Twijfels over veiligheid Vista na ANI exploit
Het feit dat Microsoft het animated cursorslek niet in Windows Vista opmerkte, heeft bij onderzoekers voor twijfel gezorgd over de veiligheid van het besturingssysteem. Het is namelijk best mogelijk dat ook andere oude beveiligingslekken nog aanwezig zijn. In een reactie liet Microsoft weten dat het een onderzoek zal starten waarom het lek over het hoofd is gezien.
"Je moet dit Microsoft wel kwalijk nemen dat ze dit niet hebben gezien. De eerste stap voordat je nieuwe lekken gaat zoeken, in zoiets als Vista, is het testen van oudere lekken, of het gebruik van varianten om oudere lekken te misbruiken" zegt Amol Sarwate van Qualys.
Ook Symantec haalde uit naar Microsoft: "Gegeven de investering van Microsoft in de Security Development Lifecycle, hadden we gehoopt dat Microsoft het lek toen had gevonden." aldus Oliver Friedrichs, die verder opmerkt dat het een lastig lek is om te vinden, en dat het jagen naar lekken meer een kunst dan een wetenschap is.
"Ik zou niet willen zeggen dat SDL een complete flop is, maar als we nieuwe lekken en kwetsbaarheden gebaseerd op oude lekken blijven zien, dan moet ik wel het hele proces in twijfel trekken" besluitSarwate.
en vult waarden in die buiten specificatie zijn. Ik denk dat het in dit geval
een kwestie van toeval was. Dat is ook zichtbaar aan de little- en big
endian verwisseling in de exploit files.
Vista... Als je goed zoekt vind je enkele in de BT
implementatie tot zelfs het simpele NOTEPAD...
terwijl ze er zelf ook een handje van hebben. Daarnaast
waren o.a zij degene die via allerlei rechtzaken Microsoft
dwong om de security niet al te goed te maken, omdat zij
anders geen werk meer hadden. Pot verwijt de ketel dat ie
zwart ziet!
Vista is zo vernieuwend daat oude 'rommel' niet werkt......
of toch wel?
Nee jos je bent niet de enigste die zijn twijfels had, sterker nog het zal nog
MS nog een ander bedrijf ooit lukken een 100% veilig OS op de markt te
brengen.
Maar als ik eerlijk ben vindt ik nog steeds dat MS mooie producten maakt,
nee ze zijn bij lange na niet perfect, maar niemand houd ons tegen een
beter product op de markt te brengen, of te ontwikkelen.
Wel ben ik van mening dat het niet voor moet kunnen komen dat er nog
steeds oude lekken in vista blijken te zitten, kwestie van degelijk testen lijkt
mij.
Zal wel een geld kwestie zijn vermoed ik, producten moeten op de markt
verschijnen klaar of niet klaar, cash flow dat is wat ieder bedrijf wil zien.
Welke sukkel heeft er nu pas twijfels bij de veiligheid van
Vista _NA_ de ANI-exploit? Betekent dit dat ik de enige op
de aardbol was die _VOOR_ die exploit al twijfels had? Ik
ben helderziend!!!!!!
kunnen we later beoordelen of ze uitgekomen zijn :)
Vista Protected Processes Bypassed
http://it.slashdot.org/it/07/04/07/1426200.shtml
"Security Researcher Alex Ionescu strikes again, this time
with a proof of concept program that will arbitrarily enable
and foremost disable the protection of so-called 'protected
processes' in Windows Vista. Not only threatening Vista DRM
and friends, it's also another step towards hardened and
even more annoying malware. Normally, only specially signed
processes made by special companies (decided by Microsoft)
can be protected, but now the bad guys can protect any evil
process they want, including the latest version of their own
keylogger, spambot, or worm, as well as unprotect any 'good'
one."
Maar als ik eerlijk ben vindt ik nog steeds dat MS mooie
producten maakt,
nee ze zijn bij lange na niet perfect, ....
hahaha, mooie cognitieve dissonantie
quote:Door Anoniem
Je zou hier een paar harde voorspellingen kunnen doen, dan
kunnen we later beoordelen of ze uitgekomen zijn :)
Ok, hier komt 'ie dan: Voor het einde van April zal er weer
een critical security fix in Windows Vista nodig zijn!
0 versions" regel die bij bijna alle producten, OSsen, linux
distro's enz in 99% van de gevallen geld. Bij MS vertaalt
die regel zich in "avoid untill SP1".
Dot 0 staat gewoon voor 'nog hardstikke beta, maar we hebben
te weinig beta testers', dat geld voor geloof ik elk product
wel.
Ik heb op zich weinig vertrouwen in MS, maar het is denk ik
te vroeg
om te oordelen of dat voor Vista terecht is uitgaande van
deze dot 0 beta versie.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.