Windows 7 ontsnapt aan ernstige beveiligingslekken
Dankzij de extra beveiliging in het besturingssysteem, hadden gebruikers van Windows 7 gisteren een rustige patchdinsdag. In totaal verschenen er negen bulletins, waarvan acht voor Windows en één specifiek voor Office. Alle acht Windows bulletins waren voor Windows XP, waaronder drie 'critical' patches. Voor Windows 7 verschenen drie security bulletins, die elk als "important" werden bestempeld.
"Als we naar onze andere 'high priority' bulletins van deze maand kijken, zijn er geen kritieke bulletins voor Windows 7 of Windows Server 2008 R2. Dit vanwege beveiligingsmaatregelen, zoals aanvullende heapbescherming die in de nieuwere besturingssystemen aanwezig is", zegt Jerry Bryant van het Microsoft Security Response Center. Hij merkt op dat de Office-patch van deze maand niet voor Office 2010 is.
Stuxnet
De patchdinsdag werd echter overschaduwd door de onthulling dat de Stuxnet-worm vier onbekende Windows-lekken had gebruikt, waarvan Microsoft er gisteren één patchte. Voor de initiële aanvalsvector verscheen op 1 augustus een noodpatch. Voor de twee resterende kwetsbaarheden, waarmee een aanvaller zijn rechten op een al besmet systeem kan verhogen, verschijnt in de toekomst een update.
Updates
De twee belangrijkste updates van gisteren zijn MS10-061, het lek in de Print Spooler service dat de Stuxnet-worm gebruikt, en MS10-062, een lek in de MPEG4 codec. Voor het eerste lek is er al exploitcode, voor het MPEG4-lek acht Microsoft dit zeer waarschijnlijk. Het openen van een kwaadaardig media-bestand of streaming content volstaat om een aanvaller willekeurige code op het systeem te laten uitvoeren.
Voor Windows 7 verscheen geen update voor het MPEG4-lek, aangezien vanwege de eerder genoemde extra beveiligingsmaatregelen het uitvoeren van code onwaarschijnlijk is. Updaten kan via de Automatische Update functie en Windows Update.
HOE ZORGEN WE DAT WINDOWS7 VEILIGER LIJKT DOOR EEN KLEINER AANTAL PATCHES - OVER DE RUGGEN VAN DE GEBRUIKERS.
ASLR en DEP zijn symtoombestrijding en, in elk geval in een deel van de gevallen, door creatieve aanvallers te omzeilen zoals we al eerder hebben gezien. Google maar eens naar: bypass dep aslr of aslr spray
Voorbeeld, uit https://www.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/apple_quicktime_marshaled_punk.rb
'Voor Windows 7 verscheen geen update voor het MPEG4-lek, aangezien vanwege de eerder genoemde extra beveiligingsmaatregelen het uitvoeren van code onwaarschijnlijk is."
Redactie: Waar wordt dit gezegd in het fimpje of het artikel? Ik haal het er niet uit.
MS10-061: is 'important' en niet 'critical' voor Windows 7 omdat de attacker authenticated moet zijn om de bug te exploiten.
MS10-062: Windows 7 / 2008 zijn niet kwetsbaar.
MS10-063: Windows 7 / 2008 zijn niet kwetsbaar.
Ik kan niks vinden waaruit blijkt dat Windows 7 ook kwetsbaar is, wat wel gesuggereerd word in het artikel.
[admin] De eerste link wijst naar het hele overzicht van alle patches. Daarin staat: MS10-062 MPEG-4 Codec Vulnerability CVE-2010-0818 1 - Consistent exploit code likely
Code execution would be less likely on Windows Vista and Windows 7 due to additional heap mitigations
Verder staat er in het artikel dat er voor Windows 7 drie belangrijke updates zijn. Het gaat om MS10-061, MS10-065 en MS10-068 [/admin]
"Itanium-based editions of Windows Server 2003 and Windows Server 2008, and all supported editions of Windows 7 and Windows Server 2008 R2, are not affected by the vulnerability."
De conclusie:
"Voor Windows 7 verscheen geen update voor het MPEG4-lek, aangezien vanwege de eerder genoemde extra beveiligingsmaatregelen het uitvoeren van code onwaarschijnlijk is."
in het artikel klopt dus niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.