Microsoft noodpatch voor gapend Windows gat
Het is goed mogelijk dat Microsoft binnenkort een noodpatch uitbrengt voor een zeer ernstig beveiligingslek in Windows, dat het laatst al probeerde te dichten. Het komt niet vaak voor dat de softwaregigant buiten de maandelijkse patchcyclus om met een "out-of-band" update komt, maar in dit geval zou het gerechtvaardigd zijn. De problemen kwamen aan het licht toen aanvallers een kwetsbaarheid in het Video ActiveX control begonnen te gebruiken om systemen met malware te infecteren. Een aantal dagen later werd bekend dat Microsoft al meer dan een jaar van het lek op de hoogte was en ook al met een patch was begonnen.
Ondanks de korte tijd tussen de eerste aanvallen en patchdinsdag van juli, wist het toch een update uit te brengen. Volgens beveiligingsexpert Tyler Reguly ging het om prutswerk, aangezien de patch alleen uit een killbit voor het kwetsbare ActiveX control bestond. Hiermee loste Microsoft het beveiligingslek niet op, maar schakelde wel de kwetsbare functionaliteit uit.
Diep in Windows
Reverse engineer expert Halvar Flake besloot het lek te onderzoeken en ontdekte waarom Microsoft zo'n probleem had met het ontwikkelen van een werkende patch. Het probleem zit namelijk veel dieper in Windows. Niet alleen Windows, maar ook software van andere ontwikkelaars gebruiken dezelfde functie. Volgens Flake is de killbit-oplossing dan ook duidelijk niet voldoende, aangezien er vast tal van andere manieren zijn om het probleem te misbruiken.
Als de kwetsbare functie in de software van derde partijen is beland, dan heeft Microsoft per ongeluk beveiligingslekken in de programma's van andere ontwikkelaars geïntroduceerd. Het kan echter de nodige moeite kosten om te bepalen of er een kwetsbare of niet-kwetsbare versie van de functie aanwezig is. "Als dit in 'third-party' producten terecht is gekomen, dan zal alleen een klein deel van de ontwikkelaars op tijd een patch uitbrengen."
Misbruik
Een bron binnen Microsoft laat weten dat de softwaregigant een out-of-band update voor de volgende patchdinsdag kan uitbrengen. Of Microsoft dit ook zal doen is waarschijnlijk afhankelijk of aanvallers ook de andere kwetsbare onderdelen gaan misbruiken.
Als ik het mis heb hoor ik het graag.
Bij bijvoorbeeld firefox is het vervelend dat je een aparte applicatie moet installeren zonder dat het direct gedownload word.
De stap word dan wel bewuster gemaakt en zal dus ook minder snel kunnen leiden tot misbruik, echt zoals gewoon staat dat de usability in de weg.
Dan moet ik zeggen dat het natuurlijk altijd nog de vraag is wie het veiligst is, maar dat is een heel ander topic
Overigens ben ik onmiddellijk met je eens dat ActiveX een groot gapend gat is en dat er heel veel security-gerelateerde issues met activeX zijn. Maar wat wil je dan ook, je gaat executable code downloaded van een untrusted netwerk, en dat vervolgens met de hoogste permissies uitvoeren. Dat lijkt me een redelijk recept voor een ramp. Overigens is het niet alleen maar slecht, ActiveX is een prima technologie op een lokaal netwerk, alleen een beetje proprietary.
Microsoft noodpatch voor gapend Windows gat
Terwijl in het eigen stuk staat :
Misbruik
Een bron binnen Microsoft laat weten dat de softwaregigant een out-of-band update voor de volgende patchdinsdag kan uitbrengen. Of Microsoft dit ook zal doen is waarschijnlijk afhankelijk of aanvallers ook de andere kwetsbare onderdelen gaan misbruiken.
Helemaal geen noodpatch dus, maar een lek, waar nog wat aan gedaan moet gaan worden.
Het gaat hier steeds meer op de telegraaf lijken...
[...]
Helemaal geen noodpatch dus, maar een lek, waar nog wat aan gedaan moet gaan worden.
Het gaat hier steeds meer op de telegraaf lijken...
Ja, het valt mij ook op, de laatste tijd -
Schreeuwerige koppen soms, die regelmatig niet de lading van de stukjes dekken.
Dat doet inderdaad denken aan krantenkoppen, waarvoor nogal eens hetzelfde geldt.
Verzoek aan de redactie:
Graag niet alleen aandacht voor de nieuwtjes, maar ook voor de koppen boven de stukjes.
De koppen zetten voor een deel de toon van de site, zeker bij de eerste indruk.
Onterecht schreeuwende koppen geven een vieze smaak.
Redactie, ga nou eens gewoon doen, want dit is gewoon te vies voor woorden.
Redactie, ga nou eens gewoon doen, want dit is gewoon te vies voor woorden.
Microsoft vangt als hoge boom nou eenmaal veel wind.
Maar de koppen boven de stukjes, die hebben mijns inziens beslist aandacht nodig, die koppen zijn regelmatig flink onzorgvuldig.
http://techworld.nl/technologie/8340/linus-torvalds-microsofthaat-is-een-ziekte.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.