diff --git a/news/2009/news-20091019-01.nl.xhtml b/news/2009/news-20091019-01.nl.xhtml new file mode 100644 index 0000000000..080e826628 --- /dev/null +++ b/news/2009/news-20091019-01.nl.xhtml @@ -0,0 +1,166 @@ + + + + +
++ Microsoft nieuwste besturingssysteem wordt momenteel verdeeld + met een potentieel gevaarlijke fout. Nog voor de officiële + globale lancering van het product op donderdag verspreidt het + Duits federaal IT veiligheidagentschap (BSI) een waarschuwing + voor [1] een + veiligheidsprobleem met een hoog risico in het SMB2 + protocol. Door dit probleem kan de computer via het netwerk + uitgeschakeld worden door middel van een Denial of Service (DoS) + aanval. +
+ ++ Uit dit incident blijkt nogmaals dat propriëtaire software vaak + aanleiding geeft tot veiligheidsproblemen. "Alleen Microsoft kan + dit probleem, waarvan ze reeds geruime tijd op de hoogte zijn, + verhelpen. Maar zij hebben er blijkbaar voor gekozen om dit + probleem niet te erkennen in de hoop dat het geen roet zal + gooien in de lancering van Windows 7 op de consumentenmarkt + volgende donderdag." zegt Karsten Gerloff, voorzitter van de + Free Software Foundation Europe (FSFE). +
+ ++ De BSI maakte in haar verklaring van 6 oktober + (Nederlandse vertaling) geen extra details bekend + aangezien ze een beleid van verantwoorde bekendmaking + aanhoudt. Alhoewel het meestal een goede strategie is om + verkopers de tijd te geven om hun veiligheidsproblemen op te + lossen voordat men ze publiek bekend maakt, zou de BSI in dit + geval moeten overwegen om de volledige details bekend te maken + om zo de druk op Microsoft om dit probleem aan te pakken, te + vergroten. Het agentschap zegt dat het veiligheidsprobleem + voorkomt in zowel de 32- en 64-bit versie van Windows 7 en Vista + en tevens in Windows Server 2008. Dit probleem is niet hetzelfde + als het reeds eerder bekend gemaakte + SMB2-probleem [2] waarvoor + Microsoft in september patch MS09-050 uitbracht. +
+ ++ Gerloff stelt het zo: "Gebruikers van Microsoft's software + zitten in de tang. Alhoewel ze weten dat het bedrijf hen + blootstelt aan een veiligheidprobleem, kunnen ze niet zomaar van + leverancier veranderen. Met Vrije Software zoals GNU/Linux - + software die je kan bestuderen, delen en verbeteren - kunnen + verschillende onafhankelijke entiteiten het probleem + aanpakken. Consumenten zouden Microsoft's nalatig gedrag niet + mogen belonen door haar producten te kopen. Vrije Software is + een volwaardig alternatief dat beschikbaar is via verschillende + onafhankelijke verkopers." +
+ ++ Microsoft heeft nog niet gereageerd op de waarschuwing van de + BSI. Er is ook geen enkele aanwijzing dat het bedrijf er in zal + slagen om het grote veiligheidslek in haar besturingssysteem te + dichten voor de globale lancering van Windows 7 deze + donderdag. Het veiligheidsprobleem is ook niet opgelost met de + patches die in oktober werden uitgebracht. +
+ ++ Er heerst al langer bezorgdheid over de manier waarop het bedrijf + met veiligheid omgaat. In een recent incident [3] was Microsoft al op de hoogte van een ander + probleem in het SMB2-protocol sinds juli 2009. Terwijl ze het + probleem wel aanpakte begin augustus in de definitieve versie van + Windows 7, lieten ze het probleem in Windows Vista en Windows + Server 2008 ongemoeid totdat een onafhankelijke + veiligheidonderzoeker de zaak openbaar maakte. Heise, een Duitse + IT-nieuws-site, vermoedt dat dit probleem bij Microsoft op een + interne lijst van fouten met lage prioriteit is geplaatst. Zo + proberen ze de fout in alle stilte te herstellen om al te veel + negatieve kritiek te vermijden. +
+ +
+ [1]
+ Het
+ Duits federaal IT-veiligheidsagentschap verstuurt een
+ waarschuwing
+
+ [2]
+ Microsoft's
+ veiligheidsadvies (975497): Door een veiligheidslek in SMB kan
+ men via het netwerk code uitvoeren
+
+ [3]
+
+ Microsoft is reeds geruime tijd op de hoogte van het SMB2 lek
+
+ Veiligheidrisico: "4 hoog risico" (getal tussen 1 en 5, waar 5
+ staat voor zeer hoog risico).
+ Tittel: Microsoft Windows SMB2-Protocol: nieuw veiligheidlek
+ kan leiden tot denial of service (Windows Vista en Windows
+ 7).
+ Datum 06-10-2009
+ Software: Microsoft Windows 7, Microsoft Windows 7 x64 Edition,
+ Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64
+ Edition / SP1 / SP2, Microsoft Windows Server 2008
+ Platform: Windows
+ Gevolg: Denial-of-Service
+ Misbruik mogelijk van op het netwerk: Ja
+ Risico: hoog
+ Referentie: intern onderzoek
+ Beschrijving:
+
+ Server Message Block (SMB) is een protocol voor het delen van + printers en bestanden. SMB2 is de nieuwe versie van dit + protocol, dat werd geïntroduceerd met Windows Vista en Windows + Server 2008 en nu ook beschikbaar is in Windows 7. De huidige + implementatie van SMB2 bevat het probleem. Dit is een nieuw + ontdekt lek, niet het probleem dat werd beschreven in Microsoft + Security Advisory 975497. De opgelijste besturingssysteem kunnen + ook na de patches van oktober (MS09-50) nog succesvol + aangevallen worden. +
+ ++ Momenteel is geen update of patch beschikbaar bij de + producent. Wij kunnen alleen adviseren om aandachtig te zijn en + het probleem goed op te volgen. De enige manier om het probleem + te omzeilen is het beperken van toegang tot de SMB2 servers door + middel firewalls, of het uitschakelen van de SMB2 diensten. +
+ + +