Microsoft: Windows kwetsbaarheid is geen bug maar feature
Volgens Microsoft is een "truc" waardoor een uitvoerbaar bestand geladen wordt als de gebruiker een URL in Internet Explorer typt, geen security kwetsbaarheid maar een feature.
Via Windows XP en Internet Explorer is het eenvoudig om een scenario te maken waarbij een gebruiker een adres in de browser typt, zoals www.microsoft.com, maar in plaats dat de website getoond wordt, voert de browser een bestand uit dat op de computer staat.
De "truc" is te testen door:
- Maak een nieuwe snelkoppeling
- Wijs de snelkoppeling naar een uitvoerbaar bestand, zoals c:windowssystem32calc.exe
- Geef de snelkoppeling de naam www.microsoft.com
- Start Internet Explorer en type "www.microsoft.com" in de adresbalk
"Het is belangrijk om het verschil tussen security problemen en legitieme features te maken. Een security lek helpt een aanvaller om iets te doen wat ze eigenlijk niet moeten kunnen, wat in dit geval niet zo is" aldus de softwaregigant.
Security experts zijn echter bang dat virusschrijvers de truc zullen misbruiken. "De zogenaamd handige features van Microsoft zorgen keer op keer voor security problemen die voor kwaadaardige doeleinden misbruikt worden. Dit zal geen uitzondering zijn" zegt Michael Warrilow. Volgens security analist James Turner is de kans erg groot dat deze feaure via een klein beetje social engineering misbruikt wordt.
Een open balkon met een open deur dat niet op slot kan. Dat
is makkelijk omdat je dan zo in en uit kan lopen zonder
sleutel en een deur die niet open draait..... Dat is een
feature van een appartement misschien, maar laat ook te
wensen over wat veiligheid betreft.
Met deze houding in de top van het bedrijfsleven zal men
nooit 'verantwoordelijkheid' tonen. Immers schoonheid is in
het oog van de aanschouwer. Wat de een een bug noemt, noemt
de ander een lek en weer een ander een feature.
Zolang het mijn systeem helemaal open zet, vind ik het een
lek. Werkt mijn computer niet meer naar behoren, dan is het
een bug. Pas als ik er vol vertrouwen en zonder problemen
'gebruik' van kan maken, vind ik het een feature.
Daarnaast, zal deze feature ook wel nergens gedocumenteerd
staan, wat wel vaker voorkomt bij de software van Microsoft.
Als het dan zo bruikbaar zou zijn, dan zou je het toch wel
graag documenteren zodat men er dan ook gebruik van kan
maken? Maar nee, je kunt er ook misbruik van maken, dus dan
maar niet documenteren? Een lek, maar op zijn minst een bug.
- Unomi -
de enige goede wijze in te vullen ? Dus inclusief http:// en
vrienden ? Ik neem aan dat in zo'n geval wel degelijk de
juste site geopend wordt.
(file://map/map/bestand.ext), ook op linux overigens. Het probleem zit 'm
erin dat in Windows alles dat je kan lezen, per definitie ook uitvoerbaar is.
En de integratie van (internet) explorer in het OS, maakt het feest compleet.
Een van die dingen waardoor Windows per definitie onveilig is.
ook, want dit kan toch niet serieus gezien worden als een
feature (behalve door M$ nat.)
* Maak een nieuwe snelkoppeling
* Wijs de snelkoppeling naar een uitvoerbaar bestand,
zoals c:windowssystem32keylogger.exe
* Geef de snelkoppeling de naam http://www.blabank.nl
* Start Internet Explorer en type "www.blabank.nl" in de
adresbalk
Nee, dat is inderdaad een feature.
Je kan alles wat een feature noemen, heb je nooit meer last
van lekken en bugs.
Dingen beter gaan maken in het Nederlands. Dus wat ze hadden was
slecht!!
Als er een slogan bij Microsoft past,is het de oude van Philips!
De oude slogan van Philips heb ik nooit begrepen.
Dingen beter gaan maken in het Nederlands. Dus wat ze hadden
was
slecht!!
Als er een slogan bij Microsoft past,is het de oude van
Philips!
je kaniets nooit perfect maken, dus je kan altijd beter
maken. dus het hoeft niet slecht te zijn
Als een feature te misbruiken is door kwaadwillenden is het
een security hole, niet andersom.
waarom dan nog al die moeite doen?
De oude slogan van Philips heb ik nooit begrepen.
Dingen beter gaan maken in het Nederlands. Dus wat ze hadden was
slecht!!
Als er een slogan bij Microsoft past,is het de oude van Philips!
Practice Makes Perfect!! once..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.