Gesloten
1
Microsoft heeft aanstaande dinsdag één van de drukste patchdinsdagen ooit. De softwaregigant zal dan via 10 Security Bulletins 34 beveiligingslekken in Windows en Office dichten, waarmee het record van oktober geëvenaard wordt.

Zes van de patches zijn voor Windows, waarvan er twee "critical" zijn, de hoogste categorie. De overige vier patches worden door Microsoft als "important" bestempeld. Office krijgt twee patches te verduren, allebei important. De negende update is zowel voor Windows als Office en is ook important, terwijl de laatste patch voor een "critical" lek in Internet Explorer is.

Zero-day
Onder de gepatchte kwetsbaarheden bevinden zich ook twee zero-day lekken in SharePoint en Internet Explorer, die respectievelijk sinds 29 april en 3 februari bekend zijn.

In het geval van IE kan een aanvaller als de protected mode in de browser is uitgeschakeld, toegang tot bestanden krijgen waarvan de naam en locatie bekend is. Het SharePoint-lek zorgt ervoor dat een aanvaller een willekeurig script kan uitvoeren om zo zijn rechten op de SharePoint site te verhogen. De updates staan dinsdag 8 juni klaar en zijn te downloaden via Windows Update en de Automatische Update functie.

Bron
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
2
'critical' en 'important'.
Maar toch wachten tot de maandelijkse patchdag....

Dat is toch op zijn minst 'opmerkelijk' te noemen.
Al zou de term 'nonchalant' hier beter passen.

' iets met 2 centen'
Zeg maar Duncan.
3
Chato schreef:'critical' en 'important'.
Maar toch wachten tot de maandelijkse patchdag....

Dat is toch op zijn minst 'opmerkelijk' te noemen.
Al zou de term 'nonchalant' hier beter passen.
Jij zegt het en ik dacht dit al jaren, ik heb die (tweede Dinsdag v/d maand) de beruchte patch Tuesday nooit echt kunnen begrijpen.
Waarom is er dan een automatische update functie in Windows? [Diss mode] [*#^/] Dit om alleen de gebruikers automatisch van updates te voorzien die niet op de beruchte Dinsdag gebruik maken van de computer.
Oké hier kan ik mij wel iets bij voorstellen dat dit er is, maar nu ga ik twijfels krijgen over de update's van Windows want het Zero Day lek in SharePoint van Office en Internet Explorer is al sinds 29 April en 3 Februari bekend.

Scenario 1. :neu:
Het Sharepoint lek had dus al op 9 Februari de (patch Tuesday) gepatch kunnen worden, maar vier maande later op 9 Juni wordt deze (VB) pas gepatcht, [END Shame mode]

Scenario 2. :neu:
Het lek in Internet Explorer wat sinds 3 Februari al bekend is niet op 9 Maart, 13 April en 11 Mei in de maandelijke (patch Tuesday) opgenomen terwijl het toch wel kritische lekken zijn als ik dit bericht zo lees.
En menig gebruiker vooral de (home) users gebruiken Internet Explorer, dus lijkt het mij verstandig om hier zo snel mogelijk een pleister op te plakken, maar nee we wachten drie maanden en brengen dan een patch uit. :-[

Maar goed ik ga gelukkig niet over de updates van Microsoft Windows, maar ik blijf het extreem bizar vinden dat echt belangrijke updates uitgesteld worden tot de (patch Tuesday) zodat er op de (Exploit wednesday) weer wat nieuws is wat pas weer een maand later gepatcht gaat worden.
Dit is gewoonweg achter de feiten aanlopen en Windows systemen kwetsbaar laten tot de al eerder genoemde beruchte (patch Tuesday).
Als er een patch nodig is voor welke Windows versie dan ook die Microsoft nog ondersteuning geeft moet deze zo snel mogelijk beschikbaar zijn voor welke gebruiker dan ook.
Elke Windows systeem is een doelwit zowel als thuisgebruiker als in een bedrijfsomgeving, en ik denk dat bij het laatste wel een veilig systeem noodzakelijk is en gewaarborgd moet worden.

Het update systeem moet gewoon 24/7 zijn zodat er op elk moment de laatste updates voor het gebruikte systeem opgehaald kunnen worden, er is niet voor niks een automatische update functie toch, deze kan ook dagelijks ingezet worden.
If it ain't broken, don't fix it
4
Mooi gezegd, Angel@,

En wat het allemaal nog erger maakt:
De kwetsbaarheden zijn bekend gemaakt, die zijn gewoon openbaar.
Wie nog even een Windows-gebruiker wil lastig vallen, krijgt van Microsoft nog een paar dagen de tijd.
En hoe je dat kunt doen, is gewoon te lezen in de diverse publicaties op het internet.

Maar toch nog even wachten met patchen tot de maandelijkse ' update-dag' .

Het is niet voor niets dat enige jaren geleden de term ' Exploit Wednesday' werd geintroduceerd.
De dag dat het extreem druk is op de forums in het ' undernet' .

Alleen dit al is toch een reden om over te stappen op Mac/OS of Linux.
Zeg maar Duncan.
5
De juiste mensen weten de weg op het WWW ;) en als Microsoft zo door blijft gaan met eigenlijk het verwaarlozen van het Windows systeem (patchen / updaten) zal het altijd een kwetsbaar OS blijven, terwijl dit helemaal niet hoeft.
Maar het gaat nu eenmaal om veel commercie, vandaar dat er regelmatig een geheel nieuw OS van Microsoft op de markt komt en de oudere versies niet meer ondersteund worden wat op zicht een zeer kwalijke zaak is.
chato schreef:Alleen dit al is toch een reden om over te stappen op Mac/OS of Linux.
Nou op Mac-OS die Apple (appel) stap ik nooit over. :crash:
If it ain't broken, don't fix it
6
Hi All,

Het is altijd gemakkelijk om te denken dat je "even" een patchje uitbrengt en het probleem is opgelost. Helaas is de praktijk iets ingewikkelder. Met de miljoenen PC's en evenveel verschillende configuraties is het wel zaak dat de patch niets anders stuk maakt. Er moet dus gekeken worden naar de afhankelijkheden van de code en de impact daarvan. Dan moet het nog getest worden voordat je het Windows update op slingert.
Natuurlijk kun je dan zeggen dat er al 3 patch tuesdays voorbij zijn gegaan waarin dat lek gedicht had kunnen worden maar wij monitoren ook actief de websites voor usable exploit code. Zolang men nog niet heeft uitgevonden hoe het aangekondigde lek kan worden misbruikt is er geen echte haast. De meeste exploit code komt namelijk pas NADAT de patch is uitgebracht.

Thanks,

Tony Krijnen
IT Pro Technology Advisor
Microsoft Nederland
tonykrij@microsoft.com
7
Cool. 8) reactie van Microsoft zelf. :good:

Natuurlijk begrijp ik dat het patchen een complexe zaak is en dat hier een behoorlijke testfase aan vooraf gaat voordat de update publiekelijk beschikbaar gesteld wordt. Alleen IMHO is 4 maanden toch best lang zeker als deze lekken met de noemer "critical" en "important" worden aangeduid in de media.
tonykrij schreef:Natuurlijk kun je dan zeggen dat er al 3 patch tuesdays voorbij zijn gegaan waarin dat lek gedicht had kunnen worden maar wij monitoren ook actief de websites voor usable exploit code. Zolang men nog niet heeft uitgevonden hoe het aangekondigde lek kan worden misbruikt is er geen echte haast. De meeste exploit code komt namelijk pas NADAT de patch is uitgebracht.
Het gearceerde in het :citaat: is natuurlijk wel zorgwekkend, want stel dat er wel manier is om het lek te misbruiken maar nog niet openbaar is gepubliceerd kan de kwaadwillende(n) in dit geval wel een doelgerichte aanval plegen met alle gevolgen van dien.

Verder wil ik nog even teug komen op de patch Tuesday, deze is er sinds het Win 98 tijdperk als ik mij niet vergis! maar is dit inmiddels niet achterhaald?
In de Win98 tijd werd er nog veel gebruik gemaakt van dial-up verbindingen dus was er geen constante verbinding met het internet, en door velen werd de 'update' functie ook niet eens gebruikt omdat de (telefoon tikken) wel op een andere manier gebruikt konden worden, Me Myself and I to ;)

Maar goed anno 2010 heeft bijna iedereen wel een constante verbinding met het internet, dus hier reist gelijk mijn vraag, waarom wordt de 'Windows Update' functie niet zo benut dat alle gereed staande patches direct worden aangeboden? Er draait namelijk constant een service (wuauserv) die dit mogelijk maakt?
If it ain't broken, don't fix it
8
Het is niet zo zwart/wit, dus als er we geen exploit code zien dat er dan geen haast is om een patch te maken. Sommig exploits gewoon niet gemakkelijk te gebruiken/misbruiken.

Patch Tuesday heeft niets met modems of minimale verbindingen te maken maar met de wens van IT Professionals en security experts om voor het onderhoud van servers (en werkstations) voorspelbaar te zijn.
Niets is zo vervelend als een out-of-band release voor je planning en uptime.

Zie ook: http://www.securecomputing.net.au/News/ ... ormat.aspx" onclick="window.open(this.href);return false;

Thanks,

Tony Krijnen
Microsoft BV
9
Kom op, laten we elkaar geen mietje noemen: het is de vendor die het probleem veroorzaakt, niet degene die een kwetsbaarheid openbaar maakt.

Klanten betalen voor het gebruik van Microsoft Windows.
Dan mogen ze toch wel verwachten dat het product goed is?
En als het dan niet helemaal goed is, kan gebeuren, zorg dan dat de problemen zo snel mogelijk opgelost worden.

Er is begrip dat de vendor even tijd nodig heeft om een patch te maken (en dan praat ik nog niet eens over een update), maar mag ik dan verbaasd zijn dat dat maar 1 maal per maand gebeurd?

Uiteraard moet een patch (of update) eerst uitvoerig getest worden voordat deze beschikbaar gesteld wordt, maar heb je daar dan twee maanden voor nodig?
Nee, dat heb je niet!
Knappe vent die ons kan overtuigen dat je daar twee maanden voor nodig hebt.
Microsoft heeft voldoende kennis en ervaring in huis om ook 'dit varkentje even te wassen'.

Ik ben een Linux-gebruiker, en ik ben niet het type dat constant Windows zit af te kraken of Microsoft schrijft als Micro$oft, zoals je ze zo vaak ziet.
Maar elk lek, of kwetsbaarheid zo je wilt, wordt bij Linux binnen twee, max. drie dagen opgelost met het uitbrengen van een update.
Je wilt toch niet zeggen dat Windows complexer is dan Linux?

Als wij een lek ontdekken, houdt niemand ons tegen om het gewoon te publiceren.
Zero-Days. Gezien jouw functie weet jij wel waar ik het over heb.
Maar als een ontdekker toch denkt 'laat ik het netjes houden', verwittigt hij de vendor en stelt een ultimatum.
'Take it or leave it'.
Heb je meer tijd nodig? Zorg dan dat je samenwerkt met de ontdekker/onderzoeker of hoe je hem maar noemen wilt.
Heb je als vendor nog commentaar ook? Goed, dan publiceren we het toch?
'Ondankbaar' noemen we dat.

Sorry, ik begin nu bijna over mijn schreef te gaan.
Ik hoop dat je je niet persoonlijk aangevallen voelt, want dat is niet zo bedoelt, maar gezien jouw ondertekening van je post, vertegenwoordig jij MS.
En daar heb ik het nu over.

Ik gebruik geen Windows, maar heb wel te doen met de betalende klanten die hadden verwacht een goed product te krijgen.


Maar ik ben nog niet uitgepraat.
Laat ik eens kijken naar jouw argumenten.
(Dit belooft een interessante discussie te worden)
tonykrij schreef:als we geen exploit code zien dat er dan geen haast is om een patch te maken
Ik heb even je linkedin en wat andere bronnen gezien, en ik zie dat jij (of mag ik u zeggen) wel de kennis in huis hebt. Dan verbaast mij zo een opmerking.
Dus je wilt eerst een bewijs zien voordat je in actie komt?
Neem je je werk dan wel serieus?
tonykrij schreef:Sommig exploits zijn gewoon niet gemakkelijk te gebruiken/misbruiken
'Niet gemakkelijk' is niet hetzelfde als 'onmogelijk'.
tonykrij schreef:Voor mij is er geen enkele rechtvaardiging om de volledige aanval vector van een exploit op welk OS dan ook publiek te maken.
Klinkt mij als puur eigen belang.
Mag het? Als iemand ergens de credits voor verdient, mag hij dan trots zijn op zijn werk? Nogmaals: het is de vendor die het probleem veroorzaakt, niet degene die een lek publiceert.

En hier nog een:
De meeste exploit code komt namelijk pas NADAT de patch is uitgebracht.
Je haalt nu oorzaak en gevolg door elkaar.
Uit fatsoen worden de meeste exploits/PoC 's pas gepubliceerd nadat een patch of update is uitgebracht. Dit wordt gedaan als de vendor zich houdt aan de afspraken (full disclosure policy) tussen de ontdekker en de vendor. Als de vendor regelmatig contact opneemt met de ontdekker, zal ook z/hij zich houden aan de afspraken omtrent een embargo, en zal wachten met publicatie totdat het probleem opgelost is.
Maar als een vendor (een grote, zoals MS) wel erg vergaande eisen heeft ('geef me twee maanden de tijd') hoeft men echt niet te wachten met publicatie.
Dit argument kan dus gelijk van tafel.


Tony, misschien kom ik wat raar uit de bocht, maar ik ben gewoon wat geïrriteerd dat je deze situatie probeert te bagatelliseren.
Het is IMO misse boel bij MS.
En ik weet het, het is eens gezegd door MS: "wij zijn geen security-company, wij maken besturingssystemen".
Ik denk dat als een willekeurig ander bedrijf zo een uitspraak doet, dat -ie helemaal afgeslacht wordt door de media.
Stel je voor dat een topfunctionaris van Toyota dat eens gezegd zou hebben......

Graag een reactie.


Chato H. Flores
CEH, CCSP
Independent Computer & Network Security Professional

http://www.linkedin.com/in/chatoflores" onclick="window.open(this.href);return false;
Zeg maar Duncan.
10
Hey Chato,

Dank je wel voor je uitgebreide reactie, je neemt er de moeite voor en ik mag je stijl.
Het zou inderdaad een hele interessante discussie kunnen worden maar dat is dan liever iets waar ik voor ga zitten in een kroeg met een biertje (iedereen hierbij uitgenodigt voor een open en interactieve discussie, wanneer en waar spreken we af?) dan ellelange hoor-en-wederhoor teksten hier te gaan opvoeren. Mijn ervaring is dat deze discusssies op forums altijd eindigen in een heen en weer sturen van referenties, url's en argumenten waar dan weer tegenargumenten op gezocht worden en daar pas ik voor.

Het kwam misschien dan wat simpel over met "als er geen exploit code is dan heeft het geen haast" maar uiteraard nemen wij security heel serieus. Sinds Windows XP SP2 zijn er dan ook constant ingrijpende veranderingen aangebracht in het OS om bekende aanvals vectoren terug te brengen. Ik weet niet wie er gezegd heeft dat wij geen security company zijn maar dat is vast voor onze hele SD3+C omslag http://www.microsoft.com/downloads/deta ... laylang=en geweest. Uiteraard had ik de officiele antwoorden en statements van Microsoft van stal kunnen halen en met allerlei cijfers gaan gooien (Werkelijk tijd voor linux distributies om een patch door te voeren? Wil je ze weten?) maar daar zit volgens mij niemand op te wachten.

Dus sorry dat ik niet overal direct op in ga maar laat me gerust weten wanneer we wat gaan drinken!

Thanks,

Tony Krijnen
Microsoft BV
12
TOP!

Wat is een handige locatie om af te spreken? En qua tijd: Een avond of een zaterdagmiddag?

Tx! Tony.
13
hahaha, je bent wel het type van 'spijker met koppen slaan'.
:)
We komen elkaar vast nog wel tegen op een of ander forum, of bij een mailinglist.
Maar mocht je eens in het oosten vh land komen, ben je welkom, zelfs een slaapplaats is zo geregeld.

:)
Zeg maar Duncan.
14
Ik vindt het zeer sportief dat Tony heeft gereageerd op dit topic en dat er op diverse vragen 'statements' meer duidelijkheid is gekomen, en zeker op de vraag van de patch Tuesday
tonykrij schreef:Patch Tuesday heeft niets met modems of minimale verbindingen te maken maar met de wens van IT Professionals en security experts om voor het onderhoud van servers (en werkstations) voorspelbaar te zijn.
Ook al zou de Windows Update functie "on demand" beschikbare patches aanbieden, weet ik niet of je hiermee eventuele problemen vermindert.
De beveiliging van een systeem ligt toch in de handen van de gebruiker en of beheerder, en het zal toch altijd wel een kat-en-muisspel blijven gezien de malware 'authors' en andere bad guys.

Neem als voorbeeld je eigen huis, je kan dan wel de beste alarminstallaties, sloten en andere (beveiligings) maatregelen hebben genomen maar dit garandeert nog niet dat er alsnog ingebroken kan worden, zeker niet als er flink op los gehyved en getwitterd wordt met de aankomende vakantie data's.
Als er eenmaal een inbraak is geweest kan je dit de woning corporatie ook niet verwijten, en zeggen dat zij alle ramen en deuren dicht hadden moeten 'patchen' uhh metselen.

Maar goed wat mij vooral opvalt is dat de meeste 'malware' & 'security' gerelateerde problemen de oorzaak zijn van een niet up-to-date systeem of gewoon het internet c.q. download gedrag.
En dit is niet alleen bij de thuisgebruiker maar ook in bedrijven het geval, en dit heb ik zelf meegemaakt, hier werden de systemen nooit voorzien van de laatste updates omdat men bang was dat de gebruikte software niet meer zou functioneren.
Na wat 'tools' gebruikt te hebben en de gemaakte logjes naar de systeembeheerders had verstuurd ging er wel een belletje rinkelen, maar toch werd er verder geen actie ondernomen! alleen het feit dat ik executables kon uitvoeren werd als 'ticket' behandeld. :conf:

Verder ben ik nog wel benieuwd naar meer informatie over deze gebruikte term "SD3+C"

En als er geen 'malware' en of 'security' problemen meer zouden zijn heb ik ook niks meer te doen.
Member of UNITE Unified Network of Instructors and Trained Eliminators (Unite Against Malware)
15
Chato: Uiteraard, ik was niet van plan om het als excuuse te gebruiken om er vanaf te zijn ;-)
Dus ik kom gerust naar Enschede, time and place? :-)

Tx, Tony.
Gesloten

Terug naar “Windows XP”