|
|
@ -0,0 +1,166 @@ |
|
|
|
<?xml version="1.0" encoding="UTF-8" ?> |
|
|
|
|
|
|
|
<html newsdate="2009-10-19"> |
|
|
|
|
|
|
|
<head> |
|
|
|
<title> |
|
|
|
Windows 7 komt op de markt met een gekend veiligheidsprobleem |
|
|
|
</title> |
|
|
|
</head> |
|
|
|
|
|
|
|
<body> |
|
|
|
|
|
|
|
<h1> |
|
|
|
Windows 7 komt op de markt met een gekend veiligheidsprobleem |
|
|
|
</h1> |
|
|
|
|
|
|
|
<h2> |
|
|
|
FSFE: Microsoft's nalatigheid toont de voordelen van Vrije |
|
|
|
Software |
|
|
|
</h2> |
|
|
|
|
|
|
|
<p newsteaser="yes"> |
|
|
|
Microsoft nieuwste besturingssysteem wordt momenteel verdeeld |
|
|
|
met een potentieel gevaarlijke fout. Nog voor de officiële |
|
|
|
globale lancering van het product op donderdag verspreidt het |
|
|
|
Duits federaal IT veiligheidagentschap (BSI) een waarschuwing |
|
|
|
voor <a href="#foot1" id="anchor1">[1]</a> een |
|
|
|
veiligheidsprobleem met een hoog risico in het SMB2 |
|
|
|
protocol. Door dit probleem kan de computer via het netwerk |
|
|
|
uitgeschakeld worden door middel van een Denial of Service (DoS) |
|
|
|
aanval. |
|
|
|
</p> |
|
|
|
|
|
|
|
<p> |
|
|
|
Uit dit incident blijkt nogmaals dat propriëtaire software vaak |
|
|
|
aanleiding geeft tot veiligheidsproblemen. "Alleen Microsoft kan |
|
|
|
dit probleem, waarvan ze reeds geruime tijd op de hoogte zijn, |
|
|
|
verhelpen. Maar zij hebben er blijkbaar voor gekozen om dit |
|
|
|
probleem niet te erkennen in de hoop dat het geen roet zal |
|
|
|
gooien in de lancering van Windows 7 op de consumentenmarkt |
|
|
|
volgende donderdag." zegt Karsten Gerloff, voorzitter van de |
|
|
|
Free Software Foundation Europe (FSFE). |
|
|
|
</p> |
|
|
|
|
|
|
|
<p> |
|
|
|
De BSI maakte in haar verklaring van 6 oktober |
|
|
|
(<a href="#bsi">Nederlandse vertaling</a>) geen extra details bekend |
|
|
|
aangezien ze een beleid van verantwoorde bekendmaking |
|
|
|
aanhoudt. Alhoewel het meestal een goede strategie is om |
|
|
|
verkopers de tijd te geven om hun veiligheidsproblemen op te |
|
|
|
lossen voordat men ze publiek bekend maakt, zou de BSI in dit |
|
|
|
geval moeten overwegen om de volledige details bekend te maken |
|
|
|
om zo de druk op Microsoft om dit probleem aan te pakken, te |
|
|
|
vergroten. Het agentschap zegt dat het veiligheidsprobleem |
|
|
|
voorkomt in zowel de 32- en 64-bit versie van Windows 7 en Vista |
|
|
|
en tevens in Windows Server 2008. Dit probleem is niet hetzelfde |
|
|
|
als het reeds eerder bekend gemaakte |
|
|
|
SMB2-probleem <a href="#foot2" id="anchor2">[2]</a> waarvoor |
|
|
|
Microsoft in september patch MS09-050 uitbracht. |
|
|
|
</p> |
|
|
|
|
|
|
|
<p> |
|
|
|
Gerloff stelt het zo: "Gebruikers van Microsoft's software |
|
|
|
zitten in de tang. Alhoewel ze weten dat het bedrijf hen |
|
|
|
blootstelt aan een veiligheidprobleem, kunnen ze niet zomaar van |
|
|
|
leverancier veranderen. Met Vrije Software zoals GNU/Linux - |
|
|
|
software die je kan bestuderen, delen en verbeteren - kunnen |
|
|
|
verschillende onafhankelijke entiteiten het probleem |
|
|
|
aanpakken. Consumenten zouden Microsoft's nalatig gedrag niet |
|
|
|
mogen belonen door haar producten te kopen. Vrije Software is |
|
|
|
een volwaardig alternatief dat beschikbaar is via verschillende |
|
|
|
onafhankelijke verkopers." |
|
|
|
</p> |
|
|
|
|
|
|
|
<p> |
|
|
|
Microsoft heeft nog niet gereageerd op de waarschuwing van de |
|
|
|
BSI. Er is ook geen enkele aanwijzing dat het bedrijf er in zal |
|
|
|
slagen om het grote veiligheidslek in haar besturingssysteem te |
|
|
|
dichten voor de globale lancering van Windows 7 deze |
|
|
|
donderdag. Het veiligheidsprobleem is ook niet opgelost met de |
|
|
|
patches die in oktober werden uitgebracht. |
|
|
|
</p> |
|
|
|
|
|
|
|
<p> |
|
|
|
Er heerst al langer bezorgdheid over de manier waarop het bedrijf |
|
|
|
met veiligheid omgaat. In een recent incident <a href="#foot3" |
|
|
|
id="anchor3">[3]</a> was Microsoft al op de hoogte van een ander |
|
|
|
probleem in het SMB2-protocol sinds juli 2009. Terwijl ze het |
|
|
|
probleem wel aanpakte begin augustus in de definitieve versie van |
|
|
|
Windows 7, lieten ze het probleem in Windows Vista en Windows |
|
|
|
Server 2008 ongemoeid totdat een onafhankelijke |
|
|
|
veiligheidonderzoeker de zaak openbaar maakte. Heise, een Duitse |
|
|
|
IT-nieuws-site, vermoedt dat dit probleem bij Microsoft op een |
|
|
|
interne lijst van fouten met lage prioriteit is geplaatst. Zo |
|
|
|
proberen ze de fout in alle stilte te herstellen om al te veel |
|
|
|
negatieve kritiek te vermijden. |
|
|
|
</p> |
|
|
|
|
|
|
|
<p> |
|
|
|
<a href="#anchor1" id="foot1">[1]</a> |
|
|
|
<a href="https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201">Het |
|
|
|
Duits federaal IT-veiligheidsagentschap verstuurt een |
|
|
|
waarschuwing</a><br /> |
|
|
|
|
|
|
|
<a href="#anchor2" id="foot2">[2]</a> |
|
|
|
<a href="http://www.microsoft.com/technet/security/advisory/975497.mspx">Microsoft's |
|
|
|
veiligheidsadvies (975497): Door een veiligheidslek in SMB kan |
|
|
|
men via het netwerk code uitvoeren</a><br /> |
|
|
|
|
|
|
|
<a href="#anchor3" id="foot3">[3]</a> |
|
|
|
<a href="http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html"> |
|
|
|
Microsoft is reeds geruime tijd op de hoogte van het SMB2 lek</a> |
|
|
|
</p> |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
<hr /> |
|
|
|
|
|
|
|
<h2 id="bsi">Vertaling van het BSI veiligheidsadvies: </h2> |
|
|
|
|
|
|
|
<p> |
|
|
|
Veiligheidrisico: "4 hoog risico" (getal tussen 1 en 5, waar 5 |
|
|
|
staat voor zeer hoog risico).<br /> |
|
|
|
Tittel: Microsoft Windows SMB2-Protocol: nieuw veiligheidlek |
|
|
|
kan leiden tot denial of service (Windows Vista en Windows |
|
|
|
7).<br /> |
|
|
|
Datum 06-10-2009<br /> |
|
|
|
Software: Microsoft Windows 7, Microsoft Windows 7 x64 Edition, |
|
|
|
Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64 |
|
|
|
Edition / SP1 / SP2, Microsoft Windows Server 2008<br /> |
|
|
|
Platform: Windows<br /> |
|
|
|
Gevolg: Denial-of-Service<br /> |
|
|
|
Misbruik mogelijk van op het netwerk: Ja<br /> |
|
|
|
Risico: hoog<br /> |
|
|
|
Referentie: intern onderzoek<br /> |
|
|
|
Beschrijving: |
|
|
|
</p> |
|
|
|
|
|
|
|
<p> |
|
|
|
Server Message Block (SMB) is een protocol voor het delen van |
|
|
|
printers en bestanden. SMB2 is de nieuwe versie van dit |
|
|
|
protocol, dat werd geïntroduceerd met Windows Vista en Windows |
|
|
|
Server 2008 en nu ook beschikbaar is in Windows 7. De huidige |
|
|
|
implementatie van SMB2 bevat het probleem. Dit is een nieuw |
|
|
|
ontdekt lek, niet het probleem dat werd beschreven in Microsoft |
|
|
|
Security Advisory 975497. De opgelijste besturingssysteem kunnen |
|
|
|
ook na de patches van oktober (MS09-50) nog succesvol |
|
|
|
aangevallen worden. |
|
|
|
</p> |
|
|
|
|
|
|
|
<p> |
|
|
|
Momenteel is geen update of patch beschikbaar bij de |
|
|
|
producent. Wij kunnen alleen adviseren om aandachtig te zijn en |
|
|
|
het probleem goed op te volgen. De enige manier om het probleem |
|
|
|
te omzeilen is het beperken van toegang tot de SMB2 servers door |
|
|
|
middel firewalls, of het uitschakelen van de SMB2 diensten. |
|
|
|
</p> |
|
|
|
|
|
|
|
</body> |
|
|
|
<timestamp>$Date$ $Author$</timestamp> |
|
|
|
</html> |
|
|
|
<!-- |
|
|
|
Local Variables: *** |
|
|
|
mode: xml *** |
|
|
|
End: *** |
|
|
|
--> |