Source files of fsfe.org, pdfreaders.org, freeyourandroid.org, ilovefs.org, drm.info, and test.fsfe.org. Contribute: https://fsfe.org/contribute/web/ https://fsfe.org
You can not select more than 25 topics Topics must start with a letter or number, can include dashes ('-') and can be up to 35 characters long.

news-20091019-01.nl.xhtml 6.7KB

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166
  1. <?xml version="1.0" encoding="UTF-8" ?>
  2. <html newsdate="2009-10-19">
  3. <head>
  4. <title>
  5. Windows 7 komt op de markt met een gekend veiligheidsprobleem
  6. </title>
  7. </head>
  8. <body>
  9. <h1>
  10. Windows 7 komt op de markt met een gekend veiligheidsprobleem
  11. </h1>
  12. <h2>
  13. FSFE: Microsoft's nalatigheid toont de voordelen van Vrije
  14. Software
  15. </h2>
  16. <p newsteaser="yes">
  17. Microsoft nieuwste besturingssysteem wordt momenteel verdeeld
  18. met een potentieel gevaarlijke fout. Nog voor de officiële
  19. globale lancering van het product op donderdag verspreidt het
  20. Duits federaal IT veiligheidagentschap (BSI) een waarschuwing
  21. voor <a href="#foot1" id="anchor1">[1]</a> een
  22. veiligheidsprobleem met een hoog risico in het SMB2
  23. protocol. Door dit probleem kan de computer via het netwerk
  24. uitgeschakeld worden door middel van een Denial of Service (DoS)
  25. aanval.
  26. </p>
  27. <p>
  28. Uit dit incident blijkt nogmaals dat propriëtaire software vaak
  29. aanleiding geeft tot veiligheidsproblemen. "Alleen Microsoft kan
  30. dit probleem, waarvan ze reeds geruime tijd op de hoogte zijn,
  31. verhelpen. Maar zij hebben er blijkbaar voor gekozen om dit
  32. probleem niet te erkennen in de hoop dat het geen roet zal
  33. gooien in de lancering van Windows 7 op de consumentenmarkt
  34. volgende donderdag." zegt Karsten Gerloff, voorzitter van de
  35. Free Software Foundation Europe (FSFE).
  36. </p>
  37. <p>
  38. De BSI maakte in haar verklaring van 6 oktober
  39. (<a href="#bsi">Nederlandse vertaling</a>) geen extra details bekend
  40. aangezien ze een beleid van verantwoorde bekendmaking
  41. aanhoudt. Alhoewel het meestal een goede strategie is om
  42. verkopers de tijd te geven om hun veiligheidsproblemen op te
  43. lossen voordat men ze publiek bekend maakt, zou de BSI in dit
  44. geval moeten overwegen om de volledige details bekend te maken
  45. om zo de druk op Microsoft om dit probleem aan te pakken, te
  46. vergroten. Het agentschap zegt dat het veiligheidsprobleem
  47. voorkomt in zowel de 32- en 64-bit versie van Windows 7 en Vista
  48. en tevens in Windows Server 2008. Dit probleem is niet hetzelfde
  49. als het reeds eerder bekend gemaakte
  50. SMB2-probleem <a href="#foot2" id="anchor2">[2]</a> waarvoor
  51. Microsoft in september patch MS09-050 uitbracht.
  52. </p>
  53. <p>
  54. Gerloff stelt het zo: "Gebruikers van Microsoft's software
  55. zitten in de tang. Alhoewel ze weten dat het bedrijf hen
  56. blootstelt aan een veiligheidprobleem, kunnen ze niet zomaar van
  57. leverancier veranderen. Met Vrije Software zoals GNU/Linux -
  58. software die je kan bestuderen, delen en verbeteren - kunnen
  59. verschillende onafhankelijke entiteiten het probleem
  60. aanpakken. Consumenten zouden Microsoft's nalatig gedrag niet
  61. mogen belonen door haar producten te kopen. Vrije Software is
  62. een volwaardig alternatief dat beschikbaar is via verschillende
  63. onafhankelijke verkopers."
  64. </p>
  65. <p>
  66. Microsoft heeft nog niet gereageerd op de waarschuwing van de
  67. BSI. Er is ook geen enkele aanwijzing dat het bedrijf er in zal
  68. slagen om het grote veiligheidslek in haar besturingssysteem te
  69. dichten voor de globale lancering van Windows 7 deze
  70. donderdag. Het veiligheidsprobleem is ook niet opgelost met de
  71. patches die in oktober werden uitgebracht.
  72. </p>
  73. <p>
  74. Er heerst al langer bezorgdheid over de manier waarop het bedrijf
  75. met veiligheid omgaat. In een recent incident <a href="#foot3"
  76. id="anchor3">[3]</a> was Microsoft al op de hoogte van een ander
  77. probleem in het SMB2-protocol sinds juli 2009. Terwijl ze het
  78. probleem wel aanpakte begin augustus in de definitieve versie van
  79. Windows 7, lieten ze het probleem in Windows Vista en Windows
  80. Server 2008 ongemoeid totdat een onafhankelijke
  81. veiligheidonderzoeker de zaak openbaar maakte. Heise, een Duitse
  82. IT-nieuws-site, vermoedt dat dit probleem bij Microsoft op een
  83. interne lijst van fouten met lage prioriteit is geplaatst. Zo
  84. proberen ze de fout in alle stilte te herstellen om al te veel
  85. negatieve kritiek te vermijden.
  86. </p>
  87. <p>
  88. <a href="#anchor1" id="foot1">[1]</a>
  89. <a href="https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201">Het
  90. Duits federaal IT-veiligheidsagentschap verstuurt een
  91. waarschuwing</a><br />
  92. <a href="#anchor2" id="foot2">[2]</a>
  93. <a href="http://www.microsoft.com/technet/security/advisory/975497.mspx">Microsoft's
  94. veiligheidsadvies (975497): Door een veiligheidslek in SMB kan
  95. men via het netwerk code uitvoeren</a><br />
  96. <a href="#anchor3" id="foot3">[3]</a>
  97. <a href="http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html">
  98. Microsoft is reeds geruime tijd op de hoogte van het SMB2 lek</a>
  99. </p>
  100. <hr />
  101. <h2 id="bsi">Vertaling van het BSI veiligheidsadvies: </h2>
  102. <p>
  103. Veiligheidrisico: "4 hoog risico" (getal tussen 1 en 5, waar 5
  104. staat voor zeer hoog risico).<br />
  105. Tittel: Microsoft Windows SMB2-Protocol: nieuw veiligheidlek
  106. kan leiden tot denial of service (Windows Vista en Windows
  107. 7).<br />
  108. Datum 06-10-2009<br />
  109. Software: Microsoft Windows 7, Microsoft Windows 7 x64 Edition,
  110. Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64
  111. Edition / SP1 / SP2, Microsoft Windows Server 2008<br />
  112. Platform: Windows<br />
  113. Gevolg: Denial-of-Service<br />
  114. Misbruik mogelijk van op het netwerk: Ja<br />
  115. Risico: hoog<br />
  116. Referentie: intern onderzoek<br />
  117. Beschrijving:
  118. </p>
  119. <p>
  120. Server Message Block (SMB) is een protocol voor het delen van
  121. printers en bestanden. SMB2 is de nieuwe versie van dit
  122. protocol, dat werd geïntroduceerd met Windows Vista en Windows
  123. Server 2008 en nu ook beschikbaar is in Windows 7. De huidige
  124. implementatie van SMB2 bevat het probleem. Dit is een nieuw
  125. ontdekt lek, niet het probleem dat werd beschreven in Microsoft
  126. Security Advisory 975497. De opgelijste besturingssysteem kunnen
  127. ook na de patches van oktober (MS09-50) nog succesvol
  128. aangevallen worden.
  129. </p>
  130. <p>
  131. Momenteel is geen update of patch beschikbaar bij de
  132. producent. Wij kunnen alleen adviseren om aandachtig te zijn en
  133. het probleem goed op te volgen. De enige manier om het probleem
  134. te omzeilen is het beperken van toegang tot de SMB2 servers door
  135. middel firewalls, of het uitschakelen van de SMB2 diensten.
  136. </p>
  137. </body>
  138. <timestamp>$Date$ $Author$</timestamp>
  139. </html>
  140. <!--
  141. Local Variables: ***
  142. mode: xml ***
  143. End: ***
  144. -->