Microsoft noodpatch voor gapend Windows gat
Het is goed mogelijk dat Microsoft binnenkort een noodpatch uitbrengt voor een zeer ernstig beveiligingslek in Windows, dat het laatst al probeerde te dichten. Het komt niet vaak voor dat de softwaregigant buiten de maandelijkse patchcyclus om met een "out-of-band" update komt, maar in dit geval zou het gerechtvaardigd zijn. De problemen kwamen aan het licht toen aanvallers een kwetsbaarheid in het Video ActiveX control begonnen te gebruiken om systemen met malware te infecteren. Een aantal dagen later werd bekend dat Microsoft al meer dan een jaar van het lek op de hoogte was en ook al met een patch was begonnen.
Ondanks de korte tijd tussen de eerste aanvallen en patchdinsdag van juli, wist het toch een update uit te brengen. Volgens beveiligingsexpert Tyler Reguly ging het om prutswerk, aangezien de patch alleen uit een killbit voor het kwetsbare ActiveX control bestond. Hiermee loste Microsoft het beveiligingslek niet op, maar schakelde wel de kwetsbare functionaliteit uit.
Diep in Windows
Reverse engineer expert Halvar Flake besloot het lek te onderzoeken en ontdekte waarom Microsoft zo'n probleem had met het ontwikkelen van een werkende patch. Het probleem zit namelijk veel dieper in Windows. Niet alleen Windows, maar ook software van andere ontwikkelaars gebruiken dezelfde functie. Volgens Flake is de killbit-oplossing dan ook duidelijk niet voldoende, aangezien er vast tal van andere manieren zijn om het probleem te misbruiken.
Als de kwetsbare functie in de software van derde partijen is beland, dan heeft Microsoft per ongeluk beveiligingslekken in de programma's van andere ontwikkelaars geïntroduceerd. Het kan echter de nodige moeite kosten om te bepalen of er een kwetsbare of niet-kwetsbare versie van de functie aanwezig is. "Als dit in 'third-party' producten terecht is gekomen, dan zal alleen een klein deel van de ontwikkelaars op tijd een patch uitbrengen."
Misbruik
Een bron binnen Microsoft laat weten dat de softwaregigant een out-of-band update voor de volgende patchdinsdag kan uitbrengen. Of Microsoft dit ook zal doen is waarschijnlijk afhankelijk of aanvallers ook de andere kwetsbare onderdelen gaan misbruiken.
Als ik het mis heb hoor ik het graag.
Bij bijvoorbeeld firefox is het vervelend dat je een aparte applicatie moet installeren zonder dat het direct gedownload word.
De stap word dan wel bewuster gemaakt en zal dus ook minder snel kunnen leiden tot misbruik, echt zoals gewoon staat dat de usability in de weg.
Dan moet ik zeggen dat het natuurlijk altijd nog de vraag is wie het veiligst is, maar dat is een heel ander topic
Overigens ben ik onmiddellijk met je eens dat ActiveX een groot gapend gat is en dat er heel veel security-gerelateerde issues met activeX zijn. Maar wat wil je dan ook, je gaat executable code downloaded van een untrusted netwerk, en dat vervolgens met de hoogste permissies uitvoeren. Dat lijkt me een redelijk recept voor een ramp. Overigens is het niet alleen maar slecht, ActiveX is een prima technologie op een lokaal netwerk, alleen een beetje proprietary.
Microsoft noodpatch voor gapend Windows gat
Terwijl in het eigen stuk staat :
Misbruik
Een bron binnen Microsoft laat weten dat de softwaregigant een out-of-band update voor de volgende patchdinsdag kan uitbrengen. Of Microsoft dit ook zal doen is waarschijnlijk afhankelijk of aanvallers ook de andere kwetsbare onderdelen gaan misbruiken.
Helemaal geen noodpatch dus, maar een lek, waar nog wat aan gedaan moet gaan worden.
Het gaat hier steeds meer op de telegraaf lijken...
[...]
Helemaal geen noodpatch dus, maar een lek, waar nog wat aan gedaan moet gaan worden.
Het gaat hier steeds meer op de telegraaf lijken...
Ja, het valt mij ook op, de laatste tijd -
Schreeuwerige koppen soms, die regelmatig niet de lading van de stukjes dekken.
Dat doet inderdaad denken aan krantenkoppen, waarvoor nogal eens hetzelfde geldt.
Verzoek aan de redactie:
Graag niet alleen aandacht voor de nieuwtjes, maar ook voor de koppen boven de stukjes.
De koppen zetten voor een deel de toon van de site, zeker bij de eerste indruk.
Onterecht schreeuwende koppen geven een vieze smaak.
Redactie, ga nou eens gewoon doen, want dit is gewoon te vies voor woorden.
Redactie, ga nou eens gewoon doen, want dit is gewoon te vies voor woorden.
Microsoft vangt als hoge boom nou eenmaal veel wind.
Maar de koppen boven de stukjes, die hebben mijns inziens beslist aandacht nodig, die koppen zijn regelmatig flink onzorgvuldig.
http://techworld.nl/technologie/8340/linus-torvalds-microsofthaat-is-een-ziekte.html
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
