updates maar je wilt ze niet installeren? Of bedoel je de software die door 'commerciëlen in stacks neergezet zijn'. Wil je die ook niet updaten? Wel netjes alle updates voor alles installeren hoor! Dat is altijd beter. Dan moeten die updates er wel zijn natuurlijk. En zo zijn we weer bij het topic aangeland. Microsoft: wij gebruikers willen updates voor alle beveiligingsproblemen! Kom nou niet aan met 'dat is te duur' of 'dat kost teveel moeite'. Jullie hebben al genoeg geld verdiend aan ons gebruikers en doen dat ook nog steeds.
Je beschrijft nu exact hoe er in enterprises over updaten/bijwerken gedacht wordt. Daarom worden de serveromgeving nauwelijks goed bijgewerkt. O ja, het gaat dan wel erg vaak om OSS Linux die als niet onderscheidende software via commerciëlen in stacks neergezet zijn.
Je haalt twee dingen door elkaar. Bij Linux zijn de patches na een ernstig veiligheidslek héél snel na bekendwording vrijgegeven (spreek uit 20 jaar ervaring op het Linux platform). Maar als beheerders ervoor kiezen deze niet te installeren, dan is dat niet de schuld van Linux, maar de schuld van degene die de Linux machines beheren.
Anders is het met Windows: gebruik je Windows, en je wilt een ernstig beveiligingslek zo snel als mogelijk dicht timmeren, dan kan het niet omdat Microsoft ze niet (tijdig) vrij geeft. En dan zit je noodgedwongen met een niet gepatcht systeem.
Zullen we vanaf nu bovenstaande verschil als leidraad nemen in je toekomstige postings? Dat houdt de discussie eerlijk(er).
Als je in gradaties van security issues gaat denken ben je eigenlijk al niet meer geloofwaardig als het gaat om veiligheid. ELK risico, hoe klein ook, zal ALTIJD zo snel als mogelijk verholpen moeten worden teneinde je gebruikers te beschermen tegen ongewenste situaties.
Ik proef hier toch wel enige incompetentie. Het belang van de gebruiker wordt hier niet als speerpunt gezien. Kwalijke zaak, te meer ook omdat je verwacht dat als je een computer met een besturingssysteem koopt (gedwongen, dat ook nog eens een keer), deze ook online de hoogst haalbare veiligheid tracht te behalen. Microsoft garandeert dat niet eens, laat staan dat ze een poging wagen om het ook te bieden.
Je haalt twee dingen door elkaar. Bij Linux zijn de patches na een ernstig veiligheidslek héél snel na bekendwording vrijgegeven (spreek uit 20 jaar ervaring op het Linux platform). Maar als beheerders ervoor kiezen deze niet te installeren, dan is dat niet de schuld van Linux, maar de schuld van degene die de Linux machines beheren.
wilt een ernstig beveiligingslek zo snel als mogelijk dicht timmeren, dan kan het niet omdat Microsoft ze niet (tijdig) vrij geeft. En dan zit je noodgedwongen met een niet gepatcht systeem.
Zullen we vanaf nu bovenstaande verschil als leidraad nemen in je toekomstige postings? Dat houdt de discussie eerlijk(er).
Er worden complete stacks door vommerciëlen neergezet waar de verkoper jouw sprookje beweerd maar de praktijk tegengesteld is.
Kun je je ms haatbril met roze linux kleuren eens afzetten dan wordt de inhoudelijke discussie een stuk beter.
Overigens Android bijwerken gaar fantastisch, niet heus. Iot me linux kent geen beveiligingsproblemen. Gij gelooft dat?
Je haalt twee dingen door elkaar. Bij Linux zijn de patches na een ernstig veiligheidslek héél snel na bekendwording vrijgegeven (spreek uit 20 jaar ervaring op het Linux platform). Maar als beheerders ervoor kiezen deze niet te installeren, dan is dat niet de schuld van Linux, maar de schuld van degene die de Linux machines beheren.
wilt een ernstig beveiligingslek zo snel als mogelijk dicht timmeren, dan kan het niet omdat Microsoft ze niet (tijdig) vrij geeft. En dan zit je noodgedwongen met een niet gepatcht systeem.
Zullen we vanaf nu bovenstaande verschil als leidraad nemen in je toekomstige postings? Dat houdt de discussie eerlijk(er).
Er worden complete stacks door vommerciëlen neergezet waar de verkoper jouw sprookje beweerd maar de praktijk tegengesteld is.
Kun je je ms haatbril met roze linux kleuren eens afzetten dan wordt de inhoudelijke discussie een stuk beter.
Overigens Android bijwerken gaar fantastisch, niet heus. Iot me linux kent geen beveiligingsproblemen. Gij gelooft dat?
Zet je Microsoft Windows spellingscontrole even aan en hou alsjeblieft eens op over IoT en Android want dat heeft wederom helemaal NIETS met dit topic te maken.
Je haalt twee dingen door elkaar. Bij Linux zijn de patches na een ernstig veiligheidslek héél snel na bekendwording vrijgegeven (spreek uit 20 jaar ervaring op het Linux platform). Maar als beheerders ervoor kiezen deze niet te installeren, dan is dat niet de schuld van Linux, maar de schuld van degene die de Linux machines beheren.
wilt een ernstig beveiligingslek zo snel als mogelijk dicht timmeren, dan kan het niet omdat Microsoft ze niet (tijdig) vrij geeft. En dan zit je noodgedwongen met een niet gepatcht systeem.
Zullen we vanaf nu bovenstaande verschil als leidraad nemen in je toekomstige postings? Dat houdt de discussie eerlijk(er).
Er worden complete stacks door vommerciëlen neergezet waar de verkoper jouw sprookje beweerd maar de praktijk tegengesteld is.
Kun je je ms haatbril met roze linux kleuren eens afzetten dan wordt de inhoudelijke discussie een stuk beter.
Overigens Android bijwerken gaar fantastisch, niet heus. Iot me linux kent geen beveiligingsproblemen. Gij gelooft dat?
Ik heb ruim 16 jaar ervaring, en ik zie dat het updatebeleid onder Linux stukken sneller en beter is dan onder Windows systemen. Dat een beheerder de systemen niet patcht kan te maken hebben met laksigheid, beleid van het bedrijf of een andere reden. Vanuit de OS-bouwers zijn de patches altijd héél snel gereleased na een grote veiligheidsissue.
Dat is gewoon zo, Karma4! Als je anders beweert diskwalificeer je je andermaal. Zoals jij dingen weergeeft heb ik trouwens helemáál niet het idee dat je regelmatig met Linux systemen hebt gewerkt. Maar soit, vergeet dat even, want het gaat nu hier om het OS van de "gewone" gebruiker. De Windows gebruikers hebben afgelopen dinsdag hun patch mogen ontvangen. Op al mijn Linuxbakken stond de patch voor deze issue al dezelfde morgen ná uitbraak klaar om geïnstalleerd te worden. Dat is niet door mij verzonnen, maar een feit. En dus is dat toch beter geregeld dan onder Windows?
Android is gebouwd op een door Google gemodificeerde Linux-kernel, en de (sub)lagen daarboven zijn ontwikkeld en worden onderhouden door diezelfde Google. Dan kun je dus Linux niet op één hoop gooien met Android. Dat Google op het Android platform er een rommeltje van maakt qua updates is wederom niet de schuld van de Linux-ontwikkelaars, maar van Google.
Mark Twain zei ooit: First get your facts right, and later you can distort them as you please. Deze wijsheid is jou op het lijf geschreven, nietwaar?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.