WMF plaatjes weer gevaar voor Windows gebruikers
Microsoft heeft gisteren acht beveiligingslekken in Windows gedicht, waarvan drie zo ernstig dat alleen het openen van een WMF of EMF plaatje voldoende is voor een aanvaller om het hele systeem over te nemen. Het is niet voor het eerst dat WMF plaatjes een probleem voor Windows gebruikers vormen, eind 2005 was het ook al raak. Aanvallers misbruikten de kwetsbaarheid toen op een enorme schaal, mede omdat de softwaregigant pas na twee weken met een update kwam. De kwaadaardige afbeeldingen zijn in websites en popups te verstoppen. Microsoft verwacht dat aanvallers de drie lekken zullen misbruiken, maar dat de betrouwbaarheid van de exploits "inconsistent" zal zijn. Het trio lekken treft alle ondersteunde Windows systemen.
Naast het EMF-lek is ook een kwetsbaarheid in Secure Channel (SChannel) gedicht. Een aanvaller kan via dit lek zich voor een server authenticeren via alleen het geautoriseerde certificaat van de gebruiker en zonder de bijbehorende private key. Microsoft verwacht ook in dit geval "inconsistente" exploits. MSRC engineer Maarten van Horenbeeck gaat in dit artikel dieper in op de oorzaak en impact van dit lek.
Last but zeker not least is er nog MS09-008, een patch voor vier lekken in de DNS en WINS Server. Via een spoofing-lek in Windows DNS server kan een aanvaller willekeurige adressen aan de DNS cache toevoegen. De overige drie lekken zorgen ervoor dat het voor een ongeauthenticeerde aanvaller mogelijk is om DNS cache poisoning aanvallen uit te voeren en internetverkeer om te leiden. Updaten kan via Windows Update of de Automatische Update functie.
Ik geloof best dat het niet alleen aan Microsoft ligt en dat de installed-base ook niet positief bijdraagt, maar ik kan toch niets anders constateren dat een Windows omgeving toch wel er slecht in elkaar zit; volgens mij valt er voor Windows ook niet fatsoenlijk te ontwikkelen!
Hoe zit dat nou precies met die lekken in % ?
Hoeveel % van de lekken worden er door hackers gevonden, en hoeveel % door Microsoft zelf ?
Het zijn toch niet alleen hackers die lekken vinden ?
Alsof er voor een open source OS geen lekken te dichten zijn. Alleen gebeurt het daar wellicht sneller en zonder veel tralala. Bovendien wachten ze daar niet tot "patch Tuesday" er is om lekken te dichten.
Bijv. Ubuntu 8.04:
http://secunia.com/advisories/product/18611/?task=advisories_2009
22 "advisories" voor 2009; allemaal gedicht (uiteraard :-).
Linux en MacOS hebben ook hun fouten, maar meestal zijn die security updates minder verspreid.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.