Microsoft vergeet eigen dienst op de hoogte te stellen van 0-day-bug

  1. 16 mei 2014
  2. 0 reacties

Microsoft is pijnlijk de fout in gegaan. Het bedrijf heeft een derde partij op de hoogte gesteld van een zero day-kwetsbaarheid, maar vergat te controleren of de eigen software hiervoor ook kwetsbaar was.

"Betalingsnetwerken kampen met een probleem waardoor je een transactie twee keer kan rapporteren en vervolgens meerdere keren betaald krijgt. Zij rapporteerde het probleem bij een aantal betalingsnetwerken, maar vergaten het probleem aan te kaarten bij het eigen betalingsnetwerk dat via Bing loopt. Dit terwijl het Microsoft Vulnerability Research (MSVR) team hier juist voor bedoeld is", zei Jeremy Brown, securityspecialist bij Microsoft, volgens The Register op de Australische conferentie AusCERT. Via Bing kunnen onder andere Amerikanen producten aanschaffen.

Impact op eigen bedrijf controleren

De fout is opvallend, aangezien Microsoft al jaren kwetsbaarheden pas naar buiten brengt nadat duidelijk is welke impact het probleem op Microsoft zelf heeft. "Voordat we een bug rapporteren willen we weten welke impact dit heeft op Microsoft. We houden het vulnerability rapport niet zo zeer tegen tot we het probleem hebben verholpen, maar willen wel weten of ook wij hierdoor zijn getroffen. Hierdoor kunnen we een gelijktijdige lancering coördineren", aldus Brown.

Deze werkwijze wordt overigens niet alleen gehanteerd bij kwetsbaarheden in de eigen software, maar ook bij technologieën die door veel bedrijven en diensten worden gebruikt. Denk hierbij aan het SSL-protocol.

 
Meer over
Lees ook
Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's

Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's

Cloudflare heeft het API Security & Management Report gepubliceerd. Dit rapport onthult dat API's meer dan ooit worden ingezet, waardoor bedrijven de deur wijd openzetten voor meer online bedreigingen dan we eerder hebben meegemaakt. Het rapport maakt inzichtelijk dat er een kloof bestaat tussen het gebruik van API’s door bedrijven en hun vermogen1

Mirco Kloss van TXOne Networks Europe: ‘Binnen OT is continuïteit echt alles’

Mirco Kloss van TXOne Networks Europe: ‘Binnen OT is continuïteit echt alles’

De scheidslijn tussen informatietechnologie (IT) en operationele technologie (OT) is aan het vervagen. Om goed te functioneren zijn OT-apparaten steeds afhankelijker van data en IoT-functies. Dat zorgt echter ook voor een verhoogd risico en nieuwe securityuitdagingen. Securityleverancier TXOne specialiseert zich op het snijvlak waar IT en OT overl1

Marc Punte van Ster over MOVEit Automation: ‘Data moet immutable zijn’

Marc Punte van Ster over MOVEit Automation: ‘Data moet immutable zijn’

De Stichting Etherreclame, beter bekend als Ster Reclame, zorgt voor de verkoop van reclameruimte op radio, tv en online van de Nederlandse publieke omroep. Data speelt bij alle processen een cruciale rol en moet dus altijd beschikbaar zijn, en niet te onderscheppen of manipuleren zijn. Systeem- en netwerkarchitect Marc Punte van de Ster, legt uit1