image

Google: Microsoft heeft Windows 10-lek niet gepatcht

donderdag 22 februari 2018, 09:54 door Redactie, 27 reacties

Een beveiligingslek in Windows 10 dat door een Google-onderzoeker werd ontdekt is niet gepatcht, ook al geeft Microsoft aan dat dit wel is gedaan. Dat laat Google-onderzoeker James Forshaw weten die het probleem ontdekte. Forshaw waarschuwde Microsoft op 10 november vorig jaar voor twee lekken waardoor een aanvaller zijn rechten op een Windows 10-systeem eenvoudig kan verhogen.

Om de kwetsbaarheden te kunnen misbruiken moet een aanvaller wel al toegang tot een systeem hebben. Aangezien beide kwetsbaarheden in dezelfde functie van de Windows Storage Services werden gevonden vroeg Microsoft één CVE-nummer aan, te weten CVE-2018-0826. Via een CVE-nummer kan een kwetsbaarheid worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier. Microsoft liet Forshaw weten dat het beide problemen deze maand in Windows 10 zou verhelpen. Het beveiligingsbulletin van Microsoft stelt ook dat CVE-2018-0826 is opgelost. Nu meldt Forshaw dat één van de twee problemen die hij rapporteerde niet is verholpen en een aanvaller zodoende nog steeds zijn rechten op een systeem kan verhogen.

Google geeft organisaties 90 dagen de tijd om een gerapporteerde kwetsbaarheid te verhelpen, waarna de details openbaar worden gemaakt. In dit geval werd de deadline op verzoek van Microsoft verlengd zodat de betreffende beveiligingsupdate tijdens de patchdinsdag van 13 februari kon worden uitgerold voordat de details online zouden verschijnen. Aangezien de extra tijd die Google aan Microsoft gaf om een update uit te rollen is verstreken zijn de details nu openbaar geworden, ook al is er voor de ene kwetsbaarheid nog geen patch beschikbaar. Onlangs maakte Google ook een probleem in Edge openbaar waar nog geen oplossing van Microsoft voor is.

Reacties (27)
22-02-2018, 10:59 door Anoniem
Tijd voor ons allemaal.om Microsoft voor de (amerikaanse) rechter te slepen.Met lekken in windows ligt onze veiligheid en privacy op straat. Veilig online winkelen, veilig online bankieren, of zelfs veilig chatten en /of webcammen..vergeet het maar. Ze moeten lekken patchen en anders wil ik die 600 euro voor mn Windows 10 laptop betaald van ze terughebben. Dan spaar ik nog ff door en koop een Mac.
22-02-2018, 12:24 door [Account Verwijderd]
Door Anoniem: Tijd voor ons allemaal.om Microsoft voor de (amerikaanse) rechter te slepen.Met lekken in windows ligt onze veiligheid en privacy op straat. Veilig online winkelen, veilig online bankieren, of zelfs veilig chatten en /of webcammen..vergeet het maar. Ze moeten lekken patchen en anders wil ik die 600 euro voor mn Windows 10 laptop betaald van ze terughebben. Dan spaar ik nog ff door en koop een Mac.

Zelfs zonder lekken ligt je privacy bij Microsoft al op straat. Lekken heb je overal maar ze niet patchen binnen 90 dagen is echt schande.
Je hebt niet 600 euro betaald voor W10, ik schaat een paar tientjes maar die zou ik ook graag terug willen hebben. Sterker nog, ik zou liever een laptop kopen zonder W10 en minder betalen want er gaat toch meteen Linux op. Dan heb je dit soort ellende niet. Mac is natuurlijk ook prima maar wel prijzig.
22-02-2018, 12:33 door Anoniem
Door Anoniem: Tijd voor ons allemaal.om Microsoft voor de (amerikaanse) rechter te slepen.Met lekken in windows ligt onze veiligheid en privacy op straat. Veilig online winkelen, veilig online bankieren, of zelfs veilig chatten en /of webcammen..vergeet het maar. Ze moeten lekken patchen en anders wil ik die 600 euro voor mn Windows 10 laptop betaald van ze terughebben. Dan spaar ik nog ff door en koop een Mac.

Sinds 2007 worden alle Apple apparaten standaard voorzien van NSA spyware,

Zoek maar eens op: "Apple NSA Spyware"

Hierna gaan de MS fanboys beweren dat Microsoft
Windows 10 geen keylogger heeft,
totaal te vertrouwen is en
geen deel uitmaakt van het PRISM spionage programma van de CIA/NSA.
22-02-2018, 12:53 door Anoniem
Ach probleem met "golden ticket" is ook nooit aangepakt.
22-02-2018, 13:25 door karma4
Door Linux4:
Zelfs zonder lekken ligt je privacy bij Microsoft al op straat. Lekken heb je overal maar ze niet patchen binnen 90 dagen is echt schande.
Je hebt niet 600 euro betaald voor W10, ik schaat een paar tientjes maar die zou ik ook graag terug willen hebben. Sterker nog, ik zou liever een laptop kopen zonder W10 en minder betalen want er gaat toch meteen Linux op. Dan heb je dit soort ellende niet. Mac is natuurlijk ook prima maar wel prijzig.
Met de gafa jongens heb je geen privacy je bent het product of de makkelijke volger. Gafa google Apple Facebook Amazon.
Beetje kortzichtig om dat niet te willen zien.
22-02-2018, 14:16 door Anoniem
Bij de melding van het tweede lek schreef Forshaw:
Note this is a second bug in the same function. I’m submitting it separately just to ensure that the resulting fix doesn't miss this edge case as well.
En bij Microsoft voegde iemand ze weer samen met als resultaat dat precies gebeurde wat Forshaw probeerde te voorkomen.

Het beeld dat ik daarbij krijg is dat Forshaw iemand is die allang door schade en schande heeft geleerd hoe makkelijk je steekjes laat vallen, de zelfoverschatting op dat vlak voorbij is en weet dat procedurele beschermingen tegen dit soort slordigheden toegevoegde waarde hebben. Bij Microsoft is het dan afgehandeld door iemand die dat nog niet door had en die het hopelijk nu door schade en schande heeft geleerd.
22-02-2018, 15:12 door Anoniem
Je kunt Microsoft wel voor de rechter willen slepen, maar dat gaat 'm natuurlijk niet worden. JIJ kiest ervoor om Microsoft te gebruiken. Ook al hebben zij de verantwoordelijkheid om hun gebruikers een zo veilig als mogelijk besturingssysteem voor te schotelen, JIJ moet zelf afwegen of het systeem voor JOU voldoende zekerheden heeft ingebouwd. Aan jouw reactie is dat niet zo, dus moet je zelf je conclusies trekken.

Je kunt ook kiezen voor een andere besturingssysteem omdat bekend is dat je huidige besturingssysteem constant onder bedreiging ligt. Die keuze heb ik zelf ook gedaan. Nooit spijt van gehad. Sterker nog: had het al veel eerder moeten doen.
22-02-2018, 15:39 door Tha Cleaner
Door Anoniem: Tijd voor ons allemaal.om Microsoft voor de (amerikaanse) rechter te slepen.Met lekken in windows ligt onze veiligheid en privacy op straat. Veilig online winkelen, veilig online bankieren, of zelfs veilig chatten en /of webcammen..vergeet het maar. Ze moeten lekken patchen en anders wil ik die 600 euro voor mn Windows 10 laptop betaald van ze terughebben. Dan spaar ik nog ff door en koop een Mac.

En je denkt dat een MAC geen security issues heeft?
22-02-2018, 15:43 door Anoniem
IN elk systeem worden gaten ontdekt, zeker als er hard aan wordt ontwikkeld. Wat belangrijk is hoe snel deze worden ge-patcht. Dat maakt Windows tot het onveiligste OS.
22-02-2018, 19:33 door [Account Verwijderd]
Zoals gebruikelijk is iedereen weer zijn OS-stokpaardjes aan het berijden.

zzzzzz....zzslaapverwekkend...zzz...

Ooit gehoord van risicospreiding? Al duizenden jaren doet de mens dat als hij zich onledig houdt met oorlogsvoering.
Is het oorlog met het internetgespuis, bij elkaar geraapt onder de naam Malware?
Beetje onzinnig om daar een negatief antwoord op te geven.
Heel cru: Zo ja wat doet iedereen hier dan wèl op Security.nl?

Dus risicospreiding. Hoe doe je dat?

Daar zijn heel wat strategieën voor op te stellen. Pssst....het hoeft ècht geen Schlieffenplan te zijn. :)
Die van mij in alfabetische volgorde: Linux MacOS en Windows met elkaar afwisselen.
Kost een beetje meer hersenactiviteit maar minder kopzorg over dreigingen en is nog leuk ook.
22-02-2018, 19:50 door Anoniem
Door Anoniem:
Door Anoniem: Tijd voor ons allemaal.om Microsoft voor de (amerikaanse) rechter te slepen.Met lekken in windows ligt onze veiligheid en privacy op straat. Veilig online winkelen, veilig online bankieren, of zelfs veilig chatten en /of webcammen..vergeet het maar. Ze moeten lekken patchen en anders wil ik die 600 euro voor mn Windows 10 laptop betaald van ze terughebben. Dan spaar ik nog ff door en koop een Mac.

Sinds 2007 worden alle Apple apparaten standaard voorzien van NSA spyware,

Zoek maar eens op: "Apple NSA Spyware"


OK

zoekresultaten

Apple Archives - Page 7 of 7 - WinBuzzer
2013 Brand Study: Microsoft outstrips Apple as top desirable handheld-brand in...
winbuzzer.com/tag/apple/page/7/

Senator accuses CIA of hacking Congress computers and ...
Senator Dianne Feinstein (D-CA), chair of the Intelligence Committee, has accused the CIA of searching Senate computers for copies of an internal agency interro
pinterest.com/pin/307089268313649843/

The Irish Savant: Pamela Geller banned from Britain
The Irish Savant
irishsavant.blogspot.co.uk/2013/07/pamela-geller-banned-from-britain...

Quand la NSA explique comment pirater un iPhone | Atlantico.fr
Quand la NSA explique comment pirater un iPhone. Une infographie confidentielle très détaillée montre comment installer le spyware Dropoutjeep pour accéder à ...
atlantico.fr/pepites/quand-nsa-explique-comment-pirate...

Bomba!!! Apple iPhone com Vírus no NSA Spyware Backdoor
Todos os dispositivos da Apple foram infectados com spyware com sucesso pela NSA, de acordo com novos documentos publicados pelo Der Speigel, uma revista alemã.
claudiacarlaonline.wordpress.com/2013/12/31/bomba-apple-iphone-com-virus-n...

Blablabla ..dropoutjeep.. blablabla

Dropoutjeep duidt op een malwareprogramma waarvan niet eens zeker is of het is uitontwikkeld en bewijst al helemaal niet dat alle hardware van apple wordt gecorrumpeerd.

Online ZWAMkoekjes dus weer.
22-02-2018, 19:59 door Anoniem
Door Aha:

Dus risicospreiding. Hoe doe je dat?

Daar zijn heel wat strategieën voor op te stellen. Pssst....het hoeft ècht geen Schlieffenplan te zijn. :)
Die van mij in alfabetische volgorde: Linux MacOS en Windows met elkaar afwisselen.
Kost een beetje meer hersenactiviteit maar minder kopzorg over dreigingen en is nog leuk ook.
3xmin dat bepaald geen plus wil worden

Wat je zegt werkt alleen niet als je in het openbaar je eige configuraties en systeemversies rondbazuint.

In jouw geval leidt de bedachte risicospreiding naar sterke uitvergroting van het aanvalsoppervlak en verlaagt dus minimaal 3x jouw defence.
Sluitend veilig zijn de door jou gebruikte softe waren en systemen allerminst.
Het enige dat we nog nodig hebben is iets persoonlijks, echte naam, ip adres of een email om te phishen.

Chronische zelfoverschatting is de grootste vijand van echte security en opsec.
Voor je het weet ben je het haasje.
22-02-2018, 20:10 door -karma4
DE KLOOTZAKKEN! (Microsoft)
22-02-2018, 20:42 door Anoniem
Door The FOSS: DE KLOOTZAKKEN! (Microsoft)

Nee dat is geen accurate omschrijving, dit melden vóór de patch heet ook wel : pro-actief handelen

(danwel: wishful thinking)
22-02-2018, 21:06 door [Account Verwijderd]
Door Anoniem:
Door Aha:

Dus risicospreiding. Hoe doe je dat?

Daar zijn heel wat strategieën voor op te stellen. Pssst....het hoeft ècht geen Schlieffenplan te zijn. :)
Die van mij in alfabetische volgorde: Linux MacOS en Windows met elkaar afwisselen.
Kost een beetje meer hersenactiviteit maar minder kopzorg over dreigingen en is nog leuk ook.
3xmin dat bepaald geen plus wil worden

Wat je zegt werkt alleen niet als je in het openbaar je eige configuraties en systeemversies rondbazuint.

In jouw geval leidt de bedachte risicospreiding naar sterke uitvergroting van het aanvalsoppervlak en verlaagt dus minimaal 3x jouw defence.
Sluitend veilig zijn de door jou gebruikte softe waren en systemen allerminst.
Het enige dat we nog nodig hebben is iets persoonlijks, echte naam, ip adres of een email om te phishen.

Chronische zelfoverschatting is de grootste vijand van echte security en opsec.
Voor je het weet ben je het haasje.

Interessant dat je denkt dat ik een vorm van zelfoverschatting uitstraal, want ik lees hier feitelijk post na post reacties van mensen die een voorkeur uitspreken voor hun favoriete OS dat juist zij, niet ik - zelfsoverschattend - boven alles superieur vinden m.b.t. security. Nooit en te nimmer zul je ergens van mij bijdragen op het internet kunnen vinden waar ik een voorkeur uitspreek voor een bepaald merk/soort besturingssysteem, want ze zijn allemaal een verzameling elkaar nivellerende bugs en kwetsbaarheden met een dik laagje glazuur eroverheen.
Uit mijn mond kun je net zo goed verwachten dat zowel Apple Linux en Windows ieder op verschillende aspecten pruts software is. Nogmaals: Ik had geen voorkeuren, heb ze niet en zal ze nooit krijgen.
22-02-2018, 22:33 door CykoByte_t - Bijgewerkt: 22-02-2018, 22:34
Door Aha: Zoals gebruikelijk is iedereen weer zijn OS-stokpaardjes aan het berijden.

zzzzzz....zzslaapverwekkend...zzz...
Meer dan tien jaar bezoek ik nu security.nl, en in die tijd is dat toch wel de constant aanwezige discussie hier. Inderdaad zzzzlaapverwekkend. Het leidt af van het topic/nieuwsartikel en elk kamp is overtuigd van zijn gelijk. Die gesprekken leiden meestal nergens toe.
23-02-2018, 08:32 door [Account Verwijderd]
Door karma4:
Door Linux4:
Zelfs zonder lekken ligt je privacy bij Microsoft al op straat. Lekken heb je overal maar ze niet patchen binnen 90 dagen is echt schande.
Je hebt niet 600 euro betaald voor W10, ik schaat een paar tientjes maar die zou ik ook graag terug willen hebben. Sterker nog, ik zou liever een laptop kopen zonder W10 en minder betalen want er gaat toch meteen Linux op. Dan heb je dit soort ellende niet. Mac is natuurlijk ook prima maar wel prijzig.
Met de gafa jongens heb je geen privacy je bent het product of de makkelijke volger. Gafa google Apple Facebook Amazon.
Beetje kortzichtig om dat niet te willen zien.

Microsoft hoort ook in het rijtje GAFA inderdaad.
23-02-2018, 10:29 door Anoniem
Door Anoniem: Tijd voor ons allemaal.om Microsoft voor de (amerikaanse) rechter te slepen.Met lekken in windows ligt onze veiligheid en privacy op straat. Veilig online winkelen, veilig online bankieren, of zelfs veilig chatten en /of webcammen..vergeet het maar. Ze moeten lekken patchen en anders wil ik die 600 euro voor mn Windows 10 laptop betaald van ze terughebben. Dan spaar ik nog ff door en koop een Mac.

Want software van andere leveranciers heeft geen lekken???

Kijk eens rond op www.cvedetails.com en je zult zien dat alle software lekken/bugs bevat, ongeacht de maker.
23-02-2018, 10:31 door Anoniem
Door Anoniem: Ach probleem met "golden ticket" is ook nooit aangepakt.

??? Golden ticket gaat over diefstal van de sleutel/hash waarmee in een Kerberos-omgeving (MIT of Active Directory) de tickets worden ondertekend. Die hash is alleen toegankelijk voor personen/processen die toch al de hoogste rechten in de omgeving hebben. Daar is niks aan 'aan te pakken', anders dan goede operationele procedures.
23-02-2018, 10:35 door Anoniem
Door Anoniem:
Door The FOSS: DE KLOOTZAKKEN! (Microsoft)

Nee dat is geen accurate omschrijving, dit melden vóór de patch heet ook wel : pro-actief handelen

(danwel: wishful thinking)

Het heet: nodeloos onverantwoord handelen.

Ze hadden ook volwassen kunnen handelen en wel het lek melden, maar niet de details vrijgeven. Nu helpen ze hackers en brengen ze volstrekt nodeloos gebruikers in gevaar.

En ja, die 90 dagen is arbitrair gekozen, en nee, niet alles is in die tijd te fixen.

Zo had het ook gekund: https://www.theverge.com/2017/10/19/16502624/microsoft-google-security-patches-chrome-bug
23-02-2018, 10:38 door Anoniem
Door Anoniem: Tijd voor ons allemaal.om Microsoft voor de (amerikaanse) rechter te slepen.Met lekken in windows ligt onze veiligheid en privacy op straat. Veilig online winkelen, veilig online bankieren, of zelfs veilig chatten en /of webcammen..vergeet het maar. Ze moeten lekken patchen en anders wil ik die 600 euro voor mn Windows 10 laptop betaald van ze terughebben. Dan spaar ik nog ff door en koop een Mac.

Oh gij naieve Millenial.... LOL!!!!
23-02-2018, 14:55 door Anoniem
Door Anoniem: IN elk systeem worden gaten ontdekt, zeker als er hard aan wordt ontwikkeld. Wat belangrijk is hoe snel deze worden ge-patcht.

hammer op zijn kop!

zou het woordje kwaltitatief en robuust willen toevoegen in patchen:

binnen enkele dagen een patch vol automatisch krijgen die zonder problemen en herstarts en gedoe en down time binnen komt, dat is een game-changer!
24-02-2018, 10:27 door Anoniem
Android is gatenkaas bovenste plank en laat Google dat bagger systeem maar eens goed beveiligen.
25-02-2018, 10:19 door Anoniem
Door Anoniem: Android is gatenkaas bovenste plank en laat Google dat bagger systeem maar eens goed beveiligen.

doen ze... kun jij de patches binnen halen op je debiel? aan wat of wie ligt dat? <--- dit zijn retorische vragen!
25-02-2018, 11:06 door karma4
Door Linux4: Microsoft hoort ook in het rijtje GAFA inderdaad.
letter M ontbreekt, anders moeten we ook IBM Oracel SAP RedHat Canonical Dell Intel AMD Quantam ARM WD Toshiba Lenovo en veel meer meenemen. Linux is echt geen heilig iets, integendeel.een schaamlap voor te velen om verantwoordelijkheid af te schuiven. Nee het is open software niemand hoeft nog in de veiligheid te investeren en iets na te lopen, komt als een wonder gratis en voor niets. Loopt de boel vast dan.... mag je het zelf zien te doen niet gratis zeer duur met teveel verwijzen naar een ander.
26-02-2018, 11:47 door Krakatau
Door Aha: Nooit en te nimmer zul je ergens van mij bijdragen op het internet kunnen vinden waar ik een voorkeur uitspreek voor een bepaald merk/soort besturingssysteem, want ze zijn allemaal een verzameling elkaar nivellerende bugs en kwetsbaarheden met een dik laagje glazuur eroverheen.
Uit mijn mond kun je net zo goed verwachten dat zowel Apple Linux en Windows ieder op verschillende aspecten pruts software is. Nogmaals: Ik had geen voorkeuren, heb ze niet en zal ze nooit krijgen.

Als je op de hoogte bent van hoe de onderliggende techniek werkt en in elkaar zit dan kan je wel degelijk (onderbouwde) voorkeuren ontwikkelen. Zoals: de kreukelzones van een Trabant zijn waardeloos (want dat ding is van karton - nou ja, Duraplast).
26-02-2018, 18:31 door Anoniem
Door Krakatau:
Door Aha: Nooit en te nimmer zul je ergens van mij bijdragen op het internet kunnen vinden waar ik een voorkeur uitspreek voor een bepaald merk/soort besturingssysteem, want ze zijn allemaal een verzameling elkaar nivellerende bugs en kwetsbaarheden met een dik laagje glazuur eroverheen.
Uit mijn mond kun je net zo goed verwachten dat zowel Apple Linux en Windows ieder op verschillende aspecten pruts software is. Nogmaals: Ik had geen voorkeuren, heb ze niet en zal ze nooit krijgen.

Als je op de hoogte bent van hoe de onderliggende techniek werkt en in elkaar zit dan kan je wel degelijk (onderbouwde) voorkeuren ontwikkelen. Zoals: de kreukelzones van een Trabant zijn waardeloos (want dat ding is van karton - nou ja, Duraplast).

exact! maar het probleem is met mensen, die accepteren pas iets nieuws (zeker als het over inzicht gaat) als de hersentjes daar an toe zijn. dat kan even duren bij sommige specimens van de soort. sommigen zullen bepaalde dingen zelfs nooit begrijpen / inzien, ondanks dat ze er wel zijn... dat wordt dan de voedingsboden voor geloof. geloof ik (<- ironisch bedoeld)

er zijn hier types op dit forum die als een kind gaan gedragen en warrig reageren ivm reflecteren en nuanceren. heeft niets met leeftijd te maken, wel met mentale flexibiliteit die op latere leeftijd natuurlijk wel achteruit gaat bij mensen. en dat merken we ook in dit forum duidelijk. we weten allemaal wel wie :P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.