VLC Media Player en uTorrent patchen DLL-lek
Voor de Windows versies van de populaire programma's uTorrent en VLC Media Player, is een patch verschenen die het DLL-lek oplost. De kwetsbaarheid werd eerder deze week onthuld, ook al is die sinds 2000 bekend. Het probleem wordt veroorzaakt door de manier waarop Windows applicaties DLL-bestanden laden. Een groot aantal programma's zoekt ook in de geopende directory naar DLL-bestanden die voor het uitvoeren van de te openen bestanden nodig zijn. Een aanvaller zou zodoende kwaadaardige DLL-bestanden door het programma kunnen laten uitvoeren.
Om dit te voorkomen moet het pad worden opgegeven waar de DLL-bestanden van de applicatie precies staan. Dat is precies wat de patches voor uTorrent en VLC Media Player doen. Eerder was er al exploitcode voor zowel VLC als uTorrent verschenen, maar de maker van uTorrent zegt niets over eventueel misbruik te hebben gehoord. "We nemen de veiligheid van onze gebruikers zeer serieus en verontschuldigen ons voor het ongemak."
Belangrijk
In het geval van VLC gaat het om de tweede update in amper één week tijd. Ruim een week geleden verscheen versie 1.1.3, waardoor aanvallers via kwaadaardige MP3-bestanden systemen konden overnemen. Nu is versie 1.1.4 uitgekomen, die het DLL-lek verhelpt. "Kort na versie 1.1.3 werd er een belangrijk beveiligingslek in de meeste Windows applicaties ontdekt, wat ook VLC betrof. Aangezien security belangrijk is, is er hier een nieuwe versie voor het Windows platform!", aldus VideoLAN, de makers van VLC.
En waarom past Microsoft de regels niet aan ? Een programma kan alleen dll's laden uit die en die directory (ben geen windows expert, dus vervang 'die' door een zinnig pad). Vroeger rommelde ik met vbrun300.dll die allemaal verschillend waren en natuurlijk altijd weer niet samenwerken met zus en zo programma. Gewoon weghalen uit c:/windows/system en voor alle proggels die dit nodig hadden, een werkende vbrun in de eigen opstart dir zetten... aahja, dat waren nog eens tijden </mijmeren>
Het probleem bij Microsoft is dat ze te lang hebben toegestaan en het zelfs mogelijk hebben gemaakt om programma's te draaien die zich niet houden aan de regels. Misschien moeten ze daar nu eens keihard een eind aan maken. Dan blijf je inderdaad zitten met dezelfde problemen als met IE 7 en XP SP2: mensen die niet verder willen of kunnen, maar voor het overgrote deel van de gebruikers wordt het een stuk veiliger.
En ontwikkelaars worden gedwongen om beter werk af te leveren. Dat is altijd goed natuurlijk! :D
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.