"Beveiligingsplan Microsoft heeft gefaald"
Een nieuw ontdekt beveiligingsprobleem in Internet Explorer toont aan dat het Trustworthy Computing initiatief van Microsoft heeft gefaald. Dat zegt beveiligingsonderzoeker Jeremiah Grossman. Via een fuzzingtool ontdekte de Poolse onderzoeker Michael Zalewski meer dan honderd kwetsbaarheden in Internet Explorer, Firefox, Chrome, Safari en Opera. Eén van de lekken in Internet Explorer zou ook al bekend zijn bij Chinese hackers. Microsoft had Zalewski gevraagd om met het uitbrengen van de tool te wachten, maar de onderzoeker vond dat de softwaregigant geen geldige reden had gegeven waarom het zolang met patchen had gewacht.
"Voor mijzelf is niet het belangrijkste punt of Zalewski, Evans of welke onderzoeker dan ook zich verantwoord heeft gedragen", zegt Grossman. "De vraag die we ons moeten stellen is waarom na bijna een decennium van investeringen in Trustworthy Computing, deze problemen nog steeds aanwezig zijn, en zoals gedemonstreerd, zelf vaak voorkomen?"
Sandbox
Grossman vraagt zich af hoe het in 2011 nog steeds kan dat aanvallers slechts één beveiligingslek nodig hebben om de gehele machine over te nemen. "Bezoek een besmette website, open een kwaadaardig PDF of Word document, en het is game over." De oplossing ligt volgens Grossman in het implementeren van een sandbox. De aanvaller heeft dan minimaal twee lekken nodig om uit de sandbox te breken en het systeem over te nemen.
Google Chrome heeft het succes van het sandbox-model volgens de onderzoeker aangetoond, en inmiddels gebruikt ook Adobe een sandbox voor Adobe Reader. "Het is makkelijk voor te stellen dat Microsoft en Firefox met hun respectievelijke browsers en desktop software zullen volgen."
1) We weten niet hoe het zou zijn zonder het Trustworthy-initiatief
2) Er zijn ook veel lekken gevonden in Chrome, Safari, Opera en Firefox. Dus kennelijk doet Trustworthy het zo slecht nog niet (of doet iedereen het even slecht, 't is maar hoe je het bekijkt)
3) De oplossing ligt volgens Grossman in het implementeren van een sandbox. << goh laat dat nou net het geval zijn in Word 2010, Acrobat X en IE8...
goh laat dat nou net het geval zijn in Word 2010, Acrobat X en IE8...
Hoe kan 't dan dat er nog steeds in IE beveiligingslekken opduiken die full-control tot je computer geven? Dat lijkt me dan een slechte sandbox implementatie, en een reden om te kunnen aannemen dat trustworthy computing gefaald heeft.
goh laat dat nou net het geval zijn in Word 2010, Acrobat X en IE8...
Hoe kan 't dan dat er nog steeds in IE beveiligingslekken opduiken die full-control tot je computer geven?
Er zijn overigens geen honderd lekken gevonden maar honderd bugs. Niet elke bug hoeft een lek te zijn.
Ten eerste moet je een geschikt OS gebruiken, Windows XP mist enkele features waar sandboxen gebruik van maken.
IE, Adobe Reader, ... gebruiken op Windows XP geeft je een zwakkere sandbox dan dezelfde software op Vista/7.
Ten tweede gebruiken niet alle applicaties automatisch een sandbox. IE7/8/9 en Microsoft Office 2010 gebruiken enkel een sandbox indien de oorsprong van het document niet vertrouwd wordt (zoals het Internet), of als de gebruiker er expliciet de opdracht toe geeft.
Ten derde verschillen de restricties van de verschillende sandboxen onderling nogal sterk. Vanuit de Google Chrome sandbox mag je zelfs niets lezen, laat staan schrijven. Vanuit de Adobe Reader X sandbox mag je niets schrijven, maar wel lezen. En vanuit de IE7/8/9 sandbox mag je wel schrijven naar een ander sandbox, zoals de Adobe Reader X sandbox.
Caveat emptor!
Ten eerste...
Ten tweede...
Ten derde...
Heerlijk, eindelijk iemand met verstand van zaken die commentaar geeft. Meteen mijn hele dag weer goed, vlak voordat ik af wilde sluiten en naar huis wilde gaan. DANK!
Correct. Maar een degelijke sandbox geeft je nog meer bescherming dan een LUA.
Kijk maar eens objectief, met een open mind naar het aantal (operating system, applicatie, browser) "lekken" wat nog steeds word gevonden dat "remote code execution" toelaat.
http://www.microsoft.com/security/default.aspx
"Remote code execution" betekent dat iemand van afstand een programma op jouw computer kan uitvoeren, vermoedelijk zonder jouw medeweten als eigenaar van deze hardware.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.