Onofficiele patch voor ernstig Internet Explorer lek
Een beveiligingsonderzoeker heeft zelf een patch ontwikkeld voor een ernstig beveiligingslek in Internet Explorer 7. Na maanden van ontkenning gaf Microsoft vorige week toe dat zij voor het Universal Resource Identifier (URI) lek verantwoordelijk was. In eerste instantie liet de softwaregigant weten dat andere ontwikkelaars hun software moesten aanpassen, omdat de oplossing van Microsoft de functionaliteit van de programma's zou kunnen breken.
Voordat de update van Microsoft beschikbaar is, heeft onderzoeker "Hyperion", ook bekend als Hackbunny, een eigen patch uitgegeven. De 16KB grote update is geheel op eigen risico, en Microsoft raadt het gebruik van onofficieel updates altijd af.
In dit geval waarschuwt ook de ontwikkelaar zelf: "Deze patch is zwaar onder-getest en heeft geen enkele kwaliteitscontrole doorlopen. Wees dus zeer voorzichtig met installeren. Het is goed mogelijk dat deze patch het systeem onbruikbaar maakt. Als dit gebeurt, moet je in veilige modus herstarten, zodat je misschien de patch kunt verwijderen, of misschien ook niet." Wanneer Microsoft met een update komt is nog altijd niet bekend.
toch de patch gaan installeren, dan is het direct duidelijk waarom ze ook
Windows gebruiken. Die krijg je namelijk met een zelfde waarschuwing...
Use at your own risk...
patch.
lijkt me.
beter een inofficiele patch, dan eindeloos wachten op een MS
patch.
lijkt me.
Er zijn genoeg onofficiele patches geweest waarmee je gratis "extratjes"
op je systeem kreeg. Waarom zou ik deze gast vertrouwen?
onofficiële patches leiden tot grotere problemen dan doorwerken met een
exploit die je al die tijd al had en waar je nog geen last van hebt gehad.
Er komen steeds meer onofficiële patches (== trend). Als voorbeeld: Apple
had een security vulnerability in Java na 3 maanden nog niet gedicht. Toen
heeft Landon Fuller, een voormalig Apple BSD Technology Group
Engineer, een patch ontwikkeld en gereleased, inclusief de broncode.
Dat is 'handig' omdat iedereen kan kijken of er een backdoor in de patch is
ingebouwd of niet, etc. Maar al zou iemand die sourcecode kunnen lezen
en begrijpen, dan kunnen vaak niet controleren of de executable patch wel
is gecreeerd adhv de meelegeverde sourcecode. Dus deze kan wel een
backdoor bevatten. Natuurlijk kan je dan zelf de sourcecode compileren
om er zeker van te zijn, maar de hoeveelheid mensen met de kennis om
de sourcecode te valideren en de juiste compilers is niet zo groot.
Er zullen zelfs legio mensen zijn die blindelings de onofficiële patch
installeren zonder te weten wat ze doen...
Zelfs al is de sourcecode goed en kan iemand de executable patch zelf
compileren, dan nog is er de stabilieteit. De patch zal echt wel werken voor
degene die het ontwikkeld heeft, anders had deze wel verder gezocht. Maar
de kleine omgeving van de onofficiële patch ontwikkelaar zal niet afdoende
zijn om gedegen QA te doen.
Onofficiële patches kunnen leiden tot crashes of andere onverwachte
bijkomstigheden die moeilijk zullen te analyseren zijn omdat patch-levels
van de verschillende software niet zullen aangeven dat er een 3rd party
patch is gebruikt.
Righard Zwienenberg
Chief Research Officer
Norman
andere onverachte bijkomstigheden die moeilijk zullen te
analyseren zijn omdat patch-levels van de verschillende
software niet zullen aangeven dat er een 3rd party patch is
gebruikt ...
Alsof de patches van de gerenommeerde kwaliteitsleverancier
Microsoft zelf nooit problemen geven?!
Wijzigingen aan je systeem moet je *altijd* testen.
In mijn eigen ervaring echter, kan ik er onder BSD en linux
redelijk op vertrouwen dat de patches goed werken. Met
Windows is het altijd maar weer de vraag wat er nu weer
onderuitgehaald wordt (door officiële patches!).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!