Maand van de client-kwetsbaarheden???

Internet Explorer 6 en 7 weken ongepatcht, een ernstig lek in Firefox waardoor de Duitse waarschuwingsdienst het gebruik van de browser ontraadt en als afsluiter: onpatchbare "lekken" in de Acrobat & Foxit pdf reader en ernstige fouten in Java, Quicktime en Itunes. Als we deze kwetsbaarheden bij elkaar optellen maakt maart 2010 een goede kans om in de client-side-vulnerabilities Top 10 te komen. En dan hebben we de ongepubliceerde kwetsaarheden waarmee op de pwn2own competitie van de Cansecwest conferentie systemen zijn gehackt voor het gemak nog even buiten beschouwing gelaten. De makers van drive-by-download-trojans hebben in elk geval al dollarstekens in hun ogen. Het zijn hooftij dagen en ze hebben de komende tijd weer munitie genoeg om de PC's van nietsvermoedende internetters aan te vallen, hun botnets uit te breiden en vertrouwelijke informatie buit te maken.

Uit al deze lekken blijkt wederom goed hoe belangrijk het als organisatie is om je patchmanagement op orde te hebben. Hiermee is het mogelijk om op een goede manier prioriteiten te kunnen stellen, business applicaties te testen op compatibiliteit met de updates en verantwoord om te gaan met de risico's die door al deze kwetsbaarheden worden geintroduceerd. Met name het updaten van Java (met 27 kritieke kwetsbaarheden een niet te negeren release) naar versie 1.6.0_19 zal van veel organisaties weer veel inspanning gaan vragen.

Deze maand leert ons ook dat we als industrie niet per definitie achter de adviezen van waarschuwingsdiensten aan moeten lopen. Het Duitse advies om van Firefox over te stappen op een alternatieve browser was namelijk op zijn minst opmerkelijk te noemen. Niet vanwege de kwetsbaarheid in FireFox: deze was onverminderd ernstig. Maar de dreiging was op het moment van advies nog niet zeer hoog te noemen. Daarnaast had Internet Explorer 6 en 7 gelijktijdig te kampen met een ernstige kwetsbaarheid waarvoor publieke exploitcode beschikbaar was. De workarrounds (ActiveX uitschakelen, DEP activeren, rechten op de iepeers.dl aanpassen en/of overstappen op IE8) waren voor de meeste grote bedrijven vanwege applicatieve afhankelijkheden onwerkbaar. Met een goede risico analyse had het risico in IE 6 en 7 in vergelijking met FireFox veel prominenter naar voren moeten komen. Een goed leerpunt voor de volgende ronde.