Windows 8 kwetsbaar door missende Flash-update
Gebruikers van Internet Explorer 10 op Windows 8 lopen risico omdat een belangrijke beveiligingsupdate voor de ingebouwde Flash Player ontbreekt. Op 21 augustus verhielp Adobe verschillende ernstige lekken waardoor aanvallers het onderliggende systeem kunnen overnemen. Voor Windows 7, Vista en XP is een update beschikbaar, maar gebruikers van Windows 8 lopen risico.
Alleen Microsoft kan de in IE10 ingebakken Flash Player namelijk updaten. Hiermee volgt Microsoft het voorbeeld van Google, dat Flash Player ook in Chrome verwerkte en nu verantwoordelijk voor de updates is. En hoewel Google op dezelfde dag als Adobe een nieuwe Chrome-versie uitbracht, is de update voor IE10 nog altijd niet beschikbaar.
Update
"Security is vanzelfsprekend belangrijk voor ons en we werken direct samen met Adobe om ervoor te zorgen dat Windows 8-gebruikers veilig blijven. We zullen Flash in Windows 8 updaten wanneer noodzakelijk. De huidige Flash-versie in de Windows 8 RTM build beschikt niet over de laatste fix, maar we zullen een beveiligingsupdate via Windows Update binnen het GA tijdsframe verspreiden", aldus een woordvoerster tegenover Ed Bott.
Het 'GA tijdsframe' is echter 26 oktober, wat meer dan twee maanden is nadat Adobe de belangrijke updates uitbracht. Bott merkt op dat een soortgelijke houding ervoor zorgde dat Apple in de problemen raakte omdat het zeer traag was met het uitrollen van een belangrijke Java-update. Bott adviseert de ingebouwde Flash Player uit te schakelen, aangezien het niet te verwijderen is.
Voor mijn auto kijk ik ook niet steeds of er betere olie is, of iedere week de bandenspanning checken omdat dit net even veiliger is, hij moet het doen en af en toe naar de garage voor onderhoud (patches). Ik ben tenslotte ook geen automonteur die steeds optimaliseert.
Wat dus eigenljjk pleit dat de specialisten (programmeurs?) software zouden moeten schrijven die al in de basis security in design meeneemt en niet eerst de gewenste functionaliteit maakt en dan kijkt hoe dit te beveiligen.
Bij auto design gebeurd dit ook maar beperkt en deels gedreven door regelgeving.
Of moeten we bepaalde transacties niet meer rechtstreeks via het internet laten plaatsvinden (bankzaken bv)
Dus niet meer autorijden totdat de 'incidenten' beneden een aanvaardbaar peil zijn gezakt?
Het is denk ik zoeken naar een balans tussen een aanvaardbaar risico (incident kosten x aantal incidenten) en de kosten omdat risico te verkleinen of zo iets.
het in bouwen van een flash ik hoeft geen win 8 op naar windows9
met of zonder flash van adobe en kan je de flash uitschakelen. bij je service?
hoe veel ze er ook aan liggen sleutelen het blijft een van de onveiligste browsers van al. dat ze het echter standaard op ieder zijn pc gooien i.p.v. ze een keuze geven (zoals met de browserkeuze scherm bij windows update) voor welke browser men wilt gebruiken.
het probleem is dat microsoft niet alles zelf in de hand moet nemen. kijk nou eens bij de windows phone. als er serieuze lekken of bugs op zitten bij nokia of htc of samsung telefoons dan moet microsoft dat fixen omdat de htc/nokia/samsung dat niet mag en kan. en ze doen dat dan ook niet zo vaak, waardoor mensen al meerdere keren door middel van een lek of bug hun telefoon niet konden gebruiken voor dingen zoals internet bankieren.
als microsoft met zijn browser ook zo gaat doen heb ik medelijden met de mensen die hiermee hun gegevens kunnen verliezen, terwijl adobe of oracle al een hele tijd een oplossing klaar heeft liggen. dit zal mensen die er eventueel verstand van hebben steeds verder van internet explorer af helpen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
