父節點
b00ef293d3
當前提交
f37c81d1a8
|
@ -0,0 +1,166 @@
|
|||
<?xml version="1.0" encoding="UTF-8" ?>
|
||||
|
||||
<html newsdate="2009-10-19">
|
||||
|
||||
<head>
|
||||
<title>
|
||||
Windows 7 komt op de markt met een gekend veiligheidsprobleem
|
||||
</title>
|
||||
</head>
|
||||
|
||||
<body>
|
||||
|
||||
<h1>
|
||||
Windows 7 komt op de markt met een gekend veiligheidsprobleem
|
||||
</h1>
|
||||
|
||||
<h2>
|
||||
FSFE: Microsoft's nalatigheid toont de voordelen van Vrije
|
||||
Software
|
||||
</h2>
|
||||
|
||||
<p newsteaser="yes">
|
||||
Microsoft nieuwste besturingssysteem wordt momenteel verdeeld
|
||||
met een potentieel gevaarlijke fout. Nog voor de officiële
|
||||
globale lancering van het product op donderdag verspreidt het
|
||||
Duits federaal IT veiligheidagentschap (BSI) een waarschuwing
|
||||
voor <a href="#foot1" id="anchor1">[1]</a> een
|
||||
veiligheidsprobleem met een hoog risico in het SMB2
|
||||
protocol. Door dit probleem kan de computer via het netwerk
|
||||
uitgeschakeld worden door middel van een Denial of Service (DoS)
|
||||
aanval.
|
||||
</p>
|
||||
|
||||
<p>
|
||||
Uit dit incident blijkt nogmaals dat propriëtaire software vaak
|
||||
aanleiding geeft tot veiligheidsproblemen. "Alleen Microsoft kan
|
||||
dit probleem, waarvan ze reeds geruime tijd op de hoogte zijn,
|
||||
verhelpen. Maar zij hebben er blijkbaar voor gekozen om dit
|
||||
probleem niet te erkennen in de hoop dat het geen roet zal
|
||||
gooien in de lancering van Windows 7 op de consumentenmarkt
|
||||
volgende donderdag." zegt Karsten Gerloff, voorzitter van de
|
||||
Free Software Foundation Europe (FSFE).
|
||||
</p>
|
||||
|
||||
<p>
|
||||
De BSI maakte in haar verklaring van 6 oktober
|
||||
(<a href="#bsi">Nederlandse vertaling</a>) geen extra details bekend
|
||||
aangezien ze een beleid van verantwoorde bekendmaking
|
||||
aanhoudt. Alhoewel het meestal een goede strategie is om
|
||||
verkopers de tijd te geven om hun veiligheidsproblemen op te
|
||||
lossen voordat men ze publiek bekend maakt, zou de BSI in dit
|
||||
geval moeten overwegen om de volledige details bekend te maken
|
||||
om zo de druk op Microsoft om dit probleem aan te pakken, te
|
||||
vergroten. Het agentschap zegt dat het veiligheidsprobleem
|
||||
voorkomt in zowel de 32- en 64-bit versie van Windows 7 en Vista
|
||||
en tevens in Windows Server 2008. Dit probleem is niet hetzelfde
|
||||
als het reeds eerder bekend gemaakte
|
||||
SMB2-probleem <a href="#foot2" id="anchor2">[2]</a> waarvoor
|
||||
Microsoft in september patch MS09-050 uitbracht.
|
||||
</p>
|
||||
|
||||
<p>
|
||||
Gerloff stelt het zo: "Gebruikers van Microsoft's software
|
||||
zitten in de tang. Alhoewel ze weten dat het bedrijf hen
|
||||
blootstelt aan een veiligheidprobleem, kunnen ze niet zomaar van
|
||||
leverancier veranderen. Met Vrije Software zoals GNU/Linux -
|
||||
software die je kan bestuderen, delen en verbeteren - kunnen
|
||||
verschillende onafhankelijke entiteiten het probleem
|
||||
aanpakken. Consumenten zouden Microsoft's nalatig gedrag niet
|
||||
mogen belonen door haar producten te kopen. Vrije Software is
|
||||
een volwaardig alternatief dat beschikbaar is via verschillende
|
||||
onafhankelijke verkopers."
|
||||
</p>
|
||||
|
||||
<p>
|
||||
Microsoft heeft nog niet gereageerd op de waarschuwing van de
|
||||
BSI. Er is ook geen enkele aanwijzing dat het bedrijf er in zal
|
||||
slagen om het grote veiligheidslek in haar besturingssysteem te
|
||||
dichten voor de globale lancering van Windows 7 deze
|
||||
donderdag. Het veiligheidsprobleem is ook niet opgelost met de
|
||||
patches die in oktober werden uitgebracht.
|
||||
</p>
|
||||
|
||||
<p>
|
||||
Er heerst al langer bezorgdheid over de manier waarop het bedrijf
|
||||
met veiligheid omgaat. In een recent incident <a href="#foot3"
|
||||
id="anchor3">[3]</a> was Microsoft al op de hoogte van een ander
|
||||
probleem in het SMB2-protocol sinds juli 2009. Terwijl ze het
|
||||
probleem wel aanpakte begin augustus in de definitieve versie van
|
||||
Windows 7, lieten ze het probleem in Windows Vista en Windows
|
||||
Server 2008 ongemoeid totdat een onafhankelijke
|
||||
veiligheidonderzoeker de zaak openbaar maakte. Heise, een Duitse
|
||||
IT-nieuws-site, vermoedt dat dit probleem bij Microsoft op een
|
||||
interne lijst van fouten met lage prioriteit is geplaatst. Zo
|
||||
proberen ze de fout in alle stilte te herstellen om al te veel
|
||||
negatieve kritiek te vermijden.
|
||||
</p>
|
||||
|
||||
<p>
|
||||
<a href="#anchor1" id="foot1">[1]</a>
|
||||
<a href="https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201">Het
|
||||
Duits federaal IT-veiligheidsagentschap verstuurt een
|
||||
waarschuwing</a><br />
|
||||
|
||||
<a href="#anchor2" id="foot2">[2]</a>
|
||||
<a href="http://www.microsoft.com/technet/security/advisory/975497.mspx">Microsoft's
|
||||
veiligheidsadvies (975497): Door een veiligheidslek in SMB kan
|
||||
men via het netwerk code uitvoeren</a><br />
|
||||
|
||||
<a href="#anchor3" id="foot3">[3]</a>
|
||||
<a href="http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html">
|
||||
Microsoft is reeds geruime tijd op de hoogte van het SMB2 lek</a>
|
||||
</p>
|
||||
|
||||
|
||||
|
||||
<hr />
|
||||
|
||||
<h2 id="bsi">Vertaling van het BSI veiligheidsadvies: </h2>
|
||||
|
||||
<p>
|
||||
Veiligheidrisico: "4 hoog risico" (getal tussen 1 en 5, waar 5
|
||||
staat voor zeer hoog risico).<br />
|
||||
Tittel: Microsoft Windows SMB2-Protocol: nieuw veiligheidlek
|
||||
kan leiden tot denial of service (Windows Vista en Windows
|
||||
7).<br />
|
||||
Datum 06-10-2009<br />
|
||||
Software: Microsoft Windows 7, Microsoft Windows 7 x64 Edition,
|
||||
Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64
|
||||
Edition / SP1 / SP2, Microsoft Windows Server 2008<br />
|
||||
Platform: Windows<br />
|
||||
Gevolg: Denial-of-Service<br />
|
||||
Misbruik mogelijk van op het netwerk: Ja<br />
|
||||
Risico: hoog<br />
|
||||
Referentie: intern onderzoek<br />
|
||||
Beschrijving:
|
||||
</p>
|
||||
|
||||
<p>
|
||||
Server Message Block (SMB) is een protocol voor het delen van
|
||||
printers en bestanden. SMB2 is de nieuwe versie van dit
|
||||
protocol, dat werd geïntroduceerd met Windows Vista en Windows
|
||||
Server 2008 en nu ook beschikbaar is in Windows 7. De huidige
|
||||
implementatie van SMB2 bevat het probleem. Dit is een nieuw
|
||||
ontdekt lek, niet het probleem dat werd beschreven in Microsoft
|
||||
Security Advisory 975497. De opgelijste besturingssysteem kunnen
|
||||
ook na de patches van oktober (MS09-50) nog succesvol
|
||||
aangevallen worden.
|
||||
</p>
|
||||
|
||||
<p>
|
||||
Momenteel is geen update of patch beschikbaar bij de
|
||||
producent. Wij kunnen alleen adviseren om aandachtig te zijn en
|
||||
het probleem goed op te volgen. De enige manier om het probleem
|
||||
te omzeilen is het beperken van toegang tot de SMB2 servers door
|
||||
middel firewalls, of het uitschakelen van de SMB2 diensten.
|
||||
</p>
|
||||
|
||||
</body>
|
||||
<timestamp>$Date$ $Author$</timestamp>
|
||||
</html>
|
||||
<!--
|
||||
Local Variables: ***
|
||||
mode: xml ***
|
||||
End: ***
|
||||
-->
|
Loading…
Reference in New Issue