fsfe-website/news/2009/news-20091019-01.nl.xhtml

<?xml version="1.0" encoding="UTF-8" ?>

<html newsdate="2009-10-19">

  <head>
    <title>
      Windows 7 komt op de markt met een gekend veiligheidsprobleem
    </title>
  </head>

  <body>
    
    <h1>
      Windows 7 komt op de markt met een gekend veiligheidsprobleem
    </h1>
    
    <h2>
      FSFE: Microsoft's nalatigheid toont de voordelen van Vrije
      Software
    </h2>
    
    <p newsteaser="yes">
      Microsoft nieuwste besturingssysteem wordt momenteel verdeeld
      met een potentieel gevaarlijke fout. Nog voor de officiële
      globale lancering van het product op donderdag verspreidt het
      Duits federaal IT veiligheidagentschap (BSI) een waarschuwing
      voor <a href="#foot1" id="anchor1">[1]</a> een
      veiligheidsprobleem met een hoog risico in het SMB2
      protocol. Door dit probleem kan de computer via het netwerk
      uitgeschakeld worden door middel van een Denial of Service (DoS)
      aanval.
    </p>

    <p>
      Uit dit incident blijkt nogmaals dat propriëtaire software vaak
      aanleiding geeft tot veiligheidsproblemen. "Alleen Microsoft kan
      dit probleem, waarvan ze reeds geruime tijd op de hoogte zijn,
      verhelpen. Maar zij hebben er blijkbaar voor gekozen om dit
      probleem niet te erkennen in de hoop dat het geen roet zal
      gooien in de lancering van Windows 7 op de consumentenmarkt
      volgende donderdag." zegt Karsten Gerloff, voorzitter van de
      Free Software Foundation Europe (FSFE).
    </p>

    <p>
      De BSI maakte in haar verklaring van 6 oktober
      (<a href="#bsi">Nederlandse vertaling</a>) geen extra details bekend
      aangezien ze een beleid van verantwoorde bekendmaking
      aanhoudt. Alhoewel het meestal een goede strategie is om
      verkopers de tijd te geven om hun veiligheidsproblemen op te
      lossen voordat men ze publiek bekend maakt, zou de BSI in dit
      geval moeten overwegen om de volledige details bekend te maken
      om zo de druk op Microsoft om dit probleem aan te pakken, te
      vergroten. Het agentschap zegt dat het veiligheidsprobleem
      voorkomt in zowel de 32- en 64-bit versie van Windows 7 en Vista
      en tevens in Windows Server 2008. Dit probleem is niet hetzelfde
      als het reeds eerder bekend gemaakte
      SMB2-probleem <a href="#foot2" id="anchor2">[2]</a> waarvoor
      Microsoft in september patch MS09-050 uitbracht.
    </p>
      
    <p>
      Gerloff stelt het zo: "Gebruikers van Microsoft's software
      zitten in de tang. Alhoewel ze weten dat het bedrijf hen
      blootstelt aan een veiligheidprobleem, kunnen ze niet zomaar van
      leverancier veranderen. Met Vrije Software zoals GNU/Linux -
      software die je kan bestuderen, delen en verbeteren - kunnen
      verschillende onafhankelijke entiteiten het probleem
      aanpakken. Consumenten zouden Microsoft's nalatig gedrag niet
      mogen belonen door haar producten te kopen. Vrije Software is
      een volwaardig alternatief dat beschikbaar is via verschillende
      onafhankelijke verkopers."
    </p>

    <p>
      Microsoft heeft nog niet gereageerd op de waarschuwing van de
      BSI. Er is ook geen enkele aanwijzing dat het bedrijf er in zal
      slagen om het grote veiligheidslek in haar besturingssysteem te
      dichten voor de globale lancering van Windows 7 deze
      donderdag. Het veiligheidsprobleem is ook niet opgelost met de
      patches die in oktober werden uitgebracht.
    </p>

    <p>
     Er heerst al langer bezorgdheid over de manier waarop het bedrijf
     met veiligheid omgaat. In een recent incident <a href="#foot3"
     id="anchor3">[3]</a> was Microsoft al op de hoogte van een ander
     probleem in het SMB2-protocol sinds juli 2009. Terwijl ze het
     probleem wel aanpakte begin augustus in de definitieve versie van
     Windows 7, lieten ze het probleem in Windows Vista en Windows
     Server 2008 ongemoeid totdat een onafhankelijke
     veiligheidonderzoeker de zaak openbaar maakte. Heise, een Duitse
     IT-nieuws-site, vermoedt dat dit probleem bij Microsoft op een
     interne lijst van fouten met lage prioriteit is geplaatst. Zo
     proberen ze de fout in alle stilte te herstellen om al te veel
     negatieve kritiek te vermijden.
    </p>
    
    <p>
      <a href="#anchor1" id="foot1">[1]</a> 
      <a href="https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201">Het
      Duits federaal IT-veiligheidsagentschap verstuurt een
      waarschuwing</a><br />
 
      <a href="#anchor2" id="foot2">[2]</a> 
      <a href="http://www.microsoft.com/technet/security/advisory/975497.mspx">Microsoft's
      veiligheidsadvies (975497): Door een veiligheidslek in SMB kan
      men via het netwerk code uitvoeren</a><br />

      <a href="#anchor3" id="foot3">[3]</a> 
      <a href="http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html">
      Microsoft is reeds geruime tijd op de hoogte van het SMB2 lek</a>
    </p>

 

    <hr />

    <h2 id="bsi">Vertaling van het BSI veiligheidsadvies: </h2>

    <p>
      Veiligheidrisico: "4 hoog risico" (getal tussen 1 en 5, waar 5
      staat voor zeer hoog risico).<br />
      Tittel:  Microsoft Windows SMB2-Protocol: nieuw veiligheidlek
      kan leiden tot denial of service (Windows Vista en Windows
      7).<br /> 
      Datum  06-10-2009<br />
      Software:  Microsoft Windows 7, Microsoft Windows 7 x64 Edition,
      Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64
      Edition / SP1 / SP2, Microsoft Windows Server 2008<br />  
      Platform:  Windows<br />
      Gevolg:  Denial-of-Service<br />
      Misbruik mogelijk van op het netwerk:  Ja<br />
      Risico:  hoog<br />
      Referentie:   intern onderzoek<br />
      Beschrijving:
    </p>

    <p>
      Server Message Block (SMB) is een protocol voor het delen van
      printers en bestanden. SMB2 is de nieuwe versie van dit
      protocol, dat werd geïntroduceerd met Windows Vista en Windows
      Server 2008 en nu ook beschikbaar is in Windows 7. De huidige
      implementatie van SMB2 bevat het probleem. Dit is een nieuw
      ontdekt lek, niet het probleem dat werd beschreven in Microsoft
      Security Advisory 975497. De opgelijste besturingssysteem kunnen
      ook na de patches van oktober (MS09-50) nog succesvol
      aangevallen worden.
    </p>

    <p>
      Momenteel is geen update of patch beschikbaar bij de
      producent. Wij kunnen alleen adviseren om aandachtig te zijn en
      het probleem goed op te volgen. De enige manier om het probleem
      te omzeilen is het beperken van toegang tot de SMB2 servers door
      middel firewalls, of het uitschakelen van de SMB2 diensten.
    </p>

  </body>
  <timestamp>$Date$ $Author$</timestamp>
</html>
<!--
Local Variables: ***
mode: xml ***
End: ***
-->