Nieuw 0day beveiligingslek in Internet Explorer
Beveiligingsonderzoeker Thor Larholm heeft een nieuw 0day lek in Internet Explorer gevonden waardoor aanvallers shell commando's met willekeurige opties kunnen uitvoeren. Om het lek te misbruiken is alleen het bezoeken van een kwaadaardige pagina voldoende, verdere interactie van de gebruiker is niet vereist. Het probleem doet zich voor omdat IE in sommige gevallen ShellExecute aanroept zonder de meegegeven input te valideren.
Het input probleem werd eerder door Larholm binnen twee uur ook in de beta versie van Safari gevonden. De exploit die de onderzoeker nu heeft ontwikkeld maakt het mogelijk om willekeurige argumenten aan het "firefox.exe" proces toe te voegen. "En daar heb je het, een cross browser command injectie lek voor Internet Explorer," laat Larholm weten, die tevens ook Windows Help Center en Office Groove 2007 aan het onderzoeken is.
is 0day. Maar volgens mag je het pas 0day noemen als het lek ook echt in
het 'wild' gebruikt word door hackers....
exploit voor is, is de term zero-day natuurlijk qua
marketing niet te overtreffen. Wel een stunt van larholm,
het lek bekend maken op de dag dat de patches uitgerold worden.
Afgezien van het feit dat er waarschijnlijk morgen wel een
exploit voor is, is de term zero-day natuurlijk qua
marketing niet te overtreffen. Wel een stunt van larholm,
het lek bekend maken op de dag dat de patches uitgerold worden.
Laatst is uit onderzoek van McAfee naar voren gekomen dat het uitbrengen
van beveiligingslekken totaal geen verband hebben met de update cycle
van Microsoft.
Vergeet niet dat Microsoft gemiddeld meer dan 3 maanden nodig heeft om
een bug te onderzoeken, kijken wat er omheen zit en mogelijk ook lek is,
een patch maken, deze omzetten naar diverse OSen en Talen, testen van
alle gemaakte patches en dan uitbrengen... Dus op welke dag je zoiets
bekend maakt maakt niet echt heel veel uit...
IE kwetsbaar te maken....
Is dit niet gewoon een Beveiligingslek, alles wat namelijk gevonden word
is 0day. Maar volgens mag je het pas 0day noemen als het lek ook echt in
het 'wild' gebruikt word door hackers....
Een 0 day is een lek dat nog niet door de vendor gepatched is, het is niet
relevant of het "nu" wordt misbruikt, het kan, en daar gaat het om. -D-
Het ironische is dat je Firefox geinstalleerd moet hebben om
IE kwetsbaar te maken....
Bij Microsoft zullen ze dus niet alle hens aan dek brengen om dit te
patchen. Waarschijnlijk gaat 't advies/workaround luiden: "Gebruik IE en
geen Firefox of Safari"
En/of ze zullen zeggen dat 't "by design" is... ;-) Zou ook niet de eerste keer
zijn.
vandaag?
Ik krijg zo vermoedens....
een vraag om een externe toepassing te starten (external
protocol request).
De launch-knop werkt pas na enkele seconden. Klik ik daarop,
en vink ik ook de optie aan om deze vraag niet meer te
krijgen, dan krijgt FF2 (default) het heel druk met nieuwe
tabjes openen :)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
