Microsoft onderzoekt Windows 7 Safari-lek (video)
Microsoft onderzoekt de melding van een mogelijk ernstig beveiligingslek in de 64-bit versie van Windows 7. Een beveiligingsonderzoeker genaamd "WebDEVil" publiceerde een tweet met daarin een proof-of-concept exploit voor Windows 7 64-bit in combinatie met Safari. Het bezoeken van een kwaadaardige pagina met Apple's browser veroorzaakte het gevreesde Blue Screen of Death (BSoD).
Volgens het Deense Secunia kan een aanvaller via de kwetsbaarheid ook willekeurige code op het systeem uitvoeren en zo de computer overnemen. Het probleem wordt veroorzaakt door een fout in win32k.sys. Het plaatsen van een iframe met daarin een grote "hoogte" attribuut, dat vervolgens via Apple Safari wordt geladen, zorgt ervoor dat het geheugen corrupt raakt.
Onderzoek
"Op dit moment onderzoeken we het probleem en zullen gepaste maatregelen nemen om ervoor te zorgen dat klanten beschermd zijn", aldus Jerry Bryant, group manager van Microsoft's Trustworthy Computing Group.
Het probleem is bevestigd op een volledig gepatchte 64-bit versie van Windows 7, maar mogelijk zijn ook andere versies en platformen kwetsbaar. Uit cijfers van Net Applications blijkt dat extreem weinig mensen met Windows 7 ook Apple Safari gebruiken.
Behalve de mensen die wel een certificaatje moeten aanvragen bij Apple, dat gaat namelijk vaak mis met IE of FF (en vaak goed met Chrome). Maar dan gebruik je Safari alleen voor de Apple sites natuurlijk...
Dat de rest van de wereld de problemen van dat ding (Google er maar eens op) met kunst- en vliegwerk afdekt is prima.
Maar wanneer er dan iemand blijkt te zijn die dat niet doet, is die dan fout?
Klinkt mij meer als een opeenstapeling in de oren: niet zo mooi van Safari, foute boel bij Windows.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
