Microsoft: "drag and drop" lek stelt niet veel voor
Gisteren verscheen er een nieuwe exploit voor een lek in Windows waardoor een aanvaller malware op een kwetsbaar systeem kan plaatsen en zelfs de machine kan overnemen. Microsoft zou op korte termijn het probleem niet willen oplossen en ziet het lek niet als een ernstig probleem.
De softwaregigant heeft nu publiekelijk gereageerd op het voorval en laat weten dat men nauw samen heeft gewerkt met security onderzoeker Matt Murphy. Uit het onderzoek van de softwaregigant zou blijken dat het lek alleen in zeer bijzondere situaties kan voorkomen.
Het probleem ontstaat alleen als er twee vensters open staan: een Internet Explorer venster, en de ander van een map. De gebruiker moet een object van het IE venster naar het mapvenster slepen. De timing moet heel precies zijn, want bij het overspringen van de vensters zou een kwaadaardige website de malware op het systeem kunnen plaatsen.
Microsoft erkent dat het een probleem is, maar vanwege de moeite die een aanvaller moet doen om het lek te misbruiken, zal het lek pas in de toekomst via een service pack worden verholpen.
onmogelijk was' om de exploits te benutten. Niet te min ging SANS drie
keer op infocon YELLOW en hebben heel wat windoze admins heel wat
overuurtjes liggen draaien. En dat kotsend-makend vingertje van die
kneuzen "tja, gebruikers moeten maar niet op websites komen waar ze
niets te zoeken hebben volgens ons"... Tja, dat die brakke software van hun
ervoor zorgt dat je dat ZELF niet hoeft te doen. Zelfs een Microsoft site had
ten tijde van de WMF exploit besmette bestanden op z'n server. Keej, ik surf
niet vaak naar griekse Microsoft sites maar toch. Als ik voor
elke 'voorspelling' van Microsoft 1 euro kreeg, die vervolgens helemaal niet
juist blijkt te zijn, was ik nu net zo rijk als William III.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
