rolf_camps
il y a 11 ans
1 fichiers modifiés avec 166 ajouts et 0 suppressions
+ 166
- 0
news/2009/news-20091019-01.nl.xhtml
Voir le fichier
| @@ -0,0 +1,166 @@ | |||
| <?xml version="1.0" encoding="UTF-8" ?> | |||
| <html newsdate="2009-10-19"> | |||
| <head> | |||
| <title> | |||
| Windows 7 komt op de markt met een gekend veiligheidsprobleem | |||
| </title> | |||
| </head> | |||
| <body> | |||
| <h1> | |||
| Windows 7 komt op de markt met een gekend veiligheidsprobleem | |||
| </h1> | |||
| <h2> | |||
| FSFE: Microsoft's nalatigheid toont de voordelen van Vrije | |||
| Software | |||
| </h2> | |||
| <p newsteaser="yes"> | |||
| Microsoft nieuwste besturingssysteem wordt momenteel verdeeld | |||
| met een potentieel gevaarlijke fout. Nog voor de officiële | |||
| globale lancering van het product op donderdag verspreidt het | |||
| Duits federaal IT veiligheidagentschap (BSI) een waarschuwing | |||
| voor <a href="#foot1" id="anchor1">[1]</a> een | |||
| veiligheidsprobleem met een hoog risico in het SMB2 | |||
| protocol. Door dit probleem kan de computer via het netwerk | |||
| uitgeschakeld worden door middel van een Denial of Service (DoS) | |||
| aanval. | |||
| </p> | |||
| <p> | |||
| Uit dit incident blijkt nogmaals dat propriëtaire software vaak | |||
| aanleiding geeft tot veiligheidsproblemen. "Alleen Microsoft kan | |||
| dit probleem, waarvan ze reeds geruime tijd op de hoogte zijn, | |||
| verhelpen. Maar zij hebben er blijkbaar voor gekozen om dit | |||
| probleem niet te erkennen in de hoop dat het geen roet zal | |||
| gooien in de lancering van Windows 7 op de consumentenmarkt | |||
| volgende donderdag." zegt Karsten Gerloff, voorzitter van de | |||
| Free Software Foundation Europe (FSFE). | |||
| </p> | |||
| <p> | |||
| De BSI maakte in haar verklaring van 6 oktober | |||
| (<a href="#bsi">Nederlandse vertaling</a>) geen extra details bekend | |||
| aangezien ze een beleid van verantwoorde bekendmaking | |||
| aanhoudt. Alhoewel het meestal een goede strategie is om | |||
| verkopers de tijd te geven om hun veiligheidsproblemen op te | |||
| lossen voordat men ze publiek bekend maakt, zou de BSI in dit | |||
| geval moeten overwegen om de volledige details bekend te maken | |||
| om zo de druk op Microsoft om dit probleem aan te pakken, te | |||
| vergroten. Het agentschap zegt dat het veiligheidsprobleem | |||
| voorkomt in zowel de 32- en 64-bit versie van Windows 7 en Vista | |||
| en tevens in Windows Server 2008. Dit probleem is niet hetzelfde | |||
| als het reeds eerder bekend gemaakte | |||
| SMB2-probleem <a href="#foot2" id="anchor2">[2]</a> waarvoor | |||
| Microsoft in september patch MS09-050 uitbracht. | |||
| </p> | |||
| <p> | |||
| Gerloff stelt het zo: "Gebruikers van Microsoft's software | |||
| zitten in de tang. Alhoewel ze weten dat het bedrijf hen | |||
| blootstelt aan een veiligheidprobleem, kunnen ze niet zomaar van | |||
| leverancier veranderen. Met Vrije Software zoals GNU/Linux - | |||
| software die je kan bestuderen, delen en verbeteren - kunnen | |||
| verschillende onafhankelijke entiteiten het probleem | |||
| aanpakken. Consumenten zouden Microsoft's nalatig gedrag niet | |||
| mogen belonen door haar producten te kopen. Vrije Software is | |||
| een volwaardig alternatief dat beschikbaar is via verschillende | |||
| onafhankelijke verkopers." | |||
| </p> | |||
| <p> | |||
| Microsoft heeft nog niet gereageerd op de waarschuwing van de | |||
| BSI. Er is ook geen enkele aanwijzing dat het bedrijf er in zal | |||
| slagen om het grote veiligheidslek in haar besturingssysteem te | |||
| dichten voor de globale lancering van Windows 7 deze | |||
| donderdag. Het veiligheidsprobleem is ook niet opgelost met de | |||
| patches die in oktober werden uitgebracht. | |||
| </p> | |||
| <p> | |||
| Er heerst al langer bezorgdheid over de manier waarop het bedrijf | |||
| met veiligheid omgaat. In een recent incident <a href="#foot3" | |||
| id="anchor3">[3]</a> was Microsoft al op de hoogte van een ander | |||
| probleem in het SMB2-protocol sinds juli 2009. Terwijl ze het | |||
| probleem wel aanpakte begin augustus in de definitieve versie van | |||
| Windows 7, lieten ze het probleem in Windows Vista en Windows | |||
| Server 2008 ongemoeid totdat een onafhankelijke | |||
| veiligheidonderzoeker de zaak openbaar maakte. Heise, een Duitse | |||
| IT-nieuws-site, vermoedt dat dit probleem bij Microsoft op een | |||
| interne lijst van fouten met lage prioriteit is geplaatst. Zo | |||
| proberen ze de fout in alle stilte te herstellen om al te veel | |||
| negatieve kritiek te vermijden. | |||
| </p> | |||
| <p> | |||
| <a href="#anchor1" id="foot1">[1]</a> | |||
| <a href="https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201">Het | |||
| Duits federaal IT-veiligheidsagentschap verstuurt een | |||
| waarschuwing</a><br /> | |||
| <a href="#anchor2" id="foot2">[2]</a> | |||
| <a href="http://www.microsoft.com/technet/security/advisory/975497.mspx">Microsoft's | |||
| veiligheidsadvies (975497): Door een veiligheidslek in SMB kan | |||
| men via het netwerk code uitvoeren</a><br /> | |||
| <a href="#anchor3" id="foot3">[3]</a> | |||
| <a href="http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html"> | |||
| Microsoft is reeds geruime tijd op de hoogte van het SMB2 lek</a> | |||
| </p> | |||
| <hr /> | |||
| <h2 id="bsi">Vertaling van het BSI veiligheidsadvies: </h2> | |||
| <p> | |||
| Veiligheidrisico: "4 hoog risico" (getal tussen 1 en 5, waar 5 | |||
| staat voor zeer hoog risico).<br /> | |||
| Tittel: Microsoft Windows SMB2-Protocol: nieuw veiligheidlek | |||
| kan leiden tot denial of service (Windows Vista en Windows | |||
| 7).<br /> | |||
| Datum 06-10-2009<br /> | |||
| Software: Microsoft Windows 7, Microsoft Windows 7 x64 Edition, | |||
| Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64 | |||
| Edition / SP1 / SP2, Microsoft Windows Server 2008<br /> | |||
| Platform: Windows<br /> | |||
| Gevolg: Denial-of-Service<br /> | |||
| Misbruik mogelijk van op het netwerk: Ja<br /> | |||
| Risico: hoog<br /> | |||
| Referentie: intern onderzoek<br /> | |||
| Beschrijving: | |||
| </p> | |||
| <p> | |||
| Server Message Block (SMB) is een protocol voor het delen van | |||
| printers en bestanden. SMB2 is de nieuwe versie van dit | |||
| protocol, dat werd geïntroduceerd met Windows Vista en Windows | |||
| Server 2008 en nu ook beschikbaar is in Windows 7. De huidige | |||
| implementatie van SMB2 bevat het probleem. Dit is een nieuw | |||
| ontdekt lek, niet het probleem dat werd beschreven in Microsoft | |||
| Security Advisory 975497. De opgelijste besturingssysteem kunnen | |||
| ook na de patches van oktober (MS09-50) nog succesvol | |||
| aangevallen worden. | |||
| </p> | |||
| <p> | |||
| Momenteel is geen update of patch beschikbaar bij de | |||
| producent. Wij kunnen alleen adviseren om aandachtig te zijn en | |||
| het probleem goed op te volgen. De enige manier om het probleem | |||
| te omzeilen is het beperken van toegang tot de SMB2 servers door | |||
| middel firewalls, of het uitschakelen van de SMB2 diensten. | |||
| </p> | |||
| </body> | |||
| <timestamp>$Date$ $Author$</timestamp> | |||
| </html> | |||
| <!-- | |||
| Local Variables: *** | |||
| mode: xml *** | |||
| End: *** | |||
| --> | |||