"Securitybedrijf ZDI merkt op dat Microsoft al zeven maanden op rij kwetsbaarheden heeft gepatcht die remote code execution mogelijk maken".
A never-ending story..

Te gek voor worden dat ze hier mee weg blijven komen en dit maar geaccepteerd wordt. Maar gelukkig hebben we een startknop of een Outlook in Windows 11 die bijna maandelijks aangepast blijft worden.

Overstappen naar een ander computerplatform is niet makkelijk en zal je niet lukken zolang je managers gehersenspoeld zijn dat platform A "duur" is en "gratis" nooit iets kan zijn. Realiteit laat zien dat Microsoft steeds meer data haar cloud in trekt en haar klanten daarmee verplicht tot abonnementsbetalingen tot in de eeuwigheid.

Voel je vrij om niet-Microsoft oplossingen in te zetten op plaatsen waar dat kan (of verstandig is), zoals in servers, firewalls, etc.

Yep, dit is ook het echte probleem. Iedere techneut met een beetje verstand weet al decennia dat het van de zotten is dat men deze producten nog gebruikt. Maar tja, die maken de beslissingen niet. Managers, vriendjespolitiek, mooie praatjes van dure consultants en de meest ongeloofwaardige verkoopbeloften zijn normaal in de samenleving.

Het is zo'n bizarre bubbel waarin mensen vast zitten. Ze zien niet eens dat het bizar te noemen is dat je iedere maand weer met deze onzin wordt geconfronteerd. Zelfreflectie is niet-bestaand, blijkbaar. En dan nog, iemand in beweging krijgen om er daadwerkelijk wat aan te doen is nog zeldzamer.

Platform "A" zou op de gehele looptijd wel eens goedkoper kunnen zijn, zelfs als je de schade door dit soort aanhoudende problemen buiten beschouwing laat. Maar dan moet er een meerjaren visie komen, dat wordt lastig... En die berichten als "Microsoft dicht RCE-kwetsbaarheden in Windows, SharePoint en Office" kun je ook lezen als "Microsoft heeft tot heden RCE-kwetsbaarheden in Windows, SharePoint en Office gehad, en het is waarschijnlijk nog niet voorbij". Wij lezen de gevolgen dagelijks hier, data van overheden data van laboratoria, er zal wel veel meer lekken wat niet gemeld wordt.
Maar inderdaad worden nog vaak de bekende namen verkozen boven de veiligere opties.

Jesus 12 kritieke kwetsbaarheden! Waarvan een driveby download infectie mogelijkheid in windows zonder tussenkomst van de gebruiker waarvan de fanclub kortgeleden nog melde dat dit niet meer voorkomt.
Windows is een failiet systeem. Het wordt tijd dat er eens boetes gaan worden uitgedeeld voor het gebruik er van in kritische systemen zoals de zorg.

Eigenlijk alle gebieden waar met privacy gevoelige gegevens wordt gewerkt, stelregel 1, als er bsn nummers worden verwerkt, geen onveilige systemen inzetten: zorginstellingen, notariaat, advocatuur, rechtspraak, verzekeringmij, banken, onderwijs bijvoorbeeld, als het daar lekt is het gelijk grootschalig mis, als de veiligheid in het geding is, leger, politie enz al helemaal niet aan denken

Het is te gemakkelijk om een statement te maken over Microsoft. Maar de waarheid ligt gewoon anders.

https://www.cvedetails.com/top-50-products.php?year=2025

Goed idee, zet hier eens uit een hoe en welke hard en software je hier voor nodig hebt.

Remote code execution is ook mogelijk wanneer het document via de Preview Pane (Voorbeeldvenster) wordt weergegeven.

Dit probleem is al zo oud als de weg naar Kralingen, ik heb gebruikers altijd geadviseerd om dit uit te zetten maar kreeg altijd weer gepruttel "maar het is zo makkelijk".

Dat ..... en de eigenwijsheid van deze gebruikers ben ik al jaren meer dan zat want je blijft l.ll.n tegen dovemans oren want als professional l.l je blijkbaar per definitie altijd uit je nek.

Je kan op basis van die cijfers geen goede vergelijkingen maken, omdat ze niet hetzelfde voorstellen bij verschillende producten of omdat de producten slecht met elkaar vergelijkbaar zijn.

De Linux-kernel staat dit jaar en vorig jaar bijvoorbeeld met stip bovenaan. Kijk je wat verder terug dan is het beeld opeens heel anders. Daar is een simpele verklaring voor: men is bij de Linux-kernel voor alle bugs CVE's gaan uitschrijven, waardoor ze in dit soort overzichten allemaal als een beveiligingsprobleem meetellen. Dat lijkt misschien raar, maar bedenk dat hacks plaatsvinden via combinaties van bugs waarvan vaak genoeg vooraf nog niemand had beseft dat ze een beveiligingsprobleem kunnen opleveren. En OpenBSD heeft al sinds 1996 als aanpak dat ze een audit-team doorlopend code laten bekijken in hun basissysteem en om precies dezelfde reden worden alle bugs opgelost, zonder onderscheid te maken tussen security en gewone bugs. Dat blijkt indrukwekkend goed te werken, dus domweg elke bug als een potentieel beveiligingslek opvatten lijkt geen slechte benadering te zijn.

Een ander punt is dat bij Windows niet de kernel apart vermeld wordt, zodat je Windows niet zomaar naast de kernel kan leggen, Windows is veel meer.

En als je niet de kernel maar hele Linux-distributies vergelijkt met Windows maak je ook geen zuivere vergelijking. Zo'n distributie bevat alles: OS én applicaties. Alle bugs in Debian leggen naast alle bugs in Windows is geen goede vergelijking, om die eerlijk te krijgen zou je bij Windows de bugs uit een indrukwekkend grote reeks applicaties op moeten tellen — en uitvogelen wat dan eigenlijk een vergelijkbare verzameling applicaties is. Dat is onbegonnen werk, want het is ontzettend veel.

En dan moet je je nog afvragen of je bij Windows wel alles te zien krijgt. Bij Linux, de BSD's etc. weet je dat alle bugrapporten openbaar zijn en geteld worden. Over Windows heb ik in de loop van de jaren meer dan eens berichten gezien dat er bugfixes uitgevoerd bleken te zijn die niet aan de grote klok gehangen waren. Kennelijk doet Microsoft dat. Is dat incidenteel? Soms? Vaak? Geen idee. Het levert alweer iets op dat vergelijken moeilijk maakt.

Al die verschillen maken het heel moeilijk om vergelijkingen te maken op basis van dit soort overzichten. Je kan wel per product trends zien, waarbij je dan rekening moet houden met wijzigingen in hoe en wat er geteld wordt die een trendbreuk op kunnen leveren, zoals met de Linux-kernel is gebeurd.

Blijkbaar heb je niet in de gaten dat je nu appelen met peren aan het vergelijken bent?
Linux kernel - Number of Vulnerabilities 1360
Windows alle versies bij elkaar, dus Windows kernel 6740

Maar kijk ook eens naar het volgende, voer een Linux update uit of een Windows update en vertel welke al je vrije tijd opsoupeert en welke binnen 10 minuten weer up and running is?

Ik lag mij ziek dat men denkt dat ik Linux en Windows vergelijk. Het punt is dat hier mensen heel snel in het bashen van Microsoft ipv genuanceerd commentaar te geven.

We weten allemaal dat de broncodes van de producten van Microsoft te veel legacy code heeft en dat het beter zou zijn als eens een keer zouden herschrijven, maar dat zal niet snel gebeuren.


Vaak genoeg is mijn Windows systeem even snel als mijn Linux systeem. Wat wil je er mee bereiken?
Op een security forum dit soort oninteressante statement te lopen zetten, levert je niets op.

Even voor de goede orde, ik ben niet de enige die reageerde op dat gene wat je ongefundeerd naar voren heb gebracht en nu probeer je het zo te laten lijken dat wij degene zijn die oninteressante statements te zetten?

Eerlijk gezegd had ik het idee dat jij bezig was met het belachelijk maken dus zo zie je maar hoe je je kunt vergissen.
Neemt niet weg dat je het volgende maar eens moet lezen: https://www.theregister.com/2025/08/08/exwhite_house_cyber_and_counterterrorism/

Wat is die waarheid dan want dat lees ik hier niet.
Makkelijk om een link neer te zetten maar graag dan ook aangeven waarom je deze neerzet zodat we met z'n allen hier wijzer van kunnen worden.

Oktober 2023: https://windowsreport.com/windows-11-kernel-rust/

Maar wees geRUST ook hier hebben ze weer bugs in aangetroffen.

De waarheid is dat de meeste broncode gewoon bugs en dus mogelijke exploits bevatten. En het maakt niet uit of closed source of open source is.

En om alleen maar af te geven op Microsoft is raar. En naar mijn mening behoorlijk achterhaald. We weten nogenoeg allemaal dat Microsoft niet eenvoudig de legacy code kan verwijderen. En dat zal zeker veel problemen opleveren.

Maar als we naar de toekomst kijken en zien wat AI aan code oplevert, zouden we kunnen vrezen voor het ergste bij verschillende bedrijven.