Microsoft krijgt meer dan het wenste op Blackhat
Na Microsofts oproep om Vista te kraken kreeg de softwarefabrikant sneller en meer resultaat dan deze wellicht gehoopt had. Op de Blackhat conferentie vond een beveiligingsexpert meerdere gaten in het ergens in de toekomst uit te komen nieuwe besturingssysteem. Door een manier om ongetekende drivers te laden kon er willekeurige programmacode worden uitgevoerd op de met Vista uitgevoerde machine.
De gevonden lekken zijn geen bugs, maar maken gebruik van gedocumenteerde features van Vista.
gedocumenteerde features van Vista.[/qoute]Haha, prachtig. Rechtstreeks
uit het grote Microsoft boek (aka Fabeltjeskrant).
mee doet? Dit is een PR stunt wat nu verkeerd uit lijkt te
pakken... Als er niets gevonden was dan had MS het van de
daken geschreeuwd, maar nu zullen ze hun denk ik wel koest
houden :D
augustus 2006 12:06 weet helemaal niet wat MS met de bevindingen doet.
En het feit dat ze Blackhat gebruiken is alleen maar positief te noemen.
Waarom zo sceptisch en negatief over MS. Anoniem op maandag 07
augustus 2006 12:06 weet helemaal niet wat MS met de
bevindingen doet.
En het feit dat ze Blackhat gebruiken is alleen maar
positief te noemen.
(andere anoniem overigens)
in het Grote Boek van de MSFT-stommiteiten bijschrijven, dan shiet
niemand daar wat mee op ...
Maar inderdaad, het aanbieden aan de BlackHat community is misschien
een goede stap in de richting. Wie zal het zeggen ? (only the future will tell).
Blackhat", maar ik denk dat deze reactie vanuit Microsoft iets zegt over de
motivatie van deelname en opvolging.
Uit Information Week:
(...)
When asked for his reaction to Rutkowska's presentation and demo,
Microsoft Director of Windows Product Management Austin Wilson
said, "This is exactly why we're here at the conference."
(...)
Source: InformationWeek
Subject: Black Hat: Vista Vulnerable To Stealthy Malware Despite Body
Cavity Search
http://www.informationweek.com/news/showArticle.jhtml?articleID=191800426
Anyway, een beta op een dergelijke conferentie loslaten
getuigd wel van moed. Ik verwacht ook wel dat MS er iets mee
gaat doen. Het komt namelijk wel erg slordig over als men
later moet zeggen. "Die fout zat er in Beta X in maar we
hebben hem niet gefixed for RTM" Dat is niet goed voor
consumenten- en beleggersvertrouwen.
goed is het "Geweldig dit superveilige Vista"... en is er weer een lek of een
gigantische domme implementatie de schuld van een nog makkelijker
manier om foute dingen te kunnen doen, dan is het "Ja, maar het is maar
BETA.... in de nieuwe versie is dat gefixed"... Gezien de geschiedenis van
Windows en de roep dat het elke keer het beste is (synoniem voor minder
erg) komt Vista nooit uit, wanneer ze pas releasen wanneer alle bekende
bugs en vulns eruit gehaald zijn.
Ik zou er niet van op kijken als men een aantal
"achterdeurtjes" op laat en als die gevonden worden zijn het
natuurlijk "bugs". Of doe ik nu mee aan het grote big
brother complot theorie...
gr.
.nl
Je hebt al toegang tot het systeem en onder een bepaalde conditie kan je
een ongesigneerde driver laden.
Hoeveel ongesigneerde drivers bevat een normaal systeem?
drivers mogen laden en dat blijkt zonder al te veel moeite
(en zonder security waarschuwingen) dus wel te kunnen. Ook
zou men (zie het gelinkte artikel) via bepaalde code (op een
AMD computer) de controle over kunnen nemen.
Als dit beide beschreven "features" zijn klopt het dat het
geen bug is, maar het feit dat het zonder waarschuwingen
buiten de gebruiker om kan worden geactiveerd is wel een
security bedreiging en een zwakte van het systeem. Ik ga
ervan uit dat Microsoft Vista hiertegen weldegelijk gaat
verder beveiligen.
Voor het overige weet ik niet hoe of wat men gaat doen met
die ongesigneerde drivers, ik heb ze niet geteld, maar ik
heb er toch aardig wat draaien op mijn computer. Zoals ook
bij de introductie van XP zal ook bij Vista gelden dat niet
iedereen een nieuwe driver maakt voor een ouder product.
Maar niet iedereen zal zijn apparatuur vervangen voor Vista,
dus ongesigneerde drivers blijven gangbaar en voorkomen.
Of, maar dan verdiend Microsoft minder, dus dat zal wel
niet, men kan niet upgraden omdat men dan bepaalde
apparatuur niet meer kan gebruiken.
Een Poolse mevrouw zou het gelukt zijn.
Maar deze Dame stond al te boek als ingewijde.
Ik moet het nog eens overlezen want ik kreeg onverwacht bezoek.
en de persoon er vlak boven.
Het is bij mijn weten nog nooit gebeurd dat M$ een beta
loslaat op dit soort publiek. Moedig en vooral nuttig. Het
community gevoel komt me hier even teboven. Mocht Vista nu
nog open source worden, dan zou er geen kritiek meer zijn op M$.
Al bij al een goede zaak, het gezegde 'beter voorkomen dan
genezen' komt tot zijn recht!
Mocht Vista nu nog open source worden, dan zou er geen
kritiek meer zijn op M$.
meer niet daar in redmond, maar dat word een heel andere
discussie :-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.