image

Microsoft adviseert VPN-patch voor alle Windows 8.1-gebruikers

donderdag 11 juni 2015, 11:51 door Redactie, 4 reacties

Microsoft heeft deze week een update uitgebracht voor de in Windows 8.1 ingebouwde VPN-client van Juniper en adviseert alle gebruikers de patch te installeren, ook als ze de software niet gebruiken. Windows 8.1 en RT 8.1 beschikken over de Juniper Networks Windows In-Box Junos Pulse Client.

Via de software kan er een VPN-verbinding worden opgezet. Een VPN laat gebruikers op een beveiligde manier verbinding met computers of netwerken maken. In de client van Juniper zijn verschillende kwetsbaarheden ontdekt, waardoor een aanvaller verschillende aanvallen kan uitvoeren, waaronder de Freak-aanval. Een aanvaller kan de verbinding in dit geval naar een zwakke encryptie downgraden.

Vervolgens kan deze encryptie worden aangevallen en de inhoud van het beveiligde verkeer worden bekeken. Om de aanval uit te voeren zou een aanvaller het slachtoffer verbinding met een speciaal geprepareerde VPN-server moeten laten maken, aldus Microsoft. De softwaregigant publiceerde de advisory voor de kwetsbaarheid op 5 mei. Op 9 juni verscheen de update voor de gevonden kwetsbaarheden. Daarbij krijgen nu alle Windows 8.1-gebruikers het advies die te installeren, ook als ze de software niet gebruiken, aangezien het een standaardonderdeel van het besturingssysteem is.

Reacties (4)
11-06-2015, 13:34 door Anoniem
Tja, weer een teken om geen software van derden onderdeel van het OS te laten worden. Laat de keuze voor een VPN cliënt aan de gebruikers over, deze zullen vrijwel altijd OpenVPN of de cliënt van hun bedrijf installeren. Windows hoeft geen native vpn cliënt te hebben maar als er zonodig eentje moet worden ingebouwd maak deze dan gewoon zelf, Microsoft.
11-06-2015, 16:27 door Anoniem
Door Anoniem: Tja, weer een teken om geen software van derden onderdeel van het OS te laten worden. Laat de keuze voor een VPN cliënt aan de gebruikers over, deze zullen vrijwel altijd OpenVPN of de cliënt van hun bedrijf installeren. Windows hoeft geen native vpn cliënt te hebben maar als er zonodig eentje moet worden ingebouwd maak deze dan gewoon zelf, Microsoft.

Zoals ze dat ook met de virusscanner hebben gedaan?
11-06-2015, 23:26 door Anoniem
Door Anoniem:
Door Anoniem: Tja, weer een teken om geen software van derden onderdeel van het OS te laten worden.

Huh ? De VPN client was, net zoals heel erg veel andere software, kwetsbaat voor een FREAK aanval. Dit is onderkend en opgelost. Als het een door Microsoft zelf geschreven client was geweest was die ook kwetsbaar geweest. Alleen dan allicht iets eerder gepatched: https://technet.microsoft.com/library/security/MS15-031. Eigenlijk snap ik de nieuwswaardigheid van deze update niet zo. Of gaan we alle Microsoft updates op dinsdag een voor een in een nieuwsartikel behandelen.
12-06-2015, 10:02 door Rolfieo
Door Anoniem: Tja, weer een teken om geen software van derden onderdeel van het OS te laten worden. Laat de keuze voor een VPN cliënt aan de gebruikers over, deze zullen vrijwel altijd OpenVPN of de cliënt van hun bedrijf installeren. Windows hoeft geen native vpn cliënt te hebben maar als er zonodig eentje moet worden ingebouwd maak deze dan gewoon zelf, Microsoft.

OpenVPN is nu net niet de meest gebruiker vriendelijke VPN cliënt. Sterker nog, je hebt een hoop gezeik met routeringen als je het niet als Local Administrator draait.

En of je laat de gebruiker zelf een stukje software downloaden en installeren. Of de VPN client zit native in het OS.
95% van de eind gebruikers zal juist graag willen dat ze nergens naar willen omkijken. Dus een buildin VPN cliënt valt daar ook onder.

Daarnaast MS heeft al native VPN clients, PPTP, L2TP en SSTP VPN ondersteunding native in het OS zitten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.