Microsoft täpper 91 säkerhets­brister i Windows

Det var enklare förr i tiden, inte bättre. Windows före 2008 R2 var katastrofalt, fram till 2016 var det uselt och numera är det bara dåligt, vilket understryks av att vi mer eller mindre aldrig slipper kritiska uppdateringar en enda månad. Orsaken är naturligtvis bakåtkompatibiliteten, som är systemets raison d'être och förbannelse på en och samma gång.

Var hittas den infon? Microsoft skriver: This vulnerability discloses a user's NTLMv2 hash to the attacker who could use this to authenticate as the user.

Hittar ingenting om att skadlig kod kan köras.

Jag tänkte hotbilden har förändrats och det var bättre förr i tiden.
Ett gammalt tanke sätt är att minsta förändring ska allt testas av, skitbra tänkt. Det blir dock mer komplicerat om det sker en uppdatering i veckan som man inte vet om vad den påverkar.

Nå på folks arbetsdatorer så om de bara behåller den gamla laptopen så kan de ändå jobba på som vidare.

Det är väl just att "skadlig kod" kanske borde vara "skadligt innehåll" istället.

Ganska imponerande att de kumulativa uppdateringarna för 24H2 (ARM64) redan är över 1GB i storlek!

https://catalog.update.microsoft.com/Search.aspx?q=%222024-11...

2GB? Menar du allt tillsammans på den där sidan? För jag hittar då iallafall ingen fil som är på nästan 2 GB. Däremot 1 fil som är på ca 1GB

Rättat nu! Det var filen på ca 1,7GB jag tänkte på först.

Jo, det håller jag med om.

Jo, det som hänt de senaste tjugo åren är ju att vi rört oss mer mot en verklighet där applikationer är ”trasiga” om de inte kan följa med i utvecklingen: ett mantra många upprepade för några år sedan var att servrar ska kunna hanteras som boskap snarare än som husdjur. Det finns kvar områden där man inte kommit dit, och det kanske finns områden där man inte kan komma dit, men förhoppningsvis är de senare av en karaktär som tillåter att de kan hållas offline.

Jo, det är väl en viss skillnad mellan 'oj, jag klickade på den här filen och nu är mitt system ransomware-krypterat' och 'oj, jag klickade på den här filen och nu har någon tillgång till min lösenordshash'. Bägge exemplen betyder att alla 'nya' filer bör betraktas som en säkerhetsrisk, men den förra är väldigt mycket mer allvarlig.

Tycker att Linux har rätt grundtänk där. Men när det gäller IoT-prylar, så ligger väl mycket av sårbarheterna i att många använder kompletta projekt som exempelvis BusyBox som innehåller lång mer än vad som egentligen behövs?

Som gammal webbutvecklare, så blir jag mörkrädd över allt som ingår i en normal setup idag. Rätt stor skillnad från LAMP (Linux, Apache, MySQL, PHP) som var lätt att ha stenkoll på. Vem kompilerade liksom inte Linux-kärnan själv i början på 2000-talet?

Satt i en kvart igår och felsökte samt uppdaterade en personlig WordPress-server tillsammans med ett dussintals plugins som jag inte har en susning om vad de faktiskt gör.

Det håller jag med om, just detta som de gör med Windows 11 och tillför allt för mycket som kan rota i systemet (läs AI skiten) istället för att se om de kan minska på koden. Men det ger ju inte så mycket mervärde för det syns inte. Jag märker det på små program/system som t.ex Proton, Bitwarden, Firefox, m.m. De bakar in nya projekt för att locka till sig nya användare.

Linux har rätt grundtänk, Windows har inte det. Och tänk om alla utvecklare på Linux-distos skulle kunna samarbeta ännu mer för en standard. Och få med sig hårdvaruföretagen och deras mjukvara till Linux. Det med webben har vi gått ifrån en slö uppkoppling och optimerade hemsidor till snabb uppkoppling med ännu slöare hemsidor istället. (vi hamnar på fel ämne här kanske )

Undrar hur det gått med Nadellas uppmaning för några månader sedan, om att i valet mellan att utveckla en ny feature eller fixa ett säkerhetshål så ska säkerheten alltid prioriteras. Det är en så stor organisation att jag förstår om det tar fem minuter eller så att ändra kultur (More or Less: How long does it take to turn around an oil tanker, från ca 24 minuter in).

Lite mer allvarligt ligger som sagt en stor del av problemet i att Microsoft och deras kunder inte börjar varje dag med en greenfieldinstallation som är byggd utifrån dagens kunskap (eller ens 70-talets kunskap) om hur man skriver program säkert. Många av felen som upptäcks i Windows hittas i äldre subsystem som gammal produktionsprogramvara fortfarande är beroende av.

Just det här skulle ju göras enklare, inte ha opt-out på många tjänster utan mer opt-in. Självklart måste ju många tjänster vara igång i bakgrunden för den vanliga användaren, men kanske minska lite. Att göra saker enklare helt enkelt, men det största problemet ligger nog i att MS inte vågar göra Windows mindre bakåtkompatibelt för att de skulle förlora så många företagskunder till Linux/Mac/Android då.

För att hålla tråden till Windows, så var Windows Core OS en fin tanke.

Men tyvärr så har all spagettikod i Windows gjort det smått omöjligt att ta bort någon komponent utan att allt faller ihop. "Windows Settings" är nog mitt hatobjekt nummer ett i Windows, där komponenterna är nästlade in i varandra.

Om stänger jag av en specifik tjänst, så kommer "Windows Settings" att krascha. Detta löses genom att dölja vald komponent i Group Policies. Men då andra komponenter är hårdkodade till just den komponenten, så kommer det fortfarande att krascha för eller senare.

Vilken fil är på 1.7GB? Jag ser inte någon som är på 1.7GB

Det finns en sorteringsknapp

Men mitt tidigare inlägg är som sagt rättat och det är nog inte helt relevant att lista gamla LTSB-utgåvor. Är mer förvånad över att 24H2 redan vuxit sig så stor på under ett halvår.

Ah, jag trodde det bara var 1 sida. Såg inte att det var fler sidor

Det är ju att någon/några hittar ett sätt att ta sig in. Lite som att folk hittar vägar att klippa genom väggar etc i spel. Ställer man sig på höger fot, vrider handen 135 grader och klickar på musen med långfingret, så öppnas en dörr in i systemet! Det är såna saker som är otroligt svårt för utvecklare att hitta; att testa ALLA möjliga sätt. Det går inte, inget skulle någonsin släppas.
Därför blir det säkerhetshål som upptäckts och måste repareras.

Ja, just IoT är ju galet vad osäkra som blir snabbt, även TV-apparater :/ Därför man har dom på ett egen vlan hemma, så ifall någon mot förmodan skulle kliva in i hemma-nätverket via en IoT eller en TV, så kommer dom inte längre än så hos mig iaf

En del säkerhetshål är ju verkligen som du säger, solen och månen måste stå rätt. Men som MS gör med Windows känns det som det skapas nya sätt att komma runt för att de bygger bara på. Att som utvecklare hitta alla nya kryphål går inte, utan man får koda så bra man bara kan.

Jag har tyvärr tvn på vanliga. Har inte tagit tag i en vlan till nya routern än. Men ska det en vacker dag. Känns inte bra med den på samma som datorerna.