Google onthult actief aangevallen zerodaylek in Windows-kernel
Google heeft details openbaar gemaakt over een zerodaylek in de Windows-kernel dat actief wordt aangevallen en een beveiligingsupdate van Microsoft is nog niet beschikbaar. Mogelijk is het Windows-lek in combinatie met een ander zerodaylek gebruikt om Chrome-gebruikers aan te vallen.
Via de kwetsbaarheid die in Windows 7 tot Windows 10 aanwezig is kan een aanvaller die al toegang tot een systeem heeft zijn rechten verhogen of uit een sandbox ontsnappen. Het beveiligingslek werd op 22 oktober aan Microsoft gerapporteerd. Normaliter geeft Google ontwikkelaars en bedrijven negentig dagen de tijd om gerapporteerde kwetsbaarheden te verhelpen. Aangezien het om een actief aangevallen beveiligingslek gaat hanteert Google een deadline van zeven dagen.
Microsoft heeft in die zeven dagen geen beveiligingsupdate uitgebracht, waarop Google de details van het lek, aangeduid als CVE-2020-17087, openbaar maakte. Google verwacht dat er op 10 november een update voor de kwetsbaarheid zal verschijnen. Microsoft brengt elke tweede dinsdag van elke maand beveiligingsupdates uit en wijkt daar alleen vanaf als kwetsbaarheden bijvoorbeeld op grote schaal worden aangevallen. Volgens Google is het lek bij gerichte aangevallen ingezet. Het door Google onthulde zerodaylek kan daarnaast alleen in combinatie met een ander lek of vanaf een al gecompromitteerd systeem worden gebruikt, wat de impact beperkt.
Op dinsdag 20 oktober patchte Google een actief aangevallen zerodaylek in Chrome. Die kwetsbaarheid alleen is niet voldoende om systemen te compromitteren en moet voor dat doel met een ander lek worden gecombineerd. Het kan dan om het nu onthulde zerodaylek in Windows gaan. Vorig jaar werd een soortgelijk lek in Windows gecombineerd met een Chrome-lek om gebruikers van Googles browser aan te vallen.
De “actieve” aanvallen bestaan uit twee fases: 1. Een actieve aanval op een Google Chrome beveiligingslek, 2.
Vervolgens kon er een aanval op het Microsoft lek plaatsvinden.
Als Chrome up-to-date is dan hebben deze actieve aanvallen dus geen effect.
Tuurlijk, er zit een lek in Microsoft Windows, MS moet deze idd dichten, maar dit lek is NIET actief aangevallen. Het lek in Chrome is wel actief aangevallen.
Wel heel slim van Google Marketing om de nadruk van de actief aangevallen Chrome bug te verleggen naar een Microsoft beveiligingslek, maar trap er niet in!
Bedrijven die kwetsbaarheden als marketing gebruiken zijn w.m.b. fout bezig.
Maar ja als je elkaar wat kapot kan maken.....
De “actieve” aanvallen bestaan uit twee fases: 1. Een actieve aanval op een Google Chrome beveiligingslek, 2.
Vervolgens kon er een aanval op het Microsoft lek plaatsvinden.
Als Chrome up-to-date is dan hebben deze actieve aanvallen dus geen effect.
Tuurlijk, er zit een lek in Microsoft Windows, MS moet deze idd dichten, maar dit lek is NIET actief aangevallen. Het lek in Chrome is wel actief aangevallen.
Wel heel slim van Google Marketing om de nadruk van de actief aangevallen Chrome bug te verleggen naar een Microsoft beveiligingslek, maar trap er niet in!
Bedrijven die kwetsbaarheden als marketing gebruiken zijn w.m.b. fout bezig.
Maar de aanval had wel effect op Chrome omdat er ook een zeroday in Chrome zat. Dus ook al was Chrome up-to-date, had je nog steeds de Sjaak kunnen zijn. En het lek is in Windows WEL actief aangevallen. Lees aub beter voordat je reageert. Wat betreft het gebruik van kwetsbaarheden als marketing heb je wel gelijk, daar heeft Google zeker een handje van.
Maar ja als je elkaar wat kapot kan maken.....
Leg eens uit ?
Wat is volgens jou de nette manier van werken als je een actief aangevallen lek ontdekt in een OS/applicatie ?
"actief aangevallen" betekent 'de bad guys weten het al'
De “actieve” aanvallen bestaan uit twee fases: 1. Een actieve aanval op een Google Chrome beveiligingslek, 2.
Vervolgens kon er een aanval op het Microsoft lek plaatsvinden.
Uh - de actieve aanval op de kernelbug bestaat uit _enige_ manier om een lokaal binnen te komen. Een lek in Office volstaat ook.
Als Chrome up-to-date is dan hebben deze actieve aanvallen dus geen effect.
Als er geen sprake is van enig ander lek waardoor een aanvallen code op een account kon uitvoeren.
Ik zie nergens dat het _alleen_ exploitable was via een chrome lek.
Tuurlijk, er zit een lek in Microsoft Windows, MS moet deze idd dichten, maar dit lek is NIET actief aangevallen. Het lek in Chrome is wel actief aangevallen.
Waar lees je dat het kernel lek NIET actief aangevallen werd ?
Als je ongewone verwerkingen niet in de gaten hebt dan is er veel meer om op orde te brengen. Waarom is browser lek?
Maar ja als je elkaar wat kapot kan maken.....
Leg eens uit ?
Wat is volgens jou de nette manier van werken als je een actief aangevallen lek ontdekt in een OS/applicatie ?
"actief aangevallen" betekent 'de bad guys weten het al'
Ze hadden even moeten wachten tot de volgende security update vam Microsoft
Anders zijn alle browsers gebaseerd op Chromium kwetsbaar. Dus ook de nieuwe Edge.
Anders zijn alle browsers gebaseerd op Chromium kwetsbaar. Dus ook de nieuwe Edge.
Bedenk: Microsoft heeft een flinke lading fouten er uit gehaald toen ze de chromium kernel integreerden
Anders zijn alle browsers gebaseerd op Chromium kwetsbaar. Dus ook de nieuwe Edge.
Maar ja als je elkaar wat kapot kan maken.....
Leg eens uit ?
Wat is volgens jou de nette manier van werken als je een actief aangevallen lek ontdekt in een OS/applicatie ?
"actief aangevallen" betekent 'de bad guys weten het al'
Ze hadden even moeten wachten tot de volgende security update vam Microsoft
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.