Eerste zero-day in Window 8 ontdekt *update*
Het Franse beveiligingsbedrijf VUPEN beweert de eerste zero-day voor Windows 8 te hebben ontdekt. Zero-days zijn beveiligingslekken waarvoor nog geen beveiligingsupdate beschikbaar is. De kwetsbaarheid bevindt zich in Internet Explorer en maakt het mogelijk voor een aanvaller de ASLR, AntiROP, DEP en Protected Mode sandbox te omzeilen.
Volgens de beveiliger is het voor een succesvolle aanval niet nodig dat het slachtoffer Flash gebruikt. In Internet Explorer 10 zit een ingebakken versie van Adobe Flash Player.
Verkoop
Het bedrijf verkoopt informatie over beveiligingslekken aan klanten. Het gaat dan onder andere om overheden die hiermee hun eigen systemen kunnen beschermen, maar ook de systemen van anderen kunnen binnendringen.
"We verkopen alleen aan democratieën. Vanzelfsprekend respecteren we internationale regelgeving en verkopen alleen aan betrouwbare landen en betrouwbare democratieën", zo liet medeoprichter Chaouki Bekrar tijdens een eerder interview weten.
Verdere details kon VUPEN Security.nl op het moment van schrijven nog niet verstrekken, maar we hopen later met een update te komen.
Update
Bekrar laat tegenover Security.nl weten dat VUPEN verschillende beveiligingslekken heeft gecombineerd om de nieuwe beveiligingsmaatregelen in Internet Explorer 10 en Windows 8 te omzeilen, waaronder HiASLR, DEP, AntiRop en de nieuwe IE10 sandbox.
"De kwetsbaarheden waren lastig te vinden en het duurde vele weken om ze combineren", stelt Bekrar. De onderzoekers zouden al maanden voor de uiteindelijke versie van Windows 8 met het onderzoek naar het besturingssysteem zijn begonnen.
En hoe ziet het met Nederland in combinatie met de plannen van Opstelten?
'Betrouwbaar' is een erg vaag begrip en zeker niet vrij van verschillen van inzicht.
Verder zou 'betrouwbaar' ook nog een relatie kunnen hebben met $$$.
Het tweede klinkt natuurlijk beter
Volgens de beveiliger is het voor een succesvolle aanval niet nodig dat het slachtoffer Flash gebruikt. In Internet Explorer 10 zit een ingebakken versie van Adobe Flash Player.
Verkoop
Het bedrijf verkoopt informatie over beveiligingslekken aan klanten. Het gaat dan onder andere om overheden die hiermee hun eigen systemen kunnen beschermen, maar ook de systemen van anderen kunnen binnendringen.
Daar ga je al........ i hate to say 'i've sayd it!' but: I've Sayd it!!
Please learn English before you use it...
Don't tell me later on that I didn't say it, because I've said it to you.
Well, I didn't really say it, I wrote it, but you get what I mean...
Om Windows 8 te kunnen installeren dient men eerst kennis te nemen van het volgende:
- vóór Windows 8 installatie dient men vrijwillig zijn privacy in te leveren.
- mét de installatie van windows 8 dient men openheid te geven in zijn of haar digitale intellectuele eigendommen.
- mét de installatie van windows 8 geeft men zijn volledige vrijheid op.
-mét de installatie van windows 8, helpt men de overheid om zo BigBrother meer inzicht te geven.
denk niet dat ik verder hoeft te gaan. Mensen denk er serieus over na voor je uberhaupt dit gaat installeren.
er zijn genoeg andere opties, O.a linux mint, Backtrack, Whonix..
Maarja, aan de poll te zien van vorige week heeft bijna iedereen de optie: "als pasen en pinksteren op 1 dagvallen installeer ik Windows 8." dus veel installaties zulje hier niet gaan vinden denk ik lol ;)
Try whonix, heb hem nu runnen in een virtual box.. echt nice Miriam.
Daar ga je al........ i hate to say 'i've sayd it!' but: I've Sayd it!!
Wat jammer dat je er dan zulke spelfouten in maakt... Terwijl Google je had kunnen helpen deze te voorkomen (https://www.google.nl/search?q=+i+hate+to+say+%27i%27ve+sayd+it!%27+but%3A+I%27ve+Sayd+it!!&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:en-US:official&client=firefox-a)
Overigens vind ik de handelswijze van vupen nogal dubieus - openlijk exploits verkopen aan de hoogste bieder. Wat denk je dat die er mee gaat doen? Wapenhandel hebben we toch ook aan banden gelegd?
Om Windows 8 te kunnen installeren dient men eerst kennis te nemen van het volgende:
- vóór Windows 8 installatie dient men vrijwillig zijn privacy in te leveren.
- mét de installatie van windows 8 dient men openheid te geven in zijn of haar digitale intellectuele eigendommen.
- mét de installatie van windows 8 geeft men zijn volledige vrijheid op.
-mét de installatie van windows 8, helpt men de overheid om zo BigBrother meer inzicht te geven.
denk niet dat ik verder hoeft te gaan. Mensen denk er serieus over na voor je uberhaupt dit gaat installeren.
er zijn genoeg andere opties, O.a linux mint, Backtrack, Whonix..
Maarja, aan de poll te zien van vorige week heeft bijna iedereen de optie: "als pasen en pinksteren op 1 dagvallen installeer ik Windows 8." dus veel installaties zulje hier niet gaan vinden denk ik lol ;)
Je hoeft geen privacy in te leveren, als je geen microsoft account gebruikt, je kunt gewoon een lokale account aanmaken die los van de online meuk staat.
Openheid geven van je intellectuele eigendommen? ... oke dan
Ik geef geen vrijheid op, mijn vrijheid op Win8 is niets minder dan op Win7 of andere windows versies
Hoe geef ik de overheid inzicht in wat ik uitspook op mijn win8 pc.
Met andere woorden, je lult uit je nek kerel
OT: Vraag me af of dit ook werkt met IE10metro, gezien deze een hele verzameling meer veiligheden met zich mee brengt. Die vorige exploit werkte daar ook niet op, alleen op IE10desktop.
Daarnaast, elk OS heeft zulke zero-days.
[..]
Daar ga je al........ i hate to say 'i've sayd it!' but: I've Sayd it!!
Aangezien de toegevoegde waarde 0 is en je het toch verkeerd schrijft, zeg het dan gewoon niet !
Maar on-topic: ik blijf een vieze smaak houden bij dat VUPEN; over de rug van de privacy van burgers en integriteit van multionationals geld verdienen. En dat 'democratieën' argument is natuurlijk BS; neem b.v. Rusland.
Volgens de beveiliger is het voor een succesvolle aanval niet nodig dat het slachtoffer Flash gebruikt. In Internet Explorer 10 zit een ingebakken versie van Adobe Flash Player.
Verkoop
Het bedrijf verkoopt informatie over beveiligingslekken aan klanten. Het gaat dan onder andere om overheden die hiermee hun eigen systemen kunnen beschermen, maar ook de systemen van anderen kunnen binnendringen.
Daar ga je al........ i hate to say 'i've sayd it!' but: I've Sayd it!!
Als je dan een coole engelse one-liner gebruikt, zorg dan tenminste dat je spelling in orde is.
On-topic: Net Win8 op mijn systeem gezet, op het eerste gezicht een prima OS, nu nog zorgen dat ik standaard in de desktop omgeving draai en mijn startknop terughalen.
http://greenlantern.wikia.com/wiki/Sayd
http://dc.wikia.com/wiki/Sayd_(New_Earth)
Tip aan SST: Niemand zit te wachten op je mening over een OS wat je toch niet gaat gebruiken. Steek in plaats daarvan je energie in het schrijven van security artikelen, daar heb ik tenminste wel wat aan.
Tip aan SST: Niemand zit te wachten op je mening over een OS wat je toch niet gaat gebruiken. Steek in plaats daarvan je energie in het schrijven van security artikelen, daar heb ik tenminste wel wat aan.
Als hij dat had gekund had hij dat wel gedaan..
Het is makkelijk lullen over zaken waar je geen verstand van hebt, vandaar z'n grote mond over Windows 8..
W8 is toch zo super veilig ???
On Topic: Zij zijn echt niet de enige club die 0-days verkopen.... Daar zijn er al veel meer van en die verkopen en verhuren (!) inderdaad 0-days.
Graag een beetje bij de tijd blijven dus hahaha
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
