Microsoft houdt informatie over veiligheidslekken achter voor haar klanten. De reden hiervan zou "het beschermen van gebruikers" zijn. Beveiligingsexperts denken hier anders over.
De Operations Manager van het Microsoft Security Response Center, Mike Reavey, heeft in een interview verklaard dat er geen details van intern ontdekte lekken onthuld worden. Aanvallers kunnen misbruik maken van deze kennis. De reden hiervan verklaart hij in het interview: "Er is een balans tussen het geven van informatie om het risico in te schatten en het geven van informatie die aanvallers helpt"
Normaliter wordt er een grootschalig onderzoek uitgevoerd naar andere code die kwetsbaar is, als een softwaregigant een lek gemeld krijgt van externe onderzoekers. Wordt een dergelijke bug door een medewerker van Microsoft gevonden, dan blijft deze informatie intern en dus voor openstaanders geheim, waarna het lek wordt gepatcht.
eEye Digital Security meldt dat Microsoft regelmatig in alle stilte lekken dicht: "Het is het skelet in Microsoft’s kast. We vinden ze regelmatig".
Het antwoord van Microsoft dat het informatie achterhoudt om gebruikers te helpen, kan niet op de sympathie van veel systeembeheerders rekenen. Systeembeheerders kunnen de patches niet reverse-engineeren, de ‘slechterikken’ doen dit juist wel. Alleen beheerders die moeten bepalen hoe ernstig een lek is zijn op deze manier getroffen.
7 minuten geleden
