Onopgemerkt SP2 firewall lek voldeed niet aan criteria
Afgelopen dinsdag kwam Microsoft met 5 security bulletins voor verschillende lekken in Windows. Dit waren echter niet de enige patches, zoals je gisteren kon lezen. Er verscheen namelijk nog een update voor een kritiek lek in de Windows XP Service Pack 2 Firewall. Deze patch werd echter stilletjes door Microsoft uitgebracht. Het lek, waardoor iedereen toegang tot de computer heeft als de gebruiker via een inbelverbinding internet, werd niet op de security pagina van Microsoft geplaatst, maar als Knowlegde Base artikel gepubliceerd. Microsoft heeft nu laten weten dat details van het lek niet in de patchcyclus van december waren meegenomen "omdat het niet aan de security criteria van een lek voldeed. Deze criteria worden regelmatig herzien en we proberen een uitleg te bieden die voldoet aan de wensen van onze klanten". In dit artikel legt Microsoft precies uit wanneer iets een security lek is. (SMH)
Inbel netwerken zijn altijd al een probleem geweest.
geen security lekken. Tuurlijk!
gebruiker via een inbelverbinding internet"
Als dat geen security lek is weet ik het ook niet meer......
Een firewall hoort mensen buiten te houden en niet
pro-actief binnen te laten.
Aan de andere kant valt dit wel onder de (oude) microsoft
strategie; default 'everyone full control'
geslagen kon worden. Er zijn niet veel mensen die XPSP2 hebben
gecombineerd met een inbelverbinding, maar dit soort problemen horen
niet thuis in een goede firewall. Ik heb daarom liever een firewall van een
gerenomeerd bedrijf dan het knoeiwerk van Microsoft.
aanwezig op Technet. (http://support.microsoft.com/kb/886185). Jullie
blijven volharden in het verspreiden van onjuiste informatie. Ik vrees dat
deze reactie door big-brother bij security.nl gecensureerd gaat worden.
Waar moet een lek dan wel aan voldoen?
Klopt niet . Die update en de info omtrent deze update waren wel degelijk
aanwezig op Technet. (http://support.microsoft.com/kb/886185).
Bovendien wordt de configuratie-wijziging, want meer is het eigenlijk niet,
volautomatisch via Windows Update geïmplementeerd.
"Onopgemerkt SP2 firewall lek voldeed niet aan criteria"
Waar moet een lek dan wel aan voldoen?
EIGEN WORDT ER BEDOELD:
"Onopgemerkt SP2 firewall lek voldeed niet de DEFINITIE van
een LEK"
Hierop heeft MS deze definitie aangepast zodat bij een
volgende soortgelijke situatie de FIX welk meegenomen wordt
in de maandelijkse patch-cyclus.
Zaken die niet binnen het filter vallen worden niet
meegenomen in de maandelijkse patch-cyclus. Deze verschijnen
kennelijk separaat via andere kanalen.
> Klopt niet . Die update en de info omtrent deze update waren
> wel degelijk aanwezig op Technet.
Waar het hier om gaat is dat van deze critical patch geen bulletin
is verschenen, en hier ontbreekt:
http://www.microsoft.com/technet/security/current.aspx
http://www.microsoft.com/technet/security/bulletin/ms04-dec.mspx
Veel mensen (met name die met inbelverbindingen) houden niet van
automatische updates en halen alleen strikt noodzakelijk patches
op. Zij die security-minded zijn (zoals ik) checken de bulletins van
Microsoft en gaan ervan uit dat ze daarmee goed worden geinformeerd,
wat dus NIET het geval is. M.i. een slechte zaak die mijn vermoeden
versterkt dat het aantal openlijk gepubliceerde patches per jaar
vooral een marketing aangelegenheid is.
Ook wil je als security pro soms weten wanneer een patch is
uitgebracht en ook dan zoek je in de bulletins. Ten slotte is een
MS04-XXX nummer veel makkelijker te onhouden dan zo'n
6-cijferig getal waar geen datum o.i.d. in te herkennen is.
Nog een puntje, Microsoft heeft op 14 dec. ook MS04-028 uitgebreid:
http://www.microsoft.com/technet/security/Bulletin/MS04-028.mspx
Ook hier kom je alleen achter door ofwel WindowsUpdate te draaien,
ofwel alle webpages van Microsoft te lezen, of doordat iemand dit
op NTBugtraq (dat was mijn bron) of hier :) post.
Overigens heb ik de XPSP2-firewall blunder van Microsoft afgelopen
woensdag al gemeld, zie http://www.security.nl/article/9534/1
om 13:49.
Erik van Straten
luistert en/of accepteert en/of op een interne interface
bind en/of dat dit niet in te stellen is. Heb ik met Samba,
met of zonder firewall, toch echt geen last van.
. Ik vrees dat
deze reactie door big-brother bij security.nl gecensureerd
gaat worden.
stel je niet aan, man.
Zij die security-minded zijn (zoals ik) checken de bulletins van
Microsoft en gaan ervan uit dat ze daarmee goed worden
geinformeerd, wat dus NIET het geval is. M.i. een slechte
zaak die mijn vermoeden versterkt dat het aantal openlijk
gepubliceerde patches per jaar vooral een marketing
aangelegenheid is.
Erik van Straten
Dus inderdaad, wat wel en niet en hoe en hoevaak en hoeveel
naar buiten gebracht wordt == allemaal marketing.
Microsoft kent geen toeval.
bijna geen doen om met een inbel verbinding winxp te
gebruiken. Boven dien moet je ook nog elke keer je virus
scanner bijwerken Je bent alleen al met windows xp een
kapitaal kwijt aan tijd en telefoon kosten om Je systeem op
orde te houden.
Heb linux naast windows jaren gebruikt met een telefoon
moden zonder virus scanner nooit ergens last van gehad
voor een inbel verbinding gebruik je toch linux .Het is
bijna geen doen om met een inbel verbinding winxp te
gebruiken. Boven dien moet je ook nog elke keer je virus
scanner bijwerken Je bent alleen al met windows xp een
kapitaal kwijt aan tijd en telefoon kosten om Je systeem op
orde te houden.
Heb linux naast windows jaren gebruikt met een telefoon
moden zonder virus scanner nooit ergens last van gehad
ADSL is OOK een inbelverbinding...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.