"70% Windowscomputers kwetsbaar voor nieuw IE-lek"
Zeventig procent van alle Windowscomputers op internet loopt risico door het nieuwe beveiligingslek dat in Internet Explorer is ontdekt. Microsoft waarschuwde gisteren voor de kwetsbaarheid, die bij beperkte aanvallen tegen gebruikers van IE8 en IE9 zou zijn ingezet.
Het probleem is echter in alle ondersteunde versies van de browser aanwezig. Het bezoeken van een kwaadaardige of gehackte website is voldoende om een aanvaller de computer te laten overnemen. Er is geen verdere interactie van de gebruiker vereist. Microsoft bracht een Fix it-oplossing uit. Deze oplossing schakelt de kwetsbare code uit. Het is echter geen update, aangezien het probleem nog steeds in de browser aanwezig is. Wel wordt er door Microsoft aan een update gewerkt.
Japan
Onderzoekers van beveiligingsbedrijf Websense stellen aan de hand van verschillende gegevens dat zo'n 70% van de Windowscomputers op internet kwetsbaar is voor het nieuwe lek. Het zijn echter voornamelijk IE-gebruikers in Japan die moeten oppassen, omdat de nu waargenomen aanvallen zich alleen tot deze regio beperken.
Websense waarschuwt dat Microsoft door het vrijgeven van de Fix it-oplossing andere aanvallers mogelijk in de kaart speelt. Die zouden de uitgeschakelde code kunnen analyseren om te kijken waar het probleem zich precies bevindt en zo hun eigen exploit kunnen ontwikkelen die misbruik van het lek maakt.
"An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights."
Is het werkelijk waar dat 70% van de windowscomputers de hele dag draait onder een administrator account?
Is het werkelijk waar dat 70% van de windowscomputers de hele dag draait onder een administrator account?
Is het werkelijk waar dat 70% van de windowscomputers de hele dag draait onder een administrator account?
Ik weet niet waar die 70% die Websense en het Security.NL artikel vermelden op gebaseerd is, dat betrof niet enkel het werken onder administrator-account, denk ik.
Maar buiten dat, wat betreft het werken onder administrator-account zou 70% best een redelijke schatting kunnen zijn. Als het niet nog veel erger is.
Ik hoop dat het in de meeste professionele omgevingen beter geregeld is, maar particulieren werken nog altijd vrijwel allemaal onder administrator-account, zoals dat in Windows out-of-the-box aangeboden wordt. En advies dat anders te doen dat helpt nauwelijks, ik ken alleen een vriendin waarvoor ik haar systeem onder meer met gescheiden accounts heb ingericht die netjes in een standaardgebruikersaccount werkt, alle andere particuliere gebruikers die ik ken (buiten hier op Security.NL) werken standaard in een administrator-account.
Maar het blijft wel fijn om te klagen natuurlijk.
Blijft interessant (oh nee, deprimerend) om te zien dat er nog altijd mensen zijn die denken dat andere browsers structureel veiliger zijn. Terwijl de hoeveel vulns en patches voor Safari, Firefox en Chrome toch net zo hoog, zo niet hoger zijn dan voor IE.
En daarnaast geldt dat IE voorlopig wel een populair mikpunt zal blijven, zowel voor aanvallers, als ook om te verguizen, om diverse redenen en sentimenten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.