image

Microsoft dicht actief aangevallen zero day-lekken in Windows

woensdag 9 november 2016, 09:40 door Redactie, 1 reacties

Tijdens de patchdinsdag van november heeft Microsoft 13 beveiligingsupdates voor de eigen software uitgebracht die meer dan 60 kwetsbaarheden verhelpen, waaronder vier zero day-lekken waarvan er twee de afgelopen tijd actief werden aangevallen.

De twee aangevallen zero day-lekken bevinden zich in verschillende onderdelen van Windows. Het gaat onder andere om een kwetsbaarheid die Google ontdekte en aan Microsoft rapporteerde. Aangezien Microsoft niet binnen de deadline van Google met een beveiligingsupdate kwam besloot Google het beveiligingslek openbaar te maken, tot onvrede van Microsoft.

Het door Google ontdekte lek betreft een kwetsbaarheid waardoor een aanvaller die al toegang tot het systeem heeft, bijvoorbeeld via malware, zijn rechten op het systeem kan verhogen. Google bestempelde de kwetsbaarheid als ernstig, maar Microsoft schaalt de impact lager in en heeft het lek als belangrijk beoordeeld. De kwetsbaarheid alleen is namelijk niet voldoende om een Windowscomputer over te nemen.

Dat geldt wel voor de tweede zero day-kwetsbaarheid die al werd aangevallen voordat een update beschikbaar was. Het gaat om een een beveiligingslek in Open Type Font waardoor een aanvaller via speciaal geprepareerde fonts op afstand Windowscomputers kon overnemen. Het bezoeken van een kwaadaardige website of het openen van een kwaadaardig document was in dit geval voldoende.

De overige twee zero day-lekken bevonden zich in Microsoft Edge en Internet Explorer. Deze lekken waren al voor het verschijnen van de update openbaar gemaakt, maar zijn volgens Microsoft in de tijd tussen het openbaar worden en verschijnen van de update niet aangevallen. Via de kwetsbaarheden kon een aanvaller informatie over het aangevallen systeem achterhalen en was het mogelijk om spoofing-aanvallen op gebruikers uit te voeren.

Naast verschillende updates voor Windows, IE en Edge verschenen er ook patches voor Microsoft Office en Microsoft SQL Server. Verder heeft Microsoft ook een update voor de in Edge en IE11 ingebouwde Flash Player uitgebracht. Op de meeste systemen zullen de beveiligingsupdates automatisch worden geïnstalleerd.

Reacties (1)
09-11-2016, 10:12 door Anoniem
@Redactie: wanneer een security vulnerability niet wordt aangevallen is het geen zero-day, maar een privatly disclosed vulnerability.

Een "zero day vulnerability" is pas een "zero day vulnerability" wanneer er 0 dagen over zijn om een lek te herstellen omdat deze al actief wordt aangevallen door een "zero day exploit"

zie bijvoorbeeld ook:

https://www.wired.com/2014/11/what-is-a-zero-day/
https://en.wikipedia.org/wiki/Zero-day_(computing)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.