image

Microsoft: ontwikkeling beveiligingsupdates balans tussen kwaliteit en snelheid

maandag 16 mei 2022, 12:05 door Redactie, 12 reacties

Het ontwikkelen van beveiligingsupdates is een delicate balans tussen kwaliteit en snelheid, waarbij de verstoring voor klanten moet worden beperkt en de bescherming gemaximaliseerd, zo stelt Microsoft. De softwaregigant kwam de afgelopen jaren geregeld onder vuur te liggen over de kwaliteit van uitgebrachte beveiligingsupdates en de snelheid waarmee het actief aangevallen zerodaylekken verhelpt.

Volgens Aanchal Gupta van het Microsoft Security Response Center is elke kwetsbaarheid verschillend en neemt zijn eigen uitdagingen mee die moeten worden opgelost. "Er zijn veel factoren die de tijd tussen de ontdekking van een kwetsbaarheid en het uitbrengen van een beveiligingsupdate beïnvloeden." Gupta stelt dat Microsoft rekening moet houden met de impact op de omgevingen van klanten wanneer een update verschijnt. Omgevingen die vaak verschillen en uit verschillende producten en diensten bestaan.

Wanneer een update bijna gereed is deelt Microsoft die met externe partners en voert het eigen tests uit om ervoor te zorgen dat de patch geen onbedoelde gevolgen heeft. "De fix moet aan de noodzakelijke kwaliteitsstandaarden voldoen voordat die wordt uitgebracht", gaat Gupta verder. Pas na de kwaliteitscontrole zal een update via de maandelijkse Patch Tuesday of als noodpatch worden aangeboden.

Verder merkt Gupta op dat bij de meeste aanvallen geen zerodaylekken worden gebruikt en ook bij zeroday-aanvallen het nog steeds voor kan komen dat een doelwit een link of bijlage eerst moet openen. Ook koppelen aanvallers soms zowel bekende als onbekende kwetsbaarheden bij hun aanvallen aan elkaar. "Je infrastructuur en beveiligingssystemen zijn net een 'immuunsysteem'. Zelfs wanneer er geen update voor een gemeld zerodaylek beschikbaar is, kan het up-to-date houden van je systemen het gehele systeem versterken", besluit Gupta.

Vorige week adviseerde de Amerikaanse overheid aan federale instanties om een beveiligingsupdate voor een spoofinglek in Windows wegens problemen tijdelijk niet te installeren op servers die als domeincontroller fungeren.

Reacties (12)
16-05-2022, 13:07 door Anoniem
ha ha wat een zwaktebod!
16-05-2022, 13:55 door _R0N_
Door Anoniem: ha ha wat een zwaktebod!

Als je dat echt vindt snap je niets van software-ontwikkeling.
16-05-2022, 14:51 door Anoniem
Door _R0N_:
Door Anoniem: ha ha wat een zwaktebod!

Als je dat echt vindt snap je niets van software-ontwikkeling.
Jij snapt nog niet wat ontwikkeling met security in mind betekent. Het is ook een mindset die bij Microsoft ontbreekt.
Daarnaast is het gesloten software. Partijen kunnen dus niet parallel mee ontwikkelen en/of testen zoals in de opensource wereld gebruikelijk is. Er is een reden dat je code te verbergen hebt. Van insiders hoor je dat de kwaliteit bar en boos is. Je kan de gelekte code zelf controleren. Ik heb al geconstateerd dat MS ontwikkelaars broertje dood hebben aan asserts op nullpointers . Vandaar die hangende software zonder debug info. Als je geluk heb krijg je een segmentation violation (naast een array schrijven om een buffer overflow te creëren voor ransomware.
16-05-2022, 16:38 door _R0N_
Door Anoniem:
Door _R0N_:
Door Anoniem: ha ha wat een zwaktebod!

Als je dat echt vindt snap je niets van software-ontwikkeling.
Jij snapt nog niet wat ontwikkeling met security in mind betekent. Het is ook een mindset die bij Microsoft ontbreekt.
Daarnaast is het gesloten software. Partijen kunnen dus niet parallel mee ontwikkelen en/of testen zoals in de opensource wereld gebruikelijk is. Er is een reden dat je code te verbergen hebt. Van insiders hoor je dat de kwaliteit bar en boos is. Je kan de gelekte code zelf controleren. Ik heb al geconstateerd dat MS ontwikkelaars broertje dood hebben aan asserts op nullpointers . Vandaar die hangende software zonder debug info. Als je geluk heb krijg je een segmentation violation (naast een array schrijven om een buffer overflow te creëren voor ransomware.

Hoeveel software ken jij dat bug-vrij is?
Als je meer dan 1 zegt is het een leugen.
16-05-2022, 17:40 door Anoniem
Door _R0N_:
Door Anoniem: ha ha wat een zwaktebod!

Als je dat echt vindt snap je niets van software-ontwikkeling.

ha ha ha

"De softwaregigant kwam de afgelopen jaren geregeld onder vuur te liggen over de kwaliteit van uitgebrachte beveiligingsupdates en de snelheid waarmee het actief aangevallen zerodaylekken verhelpt."

ik lees dat als te laat en too sloppy => MS heeft het process niet onder controle!

kan het niet anders volgens jouw? is dat wat je nu gaat denken? omdat het MS niet lukt, kan iets niet?

zelfs een goedlopend project kan door management kapot gemaakt worden moet je maar denken!

ha ha ha
16-05-2022, 19:17 door Anoniem
Door Anoniem: ha ha wat een zwaktebod!

Als jij ook software voor meer dan 1 miljard systemen hebt gemaakt onderhouden mag je weer meepraten.
16-05-2022, 23:13 door Anoniem
Door Anoniem:Ik heb al geconstateerd dat MS ontwikkelaars broertje dood hebben aan asserts op nullpointers . Vandaar die hangende software zonder debug info. Als je geluk heb krijg je een segmentation violation (naast een array schrijven om een buffer overflow te creëren voor ransomware.
Volgens mij heb je het punt een beetje gemist. Securityproblemen zijn de laatste tijd overgestapt van dit soort coding
errors naar de serieuze ontwerpproblemen, de zaken die (vaak jaren geleden) zo ontworpen zijn dat ze niet helemaal
veilig zijn en die je niet kunt fixen met een array bounds check of een pointer controle, maar die daadwerkelijke aanpassingen
van het ontwerp vereisen en daarmee (al dan niet voorziene) side-effects hebben in nu werkende installaties.
17-05-2022, 09:20 door Anoniem
Door Anoniem:
Door Anoniem: ha ha wat een zwaktebod!

Als jij ook software voor meer dan 1 miljard systemen hebt gemaakt onderhouden mag je weer meepraten.
Want? Kritiek op Microsoft's manier van ontwikkelen mag niet?
17-05-2022, 12:19 door Anoniem
Door Anoniem:
Door Anoniem: ha ha wat een zwaktebod!

Als jij ook software voor meer dan 1 miljard systemen hebt gemaakt onderhouden mag je weer meepraten.

dit is een nutteloos argument want precies hetzelfde kun je ook omgekeerd stellen;

pas als je zelf voor meer dan 1 miljard systemen hebt gemaakt onderhouden mag je stellen dat het geen kwaliteit issue is!

ook kan ik je voorbeelden benoemen die demonstreren dat het wel kan en ook op die schaal, enige snelheid maar vooral kwaliteit in updates en patches...


anyway; kritischer denken en niet alles voor zoete koek meteen aannemen van een bedrijf waar ecconomische belangen prevaleren?
17-05-2022, 12:43 door Anoniem
Door Anoniem:
Door Anoniem:Ik heb al geconstateerd dat MS ontwikkelaars broertje dood hebben aan asserts op nullpointers . Vandaar die hangende software zonder debug info. Als je geluk heb krijg je een segmentation violation (naast een array schrijven om een buffer overflow te creëren voor ransomware.
Volgens mij heb je het punt een beetje gemist. Securityproblemen zijn de laatste tijd overgestapt van dit soort coding
errors naar de serieuze ontwerpproblemen, de zaken die (vaak jaren geleden) zo ontworpen zijn dat ze niet helemaal
veilig zijn en die je niet kunt fixen met een array bounds check of een pointer controle, maar die daadwerkelijke aanpassingen
van het ontwerp vereisen en daarmee (al dan niet voorziene) side-effects hebben in nu werkende installaties.
Ik heb dat zeker niet gemist. MS software bevindt zich nog steeds in dit stadium. re design van de software architecture gaat niet meer gebeuren van windows en exchange om maar iets te noemen. MS heeft daar geen resources meer voor, plus dat het design te achterhaald is inmiddels.
17-05-2022, 13:17 door Anoniem
Door Anoniem:
Door _R0N_:
Door Anoniem: ha ha wat een zwaktebod!

Als je dat echt vindt snap je niets van software-ontwikkeling.
Jij snapt nog niet wat ontwikkeling met security in mind betekent. Het is ook een mindset die bij Microsoft ontbreekt.
Daarnaast is het gesloten software. Partijen kunnen dus niet parallel mee ontwikkelen en/of testen zoals in de opensource wereld gebruikelijk is. Er is een reden dat je code te verbergen hebt. Van insiders hoor je dat de kwaliteit bar en boos is. Je kan de gelekte code zelf controleren. Ik heb al geconstateerd dat MS ontwikkelaars broertje dood hebben aan asserts op nullpointers . Vandaar die hangende software zonder debug info. Als je geluk heb krijg je een segmentation violation (naast een array schrijven om een buffer overflow te creëren voor ransomware.

Die mindset ontbreekt niet. Het probleem is ruim 30 jaar aan Win32 legacy. UWP is met security first opgezet, wat de nodige beperkingen met zich meebrengt en praktisch elke applicatie praat nog tegen de Win32 API aan.

Win32 is lastig veilig te houden zonder stapels software (en games) onbruikbaar te maken.

De cijfers zijn al wat ouder, maar Microsoft staat vrij eenzaam bovenaan de ranglijst van bugs per 1000 regels code. Alleen de NASA staat (stond?) hoger.

Ongefundeerde gebash op MS ook steeds.
17-05-2022, 14:36 door Anoniem
"Ongefundeerde gebash op MS ook steeds."

joh we willen gewoon vlug fatsoenlijke updates die werken en niet iets stuk maken. MS lukt dat veel mider goed dan andere partijen en dat stellen ze zelfs ook in het stukje:

"De softwaregigant kwam de afgelopen jaren geregeld onder vuur te liggen over de kwaliteit van uitgebrachte beveiligingsupdates en de snelheid waarmee het actief aangevallen zerodaylekken verhelpt."

wat helemaal genant is is:

"Vorige week adviseerde de Amerikaanse overheid aan federale instanties om een beveiligingsupdate voor een spoofinglek in Windows wegens problemen tijdelijk niet te installeren op servers die als domeincontroller fungeren."


zo veel domain controlers zijn er eigenlijk niet laat staan dat daar een hele grote verscheidenheid aan hardware gebruikt wordt aangezien dit vaak server grade HW is danwel een VM ergens in een of andere klout.


... en daarom is het een zwaktebod en heeft dat niets ansich met ongefundeerd MS bashed oid te maken ...

maareh, op je tenen getrapt? zenuwtje geraakt?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.