Microsoft patcht 23 lekken in Windows en IE
Tijdens de patchdinsdag van augustus heeft Microsoft acht beveiligingsupdates uitgebracht die in totaal 23 lekken in Windows, Internet Explorer en Exchange dichten. De meeste kwetsbaarheden bevinden zich in Internet Explorer. Microsoft Security Bulletin MS13-059 verhelpt 11 ernstige lekken die direct aan Microsoft waren gemeld. Het bezoeken van een kwaadaardige of gehackte website met een kwetsbare IE-versie is voldoende om een aanvaller willekeurige code op het systeem te laten uitvoeren.
Ook vier lekken in de Windowskernel, waarvan er een al bekend was voordat de update van Microsoft uitkwam, behoren tot het verleden. Via deze kwetsbaarheden was het voor een aanvaller mogelijk zijn rechten op het systeem te verhogen.
Exchange
In het geval van de update voor Exchange betreft het drie lekken die allemaal al openbaar waren en een aanvaller ook toegang tot het systeem geven. Hiervoor zou een gebruiker een speciaal geprepareerd bestand via de Outlook Web App (OWA) moeten bekijken. De overige problemen bevinden zich in de Windows NAT Driver en ICMPv6, waardoor een Denial of Service mogelijk was.
Als laatste is ook een kwetsbaarheid in Active Directory Federation Services (AD FS) verholpen. Hierdoor was het mogelijk voor een aanvaller om informatie over een service account dat de AD FS gebruikte te achterhalen om vervolgens van buiten het bedrijfsnetwerk proberen in te loggen.
De updates zijn via Windows Update of de Automatische Updatefunctie te downloaden.
Helaas incorrect. Met deze kwetsbaarheid is het mogelijk om de accountgegevens van de service account te achterhalen, en vervolgens indien er een password policy aanwezig is via incorrecte logons het account te locken; wat tot een DoS leidt. Uiteraard als je als wachtwoord '123' gebruikt kan het inloggen; maar in eerste instantie gaat het om het locken en dus onbeschikbaar maken van dat account; en services die dat account gebruiken.
Maar alsnog ellende; dus snel patchen maar.
MegaN00B
En ook voor Adobe Flash Player voor andere browsers dan IE10 onder Windows 8 heeft Adobe geen updates uitgebracht.
Viel er niets te patchen aan Flash Player?
Ik kan me dat werkelijk nauwelijks voorstellen, dus ik vind het nogal merkwaardig.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.