Ernstig 19 jaar oud Windows-lek eindelijk gedicht
Microsoft heeft gisteren een ernstig beveiligingslek in Windows gedicht dat al sinds Windows 95 aanwezig was en een aanvaller via een drive-by download kwetsbare computers liet overnemen, waarbij zowel de Enhanced Protected Mode (EPM) sandbox van Internet Explorer 11 als de Enhanced Mitigation Experience Toolkit (EMET) beveiligingstool van Microsoft konden worden omzeild.
De kwetsbaarheid in Windows Object Linking and Embedding (OLE) werd veroorzaakt door de manier waarop IE met geheugenobjecten omging. Onderzoekers van IBM ontdekten het probleem in mei van dit jaar en waarschuwden vervolgens Microsoft, dat gisteren met de update kwam. Verder onderzoek wees echter uit dat de kwetsbare code al in Windows 95 aanwezig was en via Internet Explorer 3.0 op afstand kon worden aangevallen.
IE 3.0 introduceerde namelijk Visual Basic Script waarmee een drive-by download kan worden uitgevoerd. In dit geval volstaat het bezoeken van een gehackte of kwaadaardige website met een kwetsbare Windowsversie en Internet Explorer om aanvallers willekeurige code op de computer uit te laten voeren. Volgens de onderzoekers laat het lek zien dat ernstige problemen soms lange tijd onopgemerkt kunnen blijven. "De kwetsbare code is tenminste 19 jaar oud en was de afgelopen 18 jaar op afstand te misbruiken", zegt onderzoeker Robert Freeman.
Hij merkt op dat de code zich lange tijd in het zicht verborgen heeft weten te houden en er in dezelfde Windowsbibliotheek veel andere bugs zijn ontdekt en gepatcht. Daarnaast laat het lek volgens Freeman zien dat er mogelijk nog meer soortgelijke problemen in Windows zijn die tot ernstige lekken kunnen leiden. Ondanks de leeftijd van de gisteren gepatchte bug hoeven gebruikers zich geen zorgen te maken. Volgens de onderzoekers zijn er geen aanwijzingen dat het lek in het verleden is aangevallen.
naar versie worden meegenomen... althans, volgens marketing.
naar versie worden meegenomen... althans, volgens marketing.
en hoe oud was het bash lek ook al weer in lynux ?...20 jaar..
20 jaar van valse veiligheid dus,maar wel in al die jaren arrogant doen over hoe veilig linux is.
hackers laten het links liggen,veiligheid door obscuriteit dus.
naar versie worden meegenomen... althans, volgens marketing.
en hoe oud was het bash lek ook al weer in lynux ?...20 jaar..
20 jaar van valse veiligheid dus,maar wel in al die jaren arrogant doen over hoe veilig linux is.
hackers laten het links liggen,veiligheid door obscuriteit dus.
naar versie worden meegenomen... althans, volgens marketing.
naar versie worden meegenomen... althans, volgens marketing.
Klopt als een bus, want IE maakt absoluut geen deel uit van de Windows kernel--Oh, wacht...
Beetje onzin dit. Niemand wist van het BASH-lek (tot voor kort dan) en hoe kun je 20 jaar onveilig zijn als het lek niet eens bekend is waardoor je het niet kan uitbuiten?
De cybercrimineel zal aan jou vertellen dat hij al jaren gebruik maakt van het bash-lek als hij jouw computer aanvalt.
Dat jij en vele anderen niet weten dat je computer zo lek als een mandje is hoeft niet te betekenen dat niemand dat weet.
Beetje onzin dit. Niemand wist van het BASH-lek (tot voor kort dan) en hoe kun je 20 jaar onveilig zijn als het lek niet eens bekend is waardoor je het niet kan uitbuiten?
De cybercrimineel zal aan jou vertellen dat hij al jaren gebruik maakt van het bash-lek als hij jouw computer aanvalt.
Dat jij en vele anderen niet weten dat je computer zo lek als een mandje is hoeft niet te betekenen dat niemand dat weet.
Het aanvallen van dit lek begon exact op het moment dat het bekend werd, en geen dag daarvoor. Dus ook geen 20 jaar.
Beetje onzin dit. Niemand wist van het BASH-lek (tot voor kort dan) en hoe kun je 20 jaar onveilig zijn als het lek niet eens bekend is waardoor je het niet kan uitbuiten?
De cybercrimineel zal aan jou vertellen dat hij al jaren gebruik maakt van het bash-lek als hij jouw computer aanvalt.
Dat jij en vele anderen niet weten dat je computer zo lek als een mandje is hoeft niet te betekenen dat niemand dat weet.
Het aanvallen van dit lek begon exact op het moment dat het bekend werd, en geen dag daarvoor. Dus ook geen 20 jaar.
Misschien niet in jouw situatie want je bent zeer waarschijnlijk niet interessant genoeg ;)
Anyway, het zou idd wat naief zijn om te denken dat (overheids)instanties zoals de NSA AIVD etc niet op de hoogte zijn van dit soort lekken...
Ze hebben vast een of meerdere teams die dagen / jaren lang naar kwetsbaarheden op zoek zijn en denk dan maar niet dat ze dit publiceren.... integendeel, het wordt ingezet om te spioneren!
Dus.... wees altijd sceptisch en leef niet met paardenkleppen op want ze (overheidsinstanties) houden de niets vermoedende burgers maar al te graag voor de gek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.