diff --git a/news/2009/news-20091019-01.nl.xhtml b/news/2009/news-20091019-01.nl.xhtml new file mode 100644 index 0000000000..080e826628 --- /dev/null +++ b/news/2009/news-20091019-01.nl.xhtml @@ -0,0 +1,166 @@ + + + + + + + Windows 7 komt op de markt met een gekend veiligheidsprobleem + + + + + +

+ Windows 7 komt op de markt met een gekend veiligheidsprobleem +

+ +

+ FSFE: Microsoft's nalatigheid toont de voordelen van Vrije + Software +

+ +

+ Microsoft nieuwste besturingssysteem wordt momenteel verdeeld + met een potentieel gevaarlijke fout. Nog voor de officiële + globale lancering van het product op donderdag verspreidt het + Duits federaal IT veiligheidagentschap (BSI) een waarschuwing + voor [1] een + veiligheidsprobleem met een hoog risico in het SMB2 + protocol. Door dit probleem kan de computer via het netwerk + uitgeschakeld worden door middel van een Denial of Service (DoS) + aanval. +

+ +

+ Uit dit incident blijkt nogmaals dat propriëtaire software vaak + aanleiding geeft tot veiligheidsproblemen. "Alleen Microsoft kan + dit probleem, waarvan ze reeds geruime tijd op de hoogte zijn, + verhelpen. Maar zij hebben er blijkbaar voor gekozen om dit + probleem niet te erkennen in de hoop dat het geen roet zal + gooien in de lancering van Windows 7 op de consumentenmarkt + volgende donderdag." zegt Karsten Gerloff, voorzitter van de + Free Software Foundation Europe (FSFE). +

+ +

+ De BSI maakte in haar verklaring van 6 oktober + (Nederlandse vertaling) geen extra details bekend + aangezien ze een beleid van verantwoorde bekendmaking + aanhoudt. Alhoewel het meestal een goede strategie is om + verkopers de tijd te geven om hun veiligheidsproblemen op te + lossen voordat men ze publiek bekend maakt, zou de BSI in dit + geval moeten overwegen om de volledige details bekend te maken + om zo de druk op Microsoft om dit probleem aan te pakken, te + vergroten. Het agentschap zegt dat het veiligheidsprobleem + voorkomt in zowel de 32- en 64-bit versie van Windows 7 en Vista + en tevens in Windows Server 2008. Dit probleem is niet hetzelfde + als het reeds eerder bekend gemaakte + SMB2-probleem [2] waarvoor + Microsoft in september patch MS09-050 uitbracht. +

+ +

+ Gerloff stelt het zo: "Gebruikers van Microsoft's software + zitten in de tang. Alhoewel ze weten dat het bedrijf hen + blootstelt aan een veiligheidprobleem, kunnen ze niet zomaar van + leverancier veranderen. Met Vrije Software zoals GNU/Linux - + software die je kan bestuderen, delen en verbeteren - kunnen + verschillende onafhankelijke entiteiten het probleem + aanpakken. Consumenten zouden Microsoft's nalatig gedrag niet + mogen belonen door haar producten te kopen. Vrije Software is + een volwaardig alternatief dat beschikbaar is via verschillende + onafhankelijke verkopers." +

+ +

+ Microsoft heeft nog niet gereageerd op de waarschuwing van de + BSI. Er is ook geen enkele aanwijzing dat het bedrijf er in zal + slagen om het grote veiligheidslek in haar besturingssysteem te + dichten voor de globale lancering van Windows 7 deze + donderdag. Het veiligheidsprobleem is ook niet opgelost met de + patches die in oktober werden uitgebracht. +

+ +

+ Er heerst al langer bezorgdheid over de manier waarop het bedrijf + met veiligheid omgaat. In een recent incident [3] was Microsoft al op de hoogte van een ander + probleem in het SMB2-protocol sinds juli 2009. Terwijl ze het + probleem wel aanpakte begin augustus in de definitieve versie van + Windows 7, lieten ze het probleem in Windows Vista en Windows + Server 2008 ongemoeid totdat een onafhankelijke + veiligheidonderzoeker de zaak openbaar maakte. Heise, een Duitse + IT-nieuws-site, vermoedt dat dit probleem bij Microsoft op een + interne lijst van fouten met lage prioriteit is geplaatst. Zo + proberen ze de fout in alle stilte te herstellen om al te veel + negatieve kritiek te vermijden. +

+ +

+ [1] + Het + Duits federaal IT-veiligheidsagentschap verstuurt een + waarschuwing
+ + [2] + Microsoft's + veiligheidsadvies (975497): Door een veiligheidslek in SMB kan + men via het netwerk code uitvoeren
+ + [3] + + Microsoft is reeds geruime tijd op de hoogte van het SMB2 lek +

+ + + +
+ +

Vertaling van het BSI veiligheidsadvies:

+ +

+ Veiligheidrisico: "4 hoog risico" (getal tussen 1 en 5, waar 5 + staat voor zeer hoog risico).
+ Tittel: Microsoft Windows SMB2-Protocol: nieuw veiligheidlek + kan leiden tot denial of service (Windows Vista en Windows + 7).
+ Datum 06-10-2009
+ Software: Microsoft Windows 7, Microsoft Windows 7 x64 Edition, + Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64 + Edition / SP1 / SP2, Microsoft Windows Server 2008
+ Platform: Windows
+ Gevolg: Denial-of-Service
+ Misbruik mogelijk van op het netwerk: Ja
+ Risico: hoog
+ Referentie: intern onderzoek
+ Beschrijving: +

+ +

+ Server Message Block (SMB) is een protocol voor het delen van + printers en bestanden. SMB2 is de nieuwe versie van dit + protocol, dat werd geïntroduceerd met Windows Vista en Windows + Server 2008 en nu ook beschikbaar is in Windows 7. De huidige + implementatie van SMB2 bevat het probleem. Dit is een nieuw + ontdekt lek, niet het probleem dat werd beschreven in Microsoft + Security Advisory 975497. De opgelijste besturingssysteem kunnen + ook na de patches van oktober (MS09-50) nog succesvol + aangevallen worden. +

+ +

+ Momenteel is geen update of patch beschikbaar bij de + producent. Wij kunnen alleen adviseren om aandachtig te zijn en + het probleem goed op te volgen. De enige manier om het probleem + te omzeilen is het beperken van toegang tot de SMB2 servers door + middel firewalls, of het uitschakelen van de SMB2 diensten. +

+ + + $Date$ $Author$ + +