167 lines
6.7 KiB
HTML
167 lines
6.7 KiB
HTML
<?xml version="1.0" encoding="UTF-8" ?>
|
|
|
|
<html newsdate="2009-10-19">
|
|
|
|
<head>
|
|
<title>
|
|
Windows 7 komt op de markt met een gekend veiligheidsprobleem
|
|
</title>
|
|
</head>
|
|
|
|
<body>
|
|
|
|
<h1>
|
|
Windows 7 komt op de markt met een gekend veiligheidsprobleem
|
|
</h1>
|
|
|
|
<h2>
|
|
FSFE: Microsoft's nalatigheid toont de voordelen van Vrije
|
|
Software
|
|
</h2>
|
|
|
|
<p newsteaser="yes">
|
|
Microsoft nieuwste besturingssysteem wordt momenteel verdeeld
|
|
met een potentieel gevaarlijke fout. Nog voor de officiële
|
|
globale lancering van het product op donderdag verspreidt het
|
|
Duits federaal IT veiligheidagentschap (BSI) een waarschuwing
|
|
voor <a href="#foot1" id="anchor1">[1]</a> een
|
|
veiligheidsprobleem met een hoog risico in het SMB2
|
|
protocol. Door dit probleem kan de computer via het netwerk
|
|
uitgeschakeld worden door middel van een Denial of Service (DoS)
|
|
aanval.
|
|
</p>
|
|
|
|
<p>
|
|
Uit dit incident blijkt nogmaals dat propriëtaire software vaak
|
|
aanleiding geeft tot veiligheidsproblemen. "Alleen Microsoft kan
|
|
dit probleem, waarvan ze reeds geruime tijd op de hoogte zijn,
|
|
verhelpen. Maar zij hebben er blijkbaar voor gekozen om dit
|
|
probleem niet te erkennen in de hoop dat het geen roet zal
|
|
gooien in de lancering van Windows 7 op de consumentenmarkt
|
|
volgende donderdag." zegt Karsten Gerloff, voorzitter van de
|
|
Free Software Foundation Europe (FSFE).
|
|
</p>
|
|
|
|
<p>
|
|
De BSI maakte in haar verklaring van 6 oktober
|
|
(<a href="#bsi">Nederlandse vertaling</a>) geen extra details bekend
|
|
aangezien ze een beleid van verantwoorde bekendmaking
|
|
aanhoudt. Alhoewel het meestal een goede strategie is om
|
|
verkopers de tijd te geven om hun veiligheidsproblemen op te
|
|
lossen voordat men ze publiek bekend maakt, zou de BSI in dit
|
|
geval moeten overwegen om de volledige details bekend te maken
|
|
om zo de druk op Microsoft om dit probleem aan te pakken, te
|
|
vergroten. Het agentschap zegt dat het veiligheidsprobleem
|
|
voorkomt in zowel de 32- en 64-bit versie van Windows 7 en Vista
|
|
en tevens in Windows Server 2008. Dit probleem is niet hetzelfde
|
|
als het reeds eerder bekend gemaakte
|
|
SMB2-probleem <a href="#foot2" id="anchor2">[2]</a> waarvoor
|
|
Microsoft in september patch MS09-050 uitbracht.
|
|
</p>
|
|
|
|
<p>
|
|
Gerloff stelt het zo: "Gebruikers van Microsoft's software
|
|
zitten in de tang. Alhoewel ze weten dat het bedrijf hen
|
|
blootstelt aan een veiligheidprobleem, kunnen ze niet zomaar van
|
|
leverancier veranderen. Met Vrije Software zoals GNU/Linux -
|
|
software die je kan bestuderen, delen en verbeteren - kunnen
|
|
verschillende onafhankelijke entiteiten het probleem
|
|
aanpakken. Consumenten zouden Microsoft's nalatig gedrag niet
|
|
mogen belonen door haar producten te kopen. Vrije Software is
|
|
een volwaardig alternatief dat beschikbaar is via verschillende
|
|
onafhankelijke verkopers."
|
|
</p>
|
|
|
|
<p>
|
|
Microsoft heeft nog niet gereageerd op de waarschuwing van de
|
|
BSI. Er is ook geen enkele aanwijzing dat het bedrijf er in zal
|
|
slagen om het grote veiligheidslek in haar besturingssysteem te
|
|
dichten voor de globale lancering van Windows 7 deze
|
|
donderdag. Het veiligheidsprobleem is ook niet opgelost met de
|
|
patches die in oktober werden uitgebracht.
|
|
</p>
|
|
|
|
<p>
|
|
Er heerst al langer bezorgdheid over de manier waarop het bedrijf
|
|
met veiligheid omgaat. In een recent incident <a href="#foot3"
|
|
id="anchor3">[3]</a> was Microsoft al op de hoogte van een ander
|
|
probleem in het SMB2-protocol sinds juli 2009. Terwijl ze het
|
|
probleem wel aanpakte begin augustus in de definitieve versie van
|
|
Windows 7, lieten ze het probleem in Windows Vista en Windows
|
|
Server 2008 ongemoeid totdat een onafhankelijke
|
|
veiligheidonderzoeker de zaak openbaar maakte. Heise, een Duitse
|
|
IT-nieuws-site, vermoedt dat dit probleem bij Microsoft op een
|
|
interne lijst van fouten met lage prioriteit is geplaatst. Zo
|
|
proberen ze de fout in alle stilte te herstellen om al te veel
|
|
negatieve kritiek te vermijden.
|
|
</p>
|
|
|
|
<p>
|
|
<a href="#anchor1" id="foot1">[1]</a>
|
|
<a href="https://www.cert-bund.de/advisoryshort/CB-K09-0315%20UPDATE%201">Het
|
|
Duits federaal IT-veiligheidsagentschap verstuurt een
|
|
waarschuwing</a><br />
|
|
|
|
<a href="#anchor2" id="foot2">[2]</a>
|
|
<a href="http://www.microsoft.com/technet/security/advisory/975497.mspx">Microsoft's
|
|
veiligheidsadvies (975497): Door een veiligheidslek in SMB kan
|
|
men via het netwerk code uitvoeren</a><br />
|
|
|
|
<a href="#anchor3" id="foot3">[3]</a>
|
|
<a href="http://www.h-online.com/security/news/item/Microsoft-has-known-of-the-SMB2-hole-for-some-time-832175.html">
|
|
Microsoft is reeds geruime tijd op de hoogte van het SMB2 lek</a>
|
|
</p>
|
|
|
|
|
|
|
|
<hr />
|
|
|
|
<h2 id="bsi">Vertaling van het BSI veiligheidsadvies: </h2>
|
|
|
|
<p>
|
|
Veiligheidrisico: "4 hoog risico" (getal tussen 1 en 5, waar 5
|
|
staat voor zeer hoog risico).<br />
|
|
Tittel: Microsoft Windows SMB2-Protocol: nieuw veiligheidlek
|
|
kan leiden tot denial of service (Windows Vista en Windows
|
|
7).<br />
|
|
Datum 06-10-2009<br />
|
|
Software: Microsoft Windows 7, Microsoft Windows 7 x64 Edition,
|
|
Microsoft Windows Vista / SP1 / SP2, Microsoft Windows Vista x64
|
|
Edition / SP1 / SP2, Microsoft Windows Server 2008<br />
|
|
Platform: Windows<br />
|
|
Gevolg: Denial-of-Service<br />
|
|
Misbruik mogelijk van op het netwerk: Ja<br />
|
|
Risico: hoog<br />
|
|
Referentie: intern onderzoek<br />
|
|
Beschrijving:
|
|
</p>
|
|
|
|
<p>
|
|
Server Message Block (SMB) is een protocol voor het delen van
|
|
printers en bestanden. SMB2 is de nieuwe versie van dit
|
|
protocol, dat werd geïntroduceerd met Windows Vista en Windows
|
|
Server 2008 en nu ook beschikbaar is in Windows 7. De huidige
|
|
implementatie van SMB2 bevat het probleem. Dit is een nieuw
|
|
ontdekt lek, niet het probleem dat werd beschreven in Microsoft
|
|
Security Advisory 975497. De opgelijste besturingssysteem kunnen
|
|
ook na de patches van oktober (MS09-50) nog succesvol
|
|
aangevallen worden.
|
|
</p>
|
|
|
|
<p>
|
|
Momenteel is geen update of patch beschikbaar bij de
|
|
producent. Wij kunnen alleen adviseren om aandachtig te zijn en
|
|
het probleem goed op te volgen. De enige manier om het probleem
|
|
te omzeilen is het beperken van toegang tot de SMB2 servers door
|
|
middel firewalls, of het uitschakelen van de SMB2 diensten.
|
|
</p>
|
|
|
|
</body>
|
|
<timestamp>$Date$ $Author$</timestamp>
|
|
</html>
|
|
<!--
|
|
Local Variables: ***
|
|
mode: xml ***
|
|
End: ***
|
|
-->
|