Microsoft al maanden bekend met omvangrijk Windows-lek
Een omvangrijk beveiligingslek dat honderden Windows applicaties treft, is al maanden bekend bij Microsoft. Vorige week werd er eerst gewaarschuwd voor een nieuw lek in zo'n veertig applicaties, waaronder de Windows shell. Een aanvaller zou een legitieme applicaties kwaadaardige bestanden kunnen laden. Het bedrijf dat beweert het lek gevonden te hebben, noemt het "remote binary planting". Een dag later werd bekend dat het probleem in bijna alle Windows applicaties zit. Het is echter de vraag of het om een geheel nieuwe kwetsbaarheid gaat.
Volgens beveiligingsonderzoeker H.D. Moore is het probleem mogelijk al tien jaar geleden gerapporteerd. Hij wijst naar deze melding, die een 'Microsoft Windows DLL Search Path Weakness' beschrijft.
Rapport
Dit weekend liet een andere onderzoeker weten dat hij al maanden geleden de kwetsbaarheid aan Microsoft heeft gerapporteerd. In januari publiceerden Taeho Kwon en Zhendong Su van de Universiteit van Californië het rapport "Automatic Detection of Vulnerable Dynamic Component Loadings." Het tweetal omschrijft een manier voor het laden van 1.700 onveilige DLL-bestanden in 28 populaire programma's.
Microsoft
"Microsoft heeft een Microsoft Security Response Center (MSRC) zaak over onze gerapporteerde problemen geopend en werkt met ons samen om de vereiste patches te ontwikkelen", zo is in het rapport te lezen. In totaal vonden de onderzoekers 19 lekken die eenvoudig op afstand zijn te misbruiken voor het uitvoeren van willekeurige code. Het gaat onder andere om Firefox, Winamp, Office en andere bekende programma's. In veel gevallen zijn de geteste versies al geruime tijd door een nieuwere versie vervangen. Het is echter onbekend of hier ook de "resolution failure" en "resolution hijacking" problemen bij behoren. Het rapport van Kwon en Su werd tijdens het 'International Symposium on Software Testing and Analysis' (ISSTA) in juli gepresenteerd.
"Ons onderzoek toont dat het onveilig laden van DLL-bestanden veel voorkomt en tot ernstige dreigingen kan leiden. Onze tool detecteerde meer dan 1.700 onveilige DLL loadings in populaire software van de meeste leveranciers. Het ontdekte ook potentiële remote code execution aanvallen die het onveilig laden van DLL's misbruiken", aldus de onderzoekers.
Greetingz,
Jacco
Lang leve de open-source!!!!
Greetingz,
Jacco
Te grappig
Lang leve de open-source!!!!
Ofwel is dit pure flame bait, ofwel heb jij nog nooit freeware geïnstalleerd onder Windows. Buiten Windows XP (OEM), Nero (OEM) en Forté Agent is er op mijn PC enkel freeware (ook open source) te vinden. Programma's als avast! en Online Armor vragen idd om een e-mailadres, maar van avast! heb ik nog nooit spam ontvangen. Online Armor stuurt je 1 (één) mail bij registratie en als (ALS) er al een tweede volgt, dan kan je je makkelijk uitschrijven.
Wat jij dus beweert is onzin. Ik heb een gratis cjb.net domain en gebruik unieke adressen als me ergens registreer (bijv. security.nl@[domain].cjb.net). Dus als ik spam ontvang, dan weet ik dadelijk van welk domein het komt. Groot nieuws voor jou: ik ontvang géén spam van de freeware die ik gebruik.
Lang leve de open-source!!!!
Nee hoor, de Windows-fanboys zijn blij dat het product Windows zo goed bekeken wordt door zoveel mensen, dat er zoveel bug/security-issue's naar boven komen. Hoe meer men over het product weet, hoe veiliger het uiteindelijk wordt. Verder denk ik dat je lekker de confrontatie probeert op te zoeken en dat je met je puberale geleuter als een echte dombo overkomt. Ik ben ook erg blij dat je helemaal bent overgestapt op open source, maar ik snap niet wat je met je "post" (als ik het al zo mag noemen) probeert te bereiken.
Ik denk dat hij het vooral had over de reclame die in de software zelf zit ingebakken, i.p.v e-mails e.d.
Voor avast! is dat (sinds 5.x, denk ik) wel het geval, maar dat gebeurt enkel als ik de avast user interface open. Dan krijg je onderaan wat reclame. Voor de andere freeware die ik gebruik is dat (voor zo ver ik me kan herinneren) niet het geval. Dus wat mij betreft blijft die stelling onzin. :-)
ej__, betaal jij dan de schadeclaims van alle bedrijven met productieuitval? Vergeet niet dat MS toch op heel veel plaatsen is geinstalleerd en dat bedrijven zonder computers tegenwoordig weinig meer kunnen.
Het probleem moet worden gepatched, ja, maar ik denk dat dan veel software leveranciers ook aan de gang moeten, om te zorgen dat hun apps het daarna ook nog doen. Als ik dan kijk hoe lang het duurt, voor softwarebedrijven een aanpassing hebben, dan is dat in een aantal gevallen bedroevend...
http://www.theregister.co.uk/2010/08/24/binary_planting_attack_advisory/
Te grappig
Lang leve Wine.... werkt de meeste windows progjes zelfs op linux...
Ach, ik kan me nog iets herinneren van een lek in OpenSSL wat ook een jaar of wat geduurd heeft eer men dat serieus wilde nemen. Dus, in de praktijk maakt het niet zo veel uit welk OS je draait.
Bovendien zal er vast een risico analyse aan ten grondslag liggen, als het exploit risico laag ligt en de kosten om te patchen hoog dan neem je als bedrijf dat risico.
Veel mensen snappen dat niet en denken dat er een ideale wereld bestaat, maar helaas die bestaat niet. Ook binnen OSS wordt niet altijd alles gepatcht, dat is soms helemaal niet nodig.
ej__, betaal jij dan de schadeclaims van alle bedrijven met productieuitval? Vergeet niet dat MS toch op heel veel plaatsen is geinstalleerd en dat bedrijven zonder computers tegenwoordig weinig meer kunnen.
Het probleem moet worden gepatched, ja, maar ik denk dat dan veel software leveranciers ook aan de gang moeten, om te zorgen dat hun apps het daarna ook nog doen. Als ik dan kijk hoe lang het duurt, voor softwarebedrijven een aanpassing hebben, dan is dat in een aantal gevallen bedroevend...
Wat is er mis met productaansprakelijkheid? Waarom zou _ik_ dat moeten betalen? Microsoft laat de steek vallen, niet ik. Het is van den gekke dat die elke aansprakelijkheid denkt te kunnen afwijzen.
Te grappig
Ik denk dat veel mensen hier niet anti-windows zijn, maar anti-proprietary (lees restricted) software. De keuze voor een vrij systeem als Linux ligt dan voor de hand. De enige reden die ik kan bedenken dat je dat een "handicap" noemt, is dat je zelf nog nooit met iets anders dan Windows heb gewerkt.
Dat de dingen anders gaan dan je gewend bent als je overstapt op een ander OS, betekent niet dat het minder goed gaat. Na jaren lang Windows te hebben gebruikt en dik twee jaar OSX ervaar ik Linux juist als een bevrijding van een handicap.
Het enige wat minder goed gaat op Linux is het spelen van de nieuwste games. Dat ligt echter niet aan het OS, maar aan de makers van de games.
Met andere woorden, jouw stelling is van geen enkele waarde en komt op mij in elk geval ontzettend dom over.
Ja, ik hoor het al, maar Linux/OSS is gratis en Windows niet en daar kun je onderscheid in maken qua wetgeving. Inderdaad, dat kan. Wat dan ook kan is dat MS vervolgens Windows helemaal gratis maakt om zo die aansprakelijkheid te ontlopen. Ook niet wat je wilt lijkt me.
Niet de zaak omdraaien en het probleem dan bij OSS neerleggen. Dat is niet waar het hoort. En als Microsoft het businessmodel zodanig verandert dat zij hun software gratis leveren, dan gaan ze onder dezelfde voorwaarden als OSS vallen. Eerder niet.
Microsoft gaat zeer ernstig de fout in en laat een ander er voor opdraaien. Dat is toch de omgekeerde wereld en doet geen recht aan rechtvaardigheidsgevoelens...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
