Microsoft: geen vervroegde patch voor WMF-lek
Softwarebedrijf wacht tot reguliere patchdag
04 januari 2006 | Remco Mourits
bron: ZDNet
Bookmark dit:
gerelateerde artikels op ZDNet »
externe links »
Reacties
Reageer op dit artikel
29 reacties op dit artikel:
Origineel bericht van el_mariachi 04/01/2006
Hitmanpro patch dus automatisch zonder het te vragen met die unoffical patch. De patch verschijnt normaal in de softwarelijst om die te verwijderen als je het niet vertrouwt.
Origineel bericht van schwungman 04/01/2006
Bij ons werkt wereldwijd meer als 100.000 man, de licentiekost voor XP zou ik wel eens willen zien. Ik deed ze onmiddellijk een proces aan.
Nu ja, ik zou wel andere dingen doen ook 
Origineel bericht van Olaf 04/01/2006
Acceptabel vind ik dat niet! Totaal niet.
Als ze iets hebben zouden ze het op zijn minst moeten beschikbaar zijn en niet wachten tot alle talen er een versie van hebben.
Origineel bericht van Bart 04/01/2006
Het verschil is wel dat Microsoft een patch dient te maken die niet gewoon een lapmiddeltje is zoals dat van andere producenten wat slechts op kleine schaal getest werd. IMO is het beter een grondig geteste patch uit te brengen voor alle platformen dan eerst met een patch te komen voor taal X en daarna pas voor de andere talen. Komt nog eens bij dat het lopen van een uitgebreide testcycle tijd vergt en niet vergeleken kan worden met een russisch developerke dat eens wat lapwerk doet, paar keer compileert en dan zegt: 't zal wel goed zijn want 't werkt op mijne pc hier en diene oude bak in de keuken beneden .
Patches in batches uitbrengen is trouwens een correctere filosofie dan zo nu en dan met een patch te komen aandraven (o.a. m.b.t. patch policy in bedrijven). En tot slot nog even vermelden dat van zodra je een patch uitbrengt, de kwestbaarheid van niet-gepatchte systemen de lucht ingaat. Reden: patch uitbrengen = tonen waar de eigenlijke fout steekt (vergelijk gewoon de .dll/.exe files vóór en na de patch en je hebt prijs) = crackers extra middelen geven. Iedereen patchen op zelfde ogenblik is dus de beste methodologie.
Origineel bericht van Bart 04/01/2006
Zie m'n comment op de "Geen commentaar" thread. Ofwel geef je de mogelijk aan iedereen om op hetzelfde ogenblik te patchen, ofwel wacht je tot dat kan. That's the point. Patch vrijgeven = vulnerabiliteit duidelijk aanwijzen (binary diff nemen tussen oude en nieuwe file volstaat) = risico voor unpatchted systems verhogen.
Origineel bericht van Olafken 04/01/2006
quote::: m$// "Over het algemeen is het beter beveiligingsupdates te gebruiken die afkomstig zijn van de oorspronkelijke makers van de software"
hahhaha en wij moeten dus nu nog op microsoft betrouwen, dat lek is al meer dan 10 jaar bekent bij hun en die slakken doen er 2weken over om een patch te releasen (en dat met een heel team terwijl er 24 h later door een andere programmeur zelf een werd gemaakt)
Origineel bericht van mutley dastardly 04/01/2006
MS kan zich geen 2e blunder meer veroorloven... Dus zal de schrik hun verlammen, en de schade hopelijk zeer hoog laten oplopen. Ik heb geen medelijden met wie IE, MSN, O en OE niet dichtlaat.
Converteren op thunderbird, firefox en als je dan toch niet zonder MSN kan - de webdienst gebruiken met Firefox.
Maar zelfs firefox is niet 100% veilig - u krijgt een waarschuwing, reageert u slecht, is 't ook bingo!
Die voorlopige niet-officiële fix is bij mij in elk geval geïnstalleerd. Je kan 'm weghalen, en hopen dat je 'm niet nodig zal hebben.
Het zoveelste bewijs wordt hiermee geleverd dat er een strikte scheiding tussen programmatuur nodig is - dat de scheiding tussen internet en programmatuur en data zeer strikt gescheiden dient te worden - en dat er meer gezandboxt zal moeten worden.
Ik wil minder features in Vista en slechts één client versie en slechts één server versie. Al de rest moet microsoft maar on-line verkopen! (dus geen IE, geen OE, Geen MSN, geen mediaplayer en al die zaken. Wil ik dat dan koop/download ik dat zelf wel). Wacht nog maar tot nomad op de markt komt...
Als je ziet dat zelfs echte Microsoft fans en mensen die leven van Microsoft zeer zwaar uithalen - zowel naar de WMF-bug als naar IE7 die nog altijd geen 100% CSS compatible browser zal zijn... Dan weet ik dat dat de prijs van het monopolie is!
Origineel bericht van Naam 05/01/2006
"Patch vrijgeven = vulnerabiliteit duidelijk aanwijzen"
WMF-vulnerability is ondertussen al lang en breed gedocumenteerd (en niet alleen in de black hatters community).
Origineel bericht van Naam 05/01/2006
"die niet gewoon een lapmiddeltje is zoals dat van andere producenten wat slechts op kleine schaal getest werd."
De praktijk wijst nochtans uit dat het precies Microsoft is, die het meest problemen heeft met patches van bedenkelijke kwaliteit.
De oorzaak ligt uiteraard grotendeels bij complexiteit en gelaagdheid van de Windows OS (spaghetti)code. Het is toch bijzonder ironisch dat zelfs Vista beta2 onderhevig is aan de WMF-kwetsbaarheid ?
"Komt nog eens bij dat het lopen van een uitgebreide testcycle tijd vergt"
Zie hierboven.
"en niet vergeleken kan worden met een russisch developerke dat eens wat lapwerk doet"
Toevallig één van de meest gerespecteerde Windows low-level experts. Blijkbaar zag hij er - in tegenstelling tot MS' team - geen graten in tijdens het nieuwjaarsweekend te werken.
Origineel bericht van kiji 05/01/2006
Voor minder bekende lekken is het op vaste tijdstippen uitbrengen van patches inderdaad iets handiger en ordelijker. Maar in gevallen zoals dit lek waar zowat iedere kleuter met computer en slechte bedoelingen weet hoe het lek uit te buiten moet MS die patch eerder uitbrengen. Je geeft blackhats enkel meer tijd om hun ding te doen. Stel dat de pcs in je bedrijf worden overgenomen door uitbuiting van een lek waarvoor MS een onuitgegeven patch heeft; paar miljoen verlies... In de Vs begint men met rechtszaken voor minder. Vergelijk dat gerust met een producent van autobanden (of zelfs wagens) die weet dat zijn producten defect zijn maar toch geen recall doet; eerst uitzoeken wat net het probleem is. Wie is dan verantwoordelijk voor een ongeval te wijten aan dat product denk je?
MS staat flink voor paal omdat dat "russische amateurke" in 24 uur kon wat de hele MSploeg in 2 weken (of is het al enkele jaren?) niet gedaan krijgt. Zijn oplossing heeft geen nood aan 50 verschillende taalversies (alsof de win-code in 50 talen zou bestaan, MS is enkel een wrappertje aan het schrijven, wachten tot ook niet -engelstaligen kunnen patchen is onzin), komt met uninstall en is door zowat de hele cybersecurity wereld uitgeplozen en goed bevonden. "De patches van de producent zijn beter" jaja, vraag maar aan Sony, die kennen alles van patchen.
Origineel bericht van Onbekend 05/01/2006
"Beveiligingsexperts vinden dit onacceptabel"
Is er iemand die dat wel acceptabel vindt????
De mensen van MS niet meegerekend natuurlijk.
Origineel bericht van Olaf 05/01/2006
Bart we hebben hier over een zero-day exploit! Een patch uitbrengen zal de hackers niet op het goede spoor zetten want ze hebben al sedert eind december al het goede spoor. Exploits zijn er nu, ze bestaan al en besmetten nu al PC's.
Er is geen enkel goede reden om nu niet zo snel mogelijk met een critical update te komen. Blijkbaar hebben ze al een versie die getest en werkt, ze wachten enkel op de vertalingen in ander talen. Maar ondertussen kunnen ze wel al de Engelse versie patchen vind ik.
Ik ben geen tegenstander van Microsoft, maar dit is toch dikke shit.
Origineel bericht van Olaf 05/01/2006
Allemaal schoon en wel maar stel dat die een rootkit installeert?
Ik ben besmet en ik weet het niet.
Ook systeemherstelpunt, heb je al ooit eens proberen terug te zetten?
Ik heb dat al een keer gedaan, resultaat crash omdat een software update blijkbaar terug gezet is en niet meer compatibel was met zijn vernieuwde database. 
Ik ben tolerant als ze wat moeilijkheden hebben met het fixen van de bug, software is niet altijd zo gemakkelijk te fixen, het hangt af van waar de bug zit. Maar als ze er al een hebben die getest is, dan is er geen enkel intelligente reden om die niet vrij te geven!!! Dit is even erg als de SonyBMG nachtmerrie.
Waar is mijn hex-editor, ik ga het zelf wel fixen.
Origineel bericht van Geert Hooglede 05/01/2006
al wie nog niet besmet is, neem een systeemherstelpunt
al wie nog niet besmet is, zorg voor update van antivirus en antispyware
dan zal het wel loslopen
Origineel bericht van Olaf 05/01/2006
Nieuwe informatie, de WMF exploit word al sedert 1 december misbruikt, maar pas de 27e december of zo ontdekt door anderen. Dus wachten op vertalingen is dikke zever, hackers gaan echt niet meer die patch reverse engineeren.
Er moet er maar 1 anti-Microsoft gast zijn ergens in de wereld die bewust een trojan maakt met als enig doel de wereld proberen plat te leggen en Microsoft gaat de SonyBMG toer op kwestie van super slechte publiciteit. De manager die die vertraging eist moet direct ontslagen worden in mijn ogen.
Origineel bericht van africool 05/01/2006
Ik heb een patch gehost van een russische belg op;
www.users.skynet.be/cartoonner
Ter info;
http://www.standaard.be/Artikel/Detail. ... d=GK4MCNPI
Origineel bericht van Naam 05/01/2006
"Er moet er maar 1 anti-Microsoft gast zijn"
Anti-microsoft ? Heeft er niks mee te maken.
Het is toch niet omdat je een openstaande bankkluis berooft, dat je anti-Fortis of anti-ING zou zijn ? De crackers zoeken vaak gewoon de weg van de minste weerstand.
Origineel bericht van jens 05/01/2006
niets is 100% veilig.
Kijk maar naar firefox, ze denken dat het veilig is maar ze hebben geen marktaandeel dus is het ook niet intressant om naar een lek te zoeken. Hoe meer marktaandeel ze zullen hebben hoe meer lekken daar ook zullen worden gevonden.
Origineel bericht van Vi 05/01/2006
En zeggen dat bij MS gasten werken met 4.000 euri's NETTO per maand....!!!
En ja hoor,...nen Belgische rus heeft da in zijn vrije tijd gedaan....
http://www.nieuwsblad.be/Article/Detail ... 012006_001
MS lui?
'k denk het...
voor de 1000ste keer zal ik het nog is zeggen....
ALLE GATEN IN een winddoos zijn OPZETTELIJK aangebracht....vandaar die wind...
