Nieuws
image

Trio zero-day exploits voor Microsoft

woensdag 10 december 2008, 14:48 door Redactie, 7 reacties

Na beveiligingslekken waar nog geen patch voor is in Internet Explorer 7 en WordPad, is het nu de beurt aan MS SQL Server 2000 en 2005. Er is een lek gevonden dat aanvallers de mogelijkheid geeft om "zelfgebakken" code te laten uitvoeren in de server. Volgens de beveiligingsexperts van SEC Consult, wordt het probleem veroorzaakt door een bug in het geheugenbeheer van het programma.

Het succes van een aanvaller hangt echter af van de gebruikte Windows versie. SEC zegt dat het een exploit heeft ontworpen die met succes malafide code naar een testmachine stuurt. Naast geauthenticeerde gebruikers is het lek in theorie ook via SQL-injectie te misbruiken. Het bedrijf zegt dat Microsoft sinds april al op de hoogte is, maar ondanks de belofte om in september een patch uit te brengen, is een definitieve datum nog altijd onbekend. SEC raadt beheerders aan om de kwetsbare procedure te verwijderen.

Reacties (7)
10-12-2008, 15:02 door Michel1973
Na de gisteren geiinstalleerd 25 updates vandaag alweer 3 nieuwe leks gevonden, ik weet niet waar microshit mee bezig is maar lijkt me sterk dat je in 1 maand 28 leks moet dichten, deze anderen zullen er dus ook al veel langer ingezeten hebben.

Het lijkt onmogelijk om eens een fatsoenlijke veilige besturings systeem neer te zetten voor zo'n miljarden bedrijf...

We kunnen wel overstappen op Linux maar ben bang als iedereen dat gaat doen dat de hackers zich dan ook meer gaan richten op Linux en zal daar snel hetzelfde probleem ontstaan :)
10-12-2008, 15:10 door Anoniem
Door Michel1973We kunnen wel overstappen op Linux maar ben bang als iedereen dat gaat doen dat de hackers zich dan ook meer gaan richten op Linux en zal daar snel hetzelfde probleem ontstaan :)

We? Ik ben allang overgestapt!
10-12-2008, 15:14 door d.lemckert
Leuk security.nl.... beter lezen als je iets CTRL-C / CTRL-V doet

Het gaat om MS SQL en niet om de MySQL versie voor windows.

Daarbij: Een 0Day is een kwetsbaarheid waar exploitcode voor in het wild aanwezig is (zoals een worm of trojan) en geen patch beschikbaar is van de leverancier. Dit is Proof of Concept en niet meer dan dat. Meer incentive voor Microsoft om inderdaad met een patch te komen, dat dan weer wel. Lijkt me niet onbelangrijk, aangezien deze vondst al sinds April dit jaar bekend is bij ze.
10-12-2008, 15:39 door [Account Verwijderd]
[Verwijderd]
10-12-2008, 19:16 door Anoniem
Door Michel1973Na de gisteren geiinstalleerd 25 updates vandaag alweer 3 nieuwe leks gevonden, ik weet niet waar microshit mee bezig is maar lijkt me sterk dat je in 1 maand 28 leks moet dichten, deze anderen zullen er dus ook al veel langer ingezeten hebben.

Het lijkt onmogelijk om eens een fatsoenlijke veilige besturings systeem neer te zetten voor zo'n miljarden bedrijf...

We kunnen wel overstappen op Linux maar ben bang als iedereen dat gaat doen dat de hackers zich dan ook meer gaan richten op Linux en zal daar snel hetzelfde probleem ontstaan :)


De dag waarop Linux-patch day headline nieuws is hier en zich niet beperkt tot Secunia weet je dat je goed zit. Dat je uiteindelijk het 1 digit marktaandeel ferm overstijgt. Malware schrijvers gaan zich niet laten afschrikken door al die would-be unix-specialisten. Overigens als je dit forum wat grondiger zou lezen zijn die 0-day exploits totaal onbelangrijk.
11-12-2008, 15:28 door Anoniem
Lijkt net of M$ de enigste is die patched. Terwijl er 1000-en opensource programma's per dag ook gepatched moeten worden. Maar daar hoor je dan weer niks van hier. Gelukkig is dit een beveiligings-site voor specialisten.
24-12-2008, 11:11 door Anoniem
foutloze code bestaat nou eenmaal niet. waar het om gaat is goed beleid omtrent veiligheid bij zowel de producent van software als de gebruiker ervan. vaak speelt de laatste (of het nu een individuele gebruiker is of een bedrijf) een veel grotere rol.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search