Nieuws

"Beveiligingsplan Microsoft heeft gefaald"

dinsdag 4 januari 2011, 11:47 door Redactie, 9 reacties

Een nieuw ontdekt beveiligingsprobleem in Internet Explorer toont aan dat het Trustworthy Computing initiatief van Microsoft heeft gefaald. Dat zegt beveiligingsonderzoeker Jeremiah Grossman. Via een fuzzingtool ontdekte de Poolse onderzoeker Michael Zalewski meer dan honderd kwetsbaarheden in Internet Explorer, Firefox, Chrome, Safari en Opera. Eén van de lekken in Internet Explorer zou ook al bekend zijn bij Chinese hackers. Microsoft had Zalewski gevraagd om met het uitbrengen van de tool te wachten, maar de onderzoeker vond dat de softwaregigant geen geldige reden had gegeven waarom het zolang met patchen had gewacht.

"Voor mijzelf is niet het belangrijkste punt of Zalewski, Evans of welke onderzoeker dan ook zich verantwoord heeft gedragen", zegt Grossman. "De vraag die we ons moeten stellen is waarom na bijna een decennium van investeringen in Trustworthy Computing, deze problemen nog steeds aanwezig zijn, en zoals gedemonstreerd, zelf vaak voorkomen?"

Sandbox
Grossman vraagt zich af hoe het in 2011 nog steeds kan dat aanvallers slechts één beveiligingslek nodig hebben om de gehele machine over te nemen. "Bezoek een besmette website, open een kwaadaardig PDF of Word document, en het is game over." De oplossing ligt volgens Grossman in het implementeren van een sandbox. De aanvaller heeft dan minimaal twee lekken nodig om uit de sandbox te breken en het systeem over te nemen.

Google Chrome heeft het succes van het sandbox-model volgens de onderzoeker aangetoond, en inmiddels gebruikt ook Adobe een sandbox voor Adobe Reader. "Het is makkelijk voor te stellen dat Microsoft en Firefox met hun respectievelijke browsers en desktop software zullen volgen."

ImgBurn-lek laat aanvaller pc overnemen

Politie bestrijdt kinderporno met wasstraat

Reacties (9)

04-01-2011, 11:53 door [Account Verwijderd]

Onzin.
1) We weten niet hoe het zou zijn zonder het Trustworthy-initiatief
2) Er zijn ook veel lekken gevonden in Chrome, Safari, Opera en Firefox. Dus kennelijk doet Trustworthy het zo slecht nog niet (of doet iedereen het even slecht, 't is maar hoe je het bekijkt)
3) De oplossing ligt volgens Grossman in het implementeren van een sandbox. << goh laat dat nou net het geval zijn in Word 2010, Acrobat X en IE8...

04-01-2011, 13:07 door Anoniem

Door Donenzone:
goh laat dat nou net het geval zijn in Word 2010, Acrobat X en IE8...

Hoe kan 't dan dat er nog steeds in IE beveiligingslekken opduiken die full-control tot je computer geven? Dat lijkt me dan een slechte sandbox implementatie, en een reden om te kunnen aannemen dat trustworthy computing gefaald heeft.

04-01-2011, 13:10 door Skizmo

1) We weten niet hoe het zou zijn zonder het Trustworthy-initiatief

... dus werkt het. huh ???

2) Er zijn ook veel lekken gevonden in Chrome, Safari, Opera en Firefox. Dus kennelijk doet Trustworthy het zo slecht nog niet (of doet iedereen het even slecht, 't is maar hoe je het bekijkt)

Trustworthy werkt wel want andere apps hebben ook lekken. Deze logica is niet echt te volgen.

04-01-2011, 13:32 door SirDice

Door Anoniem:

Door Donenzone:
goh laat dat nou net het geval zijn in Word 2010, Acrobat X en IE8...

Hoe kan 't dan dat er nog steeds in IE beveiligingslekken opduiken die full-control tot je computer geven?

Waaruit blijkt dat die bugs full-control opleveren? Dat men controle heeft betekend niet automatisch full-control.

Er zijn overigens geen honderd lekken gevonden maar honderd bugs. Niet elke bug hoeft een lek te zijn.

04-01-2011, 14:38 door Didier Stevens

Er zijn verschillende soorten sandboxen, het is dus niet omdat er sandbox technologie in zit dat je automatisch van de hoogste beveiliging geniet.

Ten eerste moet je een geschikt OS gebruiken, Windows XP mist enkele features waar sandboxen gebruik van maken.
IE, Adobe Reader, ... gebruiken op Windows XP geeft je een zwakkere sandbox dan dezelfde software op Vista/7.

Ten tweede gebruiken niet alle applicaties automatisch een sandbox. IE7/8/9 en Microsoft Office 2010 gebruiken enkel een sandbox indien de oorsprong van het document niet vertrouwd wordt (zoals het Internet), of als de gebruiker er expliciet de opdracht toe geeft.

Ten derde verschillen de restricties van de verschillende sandboxen onderling nogal sterk. Vanuit de Google Chrome sandbox mag je zelfs niets lezen, laat staan schrijven. Vanuit de Adobe Reader X sandbox mag je niets schrijven, maar wel lezen. En vanuit de IE7/8/9 sandbox mag je wel schrijven naar een ander sandbox, zoals de Adobe Reader X sandbox.

Caveat emptor!

04-01-2011, 17:07 door Anoniem

Een vrij eenvoudige oplossing bestaat er in om niet permanent een "administrator account" te gebruiken op je PC. Het leven is veel eenvoudiger met wel gedefinieerde user accounts en je bespaart veel hoofdpijn

04-01-2011, 17:53 door Anoniem

Door Didier Stevens: Er zijn verschillende soorten sandboxen, het is dus niet omdat er sandbox technologie in zit dat je automatisch van de hoogste beveiliging geniet.

Ten eerste...
Ten tweede...
Ten derde...

Heerlijk, eindelijk iemand met verstand van zaken die commentaar geeft. Meteen mijn hele dag weer goed, vlak voordat ik af wilde sluiten en naar huis wilde gaan. DANK!

04-01-2011, 18:42 door Didier Stevens

Door Anoniem: Een vrij eenvoudige oplossing bestaat er in om niet permanent een "administrator account" te gebruiken op je PC. Het leven is veel eenvoudiger met wel gedefinieerde user accounts en je bespaart veel hoofdpijn

Correct. Maar een degelijke sandbox geeft je nog meer bescherming dan een LUA.

04-01-2011, 21:00 door Dev_Null

Grossman vraagt zich af hoe het in 2011 nog steeds kan dat aanvallers slechts één beveiligingslek nodig hebben om de gehele machine over te nemen.

Simpel - volgens mijn bescheiden mening - is het gehele Windows platfrom ontworpen om van afstand alles te kunnen controleren wat jij op je pc uitvreet. Dus een ingang is genoeg en je bent binnen.

Kijk maar eens objectief, met een open mind naar het aantal (operating system, applicatie, browser) "lekken" wat nog steeds word gevonden dat "remote code execution" toelaat.
http://www.microsoft.com/security/default.aspx

"Remote code execution" betekent dat iemand van afstand een programma op jouw computer kan uitvoeren, vermoedelijk zonder jouw medeweten als eigenaar van deze hardware.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer