"Microsoft steeds beter in vinden van IE-lekken"
Een beveiligingsonderzoeker die in juli van dit jaar tijdens een hackerconferentie een onbekend lek in Internet Explorer wilde demonstreren zag hoe het gras voor zijn voeten door Microsoft werd weggemaaid. De softwaregigant had het probleem namelijk zelf ook ontdekt en een week voor de conferentie gepatcht.
"Dit lijkt erop te wijzen dat Microsoft steeds beter en beter wordt in het gebruik van hun eigen fuzzers tegen Internet Explorer", zegt Todd Beardsley van beveiligingsbedrijf Rapid 7. "Dat is uiteindelijk goed nieuws voor het internet en laat zien dat softwareleveranciers security na de ontwikkeling [van een product] serieus nemen."
Fuzzer
Een fuzzer is een programma dat een systeem of applicatie, zoals een browser, met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Fuzzing wordt door allerlei bedrijven gebruikt om kwetsbaarheden in de eigen software op te sporen.
Systeembeheerders en gebruikers die de IE-update van juli niet hebben uitgerold krijgen alsnog het advies dit te doen, want een exploit die misbruik maakt van de kwetsbaarheid, die zowel door de onderzoeker als Microsoft was ontdekt, is aan hackertool Metasploit toegevoegd. Via deze software is het mogelijk om de veiligheid van systemen en netwerken te testen.
Eenvoudig
Microsoft mag dan de lof van Beardsley krijgen, Amit Malik van beveiligingsbedrijf FireEye merkt op dat er ook nog steeds eenvoudige bugs in Microsofts browser worden aangetroffen. De update die Microsoft in juli uitbracht verhielp in totaal 18 IE-kwetsbaarheden. Eén van die kwetsbaarheden is volgens Malik met name interessant omdat die zo eenvoudig is, dat zelfs sommige handleidingen op het internet het kunnen veroorzaken. Het probleem bevindt zich in een bepaald "event" dat alleen door IE wordt ondersteund, zo blijkt uit de analyse van Malik.
Gewoon lekker browsen met een alternatieve browser dus...
Gewoon lekker browsen met een alternatieve browser dus...
Gewoon lekker browsen met een alternatieve browser dus...
Daarnaast is IE, vooral omdat het op iedere Win-machine staat en functionaliteit deelt met andere Windows-componenten, het meest aantrekkelijke doelwit voor criminelen en cohorten.
Daarnaast kun je bij FF en chromium-browsers zelf heel makkelijk plug-ins installeren die de veiligheid vergroten, NotScript, AdBlock, Ghostery, HTTPS-everywhere, Virustotal, enzovoorts.
Ik wil niet zeggen dat je dan 100% veilig bent, maar wel dat je beter af bent dan met alleen een kale IE om te browsen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.