Ga naar inhoud

Microsoft hekelt onderzoeker over publicatie van YellowKey-lek in BitLocker

Captain Kirk
 Delen

Aanbevolen berichten

Captain Kirk Grootmeester

Captain Kirk

Geplaatst:
Geplaatst:

Microsoft is niet te spreken over onderzoekers die kwetsbaarheden in Windows meteen op internet publiceren in plaats van eerst het techbedrijf te informeren, zoals het geval was met het YellowKey-lek in BitLocker. Volgens Microsoft zorgt dit voor onnodige risico's en brengt het Windows-gebruikers in gevaar. De onderzoeker achter het YellowKey-lek zegt dat hij het techbedrijf wel heeft geïnformeerd.

De afgelopen weken verschenen op internet meerdere kwetsbaarheden, zoals RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma. Op het moment van de publicatie waren er nog geen patches beschikbaar. Microsoft stelt dat deze beveiligingslekken niet op 'verantwoorde wijze' zijn gerapporteerd. "We verzetten ons tegen deze acties en elke publicatie buiten de juiste coördinatie om die onze klanten en het digitale ecosysteem kunnen schaden. Het ongecoördineerd openbaar maken waardoor proof-of-concept code voor ongepatchte kwetsbaarheden in handen van aanvallers komt is nooit gerechtvaardigd en heeft echte gevolgen", aldus Microsoft.

Het techbedrijf roept beveiligingsonderzoekers op om Coordinated Vulnerability Disclosure (CVD) te volgen, waarbij kwetsbaarheden eerst aan de leverancier worden gemeld, zodat die een update kan ontwikkelen. De beveiligingsonderzoeker achter onder andere YellowKey, GreenPlasma en MiniPlasma stelt dat hij Microsoft wel heeft ingelicht en dat het techbedrijf zijn reputatie schaadt door te beweren dat hij de CVD-richtlijn heeft overtreden. Tevens stelt de onderzoeker dat hij op 14 juli met informatie komt die zeer schadelijk voor Microsoft zal zijn.

 

bron: https://www.security.nl

Captain Kirk Grootmeester

Captain Kirk

Geplaatst:
  • Auteur
Geplaatst:

Onderzoeker hekelt optreden Microsoft richting ontdekker van BitLocker-lek

 

De Britse beveiligingsonderzoeker Kevin Beaumont is niet te spreken over de uithaal van Microsoft richting een onderzoeker die een beveiligingslek in BitLocker en andere Windows-onderdelen ontdekte en openbaarde. De afgelopen weken verschenen op internet meerdere kwetsbaarheden, zoals RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma en MiniPlasma.

Op het moment van de publicatie waren er nog geen patches voor deze problemen beschikbaar. Microsoft stelt in een blogposting dat deze beveiligingslekken niet op 'verantwoorde wijze' zijn gerapporteerd. Het techbedrijf claimt ook dat de onderzoeker met zijn werkwijze gebruikers in gevaar heeft gebracht. Tevens hintte Microsoft naar het strafrechtelijk vervolgen van de onderzoeker.

Beaumont zegt dat hij de acties van de onderzoeker niet steunt, maar is kritisch op de uitspraken van Microsoft. "Het niet volgen van een verzonnen 'responsible disclosure' proces is geen misdrijf." De door Microsoft gewraakte onderzoeker zegt dat hij geprobeerd heeft om de kwetsbaarheden aan Microsoft te rapporteren. Inmiddels is zowel zijn account op Microsofts GitHub-platform en het Microsoft-portaal voor het melden van kwetsbaarheden verwijderd. "Het is vrij lastig om toekomstige kwetsbaarheden 'verantwoord' te melden als je bent verbannen", merkt Beaumont op.

Verder stelt Beaumont dat GitHub al geruime tijd een bron is van zeroday-exploits voor producten van concurrenten van Microsoft. Die mogen blijven staan, terwijl exploits voor producten van Microsoft worden verwijderd, aldus Beaumont. "Microsoft probeert het eigenaarschap van GitHub te misbruiken om alleen zijn eigen producten te beschermen, en misbruikt zijn uitgebreide banden met justitie om het publiceren van informatie over kwetsbaarheden in zijn eigen producten als crimineel gedrag te bestempelen, althans zo lees ik de blogposting."

Volgens Beaumont framen softwareleveranciers responsible disclosure als een manier om hun eigen producten te beschermen, niet de klanten. "Het gebruik ervan om mensen strafrechtelijk te vervolgen is een nieuw dieptepunt." De Britse beveiligingsonderzoeker voegt toe dat dit grote gevolgen voor de cybersecurity-industrie kan hebben, waarbij bedrijfsbelangen boven de collectieve cyberbescherming worden geplaatst.

 

bron: https://www.security.nl

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Helaas, je inhoud bevat woorden die we niet kunnen toestaan. Gelieve je inhoud te wijzigen en de volgende gemarkeerde woorden uit je bericht te verwijderen.
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
 Delen
Ga naar topic overzicht
Logo

OVER ONS

PC Helpforum helpt GRATIS computergebruikers sinds juli 2006. Ons team geeft via het forum professioneel antwoord op uw vragen en probeert uw pc problemen zo snel mogelijk op te lossen. Word lid vandaag, plaats je vraag online en het PC Helpforum-team helpt u graag verder!

SITEMAP

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.