Microsoft onderzoekt Windows 7 Safari-lek (video)
Microsoft onderzoekt de melding van een mogelijk ernstig beveiligingslek in de 64-bit versie van Windows 7. Een beveiligingsonderzoeker genaamd "WebDEVil" publiceerde een tweet met daarin een proof-of-concept exploit voor Windows 7 64-bit in combinatie met Safari. Het bezoeken van een kwaadaardige pagina met Apple's browser veroorzaakte het gevreesde Blue Screen of Death (BSoD).
Volgens het Deense Secunia kan een aanvaller via de kwetsbaarheid ook willekeurige code op het systeem uitvoeren en zo de computer overnemen. Het probleem wordt veroorzaakt door een fout in win32k.sys. Het plaatsen van een iframe met daarin een grote "hoogte" attribuut, dat vervolgens via Apple Safari wordt geladen, zorgt ervoor dat het geheugen corrupt raakt.
Onderzoek
"Op dit moment onderzoeken we het probleem en zullen gepaste maatregelen nemen om ervoor te zorgen dat klanten beschermd zijn", aldus Jerry Bryant, group manager van Microsoft's Trustworthy Computing Group.
Het probleem is bevestigd op een volledig gepatchte 64-bit versie van Windows 7, maar mogelijk zijn ook andere versies en platformen kwetsbaar. Uit cijfers van Net Applications blijkt dat extreem weinig mensen met Windows 7 ook Apple Safari gebruiken.
Behalve de mensen die wel een certificaatje moeten aanvragen bij Apple, dat gaat namelijk vaak mis met IE of FF (en vaak goed met Chrome). Maar dan gebruik je Safari alleen voor de Apple sites natuurlijk...
Dat de rest van de wereld de problemen van dat ding (Google er maar eens op) met kunst- en vliegwerk afdekt is prima.
Maar wanneer er dan iemand blijkt te zijn die dat niet doet, is die dan fout?
Klinkt mij meer als een opeenstapeling in de oren: niet zo mooi van Safari, foute boel bij Windows.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security Specialist Malware
NCSC
Zit cybersecurity diep in je DNA? Heb jij het in je om op het moment dat het er echt toe doet samen met je collega’s tot de juiste (technische) oplossing te komen? Als security specialist malware bij het Nationaal Cyber Security Centrum (NCSC) doe jij er alles aan om de impact van digitale dreigingen te verminderen en incidenten tegen te gaan.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!