image

Microsoft stopt ondersteuning verschillende versies .NET Framework

donderdag 7 april 2022, 09:54 door Redactie, 10 reacties

Microsoft stopt op 26 april de ondersteuning van verschillende versies van het .NET Framework. Deze versies zullen dan geen beveiligingsupdates meer ontvangen en gebruikers wordt aangeraden om te upgraden naar een nieuwere versie. Het .NET Framework wordt gebruikt voor het ontwikkelen en draaien van applicaties op Windows.

Over iets minder dan drie weken zal de support van .NET Framework 4.5.2, 4.6 en 4.6.1 worden stopgezet, zo laat Microsoft via het Windows message center en een blogposting weten. Aanleiding voor de beslissing is het uitfaseren van SHA-1. Het secure hash algorithm (SHA) is een hashfunctie die van data een unieke hashcode maakt. Een hashingalgoritme wordt als veilig beschouwd als het voor elke willekeurige invoer een unieke uitvoer heeft en dat die uitvoer niet is terug te draaien zodat de invoer achterhaald kan worden.

Doordat de uitvoer niet is te manipuleren worden hashes gebruikt om bijvoorbeeld de geldigheid van certificaten en bestanden aan te tonen en het gehasht opslaan van wachtwoorden. Sinds 2005 zijn er echter collision-aanvallen op het SHA-1-algoritme bekend waar verschillende invoer dezelfde uitvoer geeft. Al sinds 2011 wordt daarom aangeraden SHA-1 uit te faseren. Microsoft besloot in 2019 het veiligere SHA-2-algoritme voor het signeren van Windows-updates te gebruiken en verwijderde in 2020 alle Windows-gesigneerde SHA-1-content van het Microsoft Download Center.

Nu moeten ook bepaalde versies van het .NET Framework eraan geloven. Deze versies zijn gesigneerd met SHA-1. Microsoft zegt dat gezien het aantal downloads en het gebruik van de verschillende versies van het .NET Framework het updaten van .NET Framework 4.6.2 en nieuwer om nieuwe digitale certificaten voor het installatiebestand te ondersteunen voor 98 procent van de gebruikers voldoende zou moeten zijn. Het deel van de gebruikers dat nog met .NET Framework 4.5.2, 4.6 of 4.6.1 werkt zal dan ook moeten upgraden om updates te blijven ontvangen.

Reacties (10)
07-04-2022, 10:09 door Anoniem
Kijk zo gaat dat. Je kunt er wel op rekenen dat de issues veroorzaakt door bugs in oude versies die niet meer geupdate
worden veel meer impact hebben dan het risico dat iemand een met SHA-1 gesignede vervalste versie binnenhaalt, maar
de onderzoekertjes hebben weer hun zin gehad, hun theoretische risico inventarisatie heeft de wereld weer wat
onveiliger gemaakt. Maar niet getreurd, het budget voor volgend jaar is weer veilig gesteld.
07-04-2022, 10:57 door Anoniem
Door Anoniem: ... maar de onderzoekertjes hebben weer hun zin gehad, hun theoretische risico inventarisatie heeft de wereld weer wat onveiliger gemaakt. Maar niet getreurd, het budget voor volgend jaar is weer veilig gesteld.
De fout die je maakt is om te denken dat die lekken niet ontdekt worden als de "onderzoekertjes" die ze nu melden bij softwarebouwers stoppen ernaar te zoeken. Ze worden wél ontdekt, namelijk door een andere groep "onderzoekertjes", die lekken niet meldt maar ze juist misbruikt. Dat zijn criminelen die verdienen aan het exploiteren van lekken. En die zijn net zo goed in staat om lekken te ontdekken als de groep "onderzoekertjes" die ze wel netjes melden.

Het wordt niet veiliger als de goedaardige "onderzoekertjes" stoppen met wat ze doen. Het effect zou zijn dat het altijd de kwaadaardige "onderzoekertjes" zijn die de lekken vinden, en dan krijg je dat lekken altijd pas bekend worden bij de softwarebouwers als ze al misbruikt worden. Zoals het nu gaat kunnen die de reparatie van een kwetsbaarheid meestal al uitrollen voordat het misbruik ervan begint.
07-04-2022, 11:34 door Anoniem
Door Anoniem: Kijk zo gaat dat. Je kunt er wel op rekenen dat de issues veroorzaakt door bugs in oude versies die niet meer geupdate
worden veel meer impact hebben dan het risico dat iemand een met SHA-1 gesignede vervalste versie binnenhaalt, maar
de onderzoekertjes hebben weer hun zin gehad, hun theoretische risico inventarisatie heeft de wereld weer wat
onveiliger gemaakt. Maar niet getreurd, het budget voor volgend jaar is weer veilig gesteld.
Al sinds 2011 wordt daarom aangeraden SHA-1 uit te faseren en wat is nu echt jouw probleem?
07-04-2022, 11:35 door Bitje-scheef
Dit gaat wel e.a. aan problemen opleveren denk ik.
07-04-2022, 11:43 door Anoniem
Door Anoniem: Kijk zo gaat dat. Je kunt er wel op rekenen dat de issues veroorzaakt door bugs in oude versies die niet meer geupdate worden veel meer impact hebben dan het risico dat iemand een met SHA-1 gesignede vervalste versie binnenhaalt, maar de onderzoekertjes hebben weer hun zin gehad, hun theoretische risico inventarisatie heeft de wereld weer wat onveiliger gemaakt. Maar niet getreurd, het budget voor volgend jaar is weer veilig gesteld.
Het goed praten van bekende en geïdentificeerde security problemen komt effectief neer op het accepteren van het risico dat deze misbruikt worden. Dat wordt wel eens vergeten door degene die soort argumenten gebruikt om te besluiten dat een security probleem niet opgelost hoeft te worden.

Waarmee ik niet wil zeggen dat het een verkeerde beslissing is, alleen dat je ook de gevolgen daarvan moet accepteren als die zich voordoen.
07-04-2022, 12:49 door Anoniem
Door Bitje-scheef: Dit gaat wel e.a. aan problemen opleveren denk ik.
Daarom zijn er altijd problemen met MS producten.
07-04-2022, 14:05 door Xavier Ohole
Microsoft stopt ondersteuning verschillende versies .NET Framework
donderdag 7 april 2022, 09:54 door Redactie

@Redactie: Wat hier staat is dat Microsoft stopt met het ondersteunen van verschillende versies van het .NET Framework. Dus dat er geen verschillende versies meer zullen zijn, "there can be only one". Dat is echter niet wat er wordt bedoeld. De kop zou derhalve beter kunnen zijn: Microsoft stopt ondersteuning van een aantal versies v.h. .NET Framework
07-04-2022, 16:45 door Anoniem
Dat Microsoft stopt wil nog niet zeggen dat anderen stoppen want .NET is toch open source geworden?
09-04-2022, 19:01 door Anoniem
Door Bitje-scheef: Dit gaat wel e.a. aan problemen opleveren denk ik.
Nee hoor, eindelijk een aanleiding om antieke troep uit te faseren.
10-04-2022, 21:23 door Anoniem
Dotnet ging de dll-hel oplossen - en heeft dat vervangen door wat anders, is het beter?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.