Microsoft dicht aangevallen lekken in Office, Windows en IE
Microsoft heeft tijdens de patchdinsdag van mei 46 beveiligingslekken gepatcht, waaronder drie zerodaylekken in Windows, Microsoft Office en Internet Explorer die actief werden aangevallen om computers over te nemen voordat er een update van de softwaregigant beschikbaar was.
Via de kwetsbaarheid in Internet Explorer 11 en Microsoft Office kon een aanvaller willekeurige code op het systeem uitvoeren als de gebruiker een kwaadaardige website of een kwaadaardig EPS-bestand opende. Via het lek in de Windowskernel kon een aanvaller zijn rechten op het systeem verhogen en code met kernelrechten uitvoeren. Ook heeft Microsoft kwetsbaarheden in Internet Explorer en Microsoft Edge gedicht die al voor het verschijnen van de update bekend waren gemaakt, maar volgens Microsoft niet zijn aangevallen.
Het gaat om een IE-lek waardoor waarschuwingen voor http-content op https-sites konden worden omzeild. In het geval van Edge kon een kwaadaardige internetsite acties in de context van de Intranet Zone uitvoeren. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. Daarnaast is Microsoft gestopt met het aanbieden van updates voor de eerste versie van Windows 10 die in juli 2015 werd uitgebracht. Gebruikers en organisaties die nog met deze versie van het besturingssysteem werken krijgen het advies om naar de nieuwste versie te updaten.
Update
Microsoft patchte ook een ander lek in Office dat bij "beperkte gerichte aanvallen" is gebruikt, wat zou inhouden dat er 4 zerodaylekken deze maand zijn gepatcht. Bij de details van de update stelt Microsoft echter dat de kwetsbaarheid niet is aangevallen voordat de update verscheen.
Security patches kunnen wel via http://www.catalog.update.microsoft.com/ worden gedownload, inclusief de patch voor IE8. De extended support tot april 2019 stelt niet veel voor.
Microsoft geeft wel vaker meldingen dat er iets is met de browser (te oud, geen IE), maar dat is meestal niet werkelijk zo. Firefox is nog altijd de beste browser om de catalog mee te bezoeken.
IE11 op Windows 7 worden nieuwe tabs ongevraagd geupdate met een reclamepagina.
Microsoft noemt dat "newsfeeds":
"Updated Internet Explorer 11’s New Tab Page with an integrated newsfeed."
https://support.microsoft.com/en-us/help/4019264/windows-7-update-kb4019264
Die "newsfeeds" zijn simpel uit te schakelen.
Twee mogelijkheden:
Mogelijkheid 1:
Open je een nieuw leeg tabblad, dan zie je de newsfeeds,
en onderin verschijnt dan een balkje met "Uitproberen" en "Terugschakelen".
Klik "Terugschakelen", en die newsfeeds worden voortaan niet meer getoond.
Mogelijkheid 2:
De tweede optie om newsfeeds uit te schakelen is via "Internetopties".
Je kunt dat kiezen in plaats van optie 1, of als de keuzeoptie zoals beschreven onder 1 niet wordt aangeboden.
Open Internetopties via Menu Start, zoekvakje: Internetopties,
óf in Internet Explorer, tandwieltje rechtsboven, en dan Internetopties.
In Internetopties,
tabblad Algemeen (dat is het openings-tabblad),
klik knop "Tabbladen",
onder "Het volgende openen als er een nieuw tabblad wordt geopend", klik de knop en kies "De nieuwe tabbladpagina".
Klik OK,
klik Toepassen,
klik OK.
De IE browser op een POS gebruik je niet voor Internet. Wel voor Windows Update.
Microsoft heeft effectief Windows Update de nek heeft omgedraaid voor POSReady terwijl die nog jaren extended ondersteund moet worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.