Nieuws

Frans bedrijf hield Explorer-lek 3 jaar lang geheim

donderdag 24 juli 2014, 16:38 door Redactie, 15 reacties

Het Franse beveiligingsbedrijf VUPEN heeft een beveiligingslek in Internet Explorer 3 jaar lang geheim gehouden voordat het de kwetsbaarheid aan Microsoft rapporteerde. Het gaat om een kwetsbaarheid in IE8, IE9, IE10 en IE11 waardoor een aanvaller zijn rechten kan verhogen.

De kwetsbaarheid, waarvan de omschrijving vorige week door het bedrijf werd gepubliceerd, werd door VUPEN gebruikt tijdens de Pwn2Own-hackerwedstrijd. Tijdens deze wedstrijd moesten hackers en onderzoekers lekken in populaire browsers en browserplug-ins zien te vinden. Het 3-jaar oude IE-lek werd in combinatie met één of meer andere lekken gebruikt om een computer met Windows 8.1 over te nemen.

Het uit 2011 stammende lek laat een aanvaller namelijk geen willekeurige code op de computer uitvoeren wat hiervoor vereist is. Voor de succesvolle hack van IE ontving het bedrijf 100.000 dollar. Wat VUPEN verder aan het lek heeft verdiend is onbekend. Het Franse bedrijf verkoopt namelijk informatie over zero day-kwetsbaarheden, lekken waarvoor nog geen update beschikbaar is, aan allerlei partijen.

Om aan Pwn2Own mee te mogen doen moest het bedrijf akkoord gaan met de voorwaarde dat gebruikte lekken ook aan de organisatie en betreffende leverancier gemeld werden. In totaal gebruikte en onthulde VUPEN tijdens het evenement 11 verschillende zero day-lekken in Firefox, IE, Chrome, Adobe Reader en Adobe Flash Player. Het 3-jaar oude IE-lek werd op 10 juni van dit jaar door Microsoft gepatcht.

Italië geeft Google deadline om aan privacyregels te voldoen

Sony schikt inbraak op PSN-netwerk voor 15 miljoen dollar

Reacties (15)

24-07-2014, 16:45 door Anoniem

... DAAR zou nu een wet tegen moeten bestaan!

24-07-2014, 16:54 door Markcortbass

@Anoniem 16:45
Je bedoelt de wet van opensource software? ;)

24-07-2014, 16:59 door Eric-Jan H te D

Dit riekt naar moedwillige verlating van een slachtoffer.
Strafbaar volgens de Nederlandse wet.

24-07-2014, 17:13 door Anoniem

Door Eric-Jan H te A: Dit riekt naar moedwillige verlating van een slachtoffer.
Strafbaar volgens de Nederlandse wet.

Zelfs erger, want ze verkopen die lekken en ondersteunen daarmee dus criminelen. In feite zijn dus gewoon medeplichtig aan iedere hack die de laatste jaren via IE is gezet.

Peter

24-07-2014, 17:25 door Anoniem

Want, Anoniem 16:45, als je iets verbiedt dan is het er niet meer. Wat een geleuter.

24-07-2014, 17:30 door Anoniem

Zo bestaan er ook oplossingen/medicatie/therapie voor nog 'onbehandelbare'/ongeneeselijke aandoeningen, betreffende artsen wachten alleen nog tot er een multi-milionair aan lijdt ?! ;)

Oh w8 ff dit klopt ook nog ook ... er bestaan (buitenlandse/niet westerse bewezen methodes) om b.v. astma en reuma te GENEZEN, maar dat willen we hier in het westen ook "niet weten"

24-07-2014, 17:38 door Anoniem

Aan het National Sadist Agency mss?

24-07-2014, 18:23 door Anoniem

Ah, wel braaf verse lekken gebruiken voor je hoedjesdraagwedstrijden, anders valt het zo op, VUPEN.

24-07-2014, 18:25 door Anoniem

En als Microsoft dan geen backdoor(s) zou bevatten, dan weet de NSA, VUPEN, Hackingteam wel een weg naar binnen.

Het hele ge-update wat ons steeds word aangeraden heeft sowieso weining zin.

Hoogstens tegen de bankcrimineel.

Ben onlangs over op een Linuxkloon die iets veiliger is.

24-07-2014, 19:03 door Anoniem

No shit, dit is danook hun business model. En de Franse overheid is er waarschijnlijk maar wat blij mee dat ze Frans zijn.

24-07-2014, 19:49 door GeminiAlpha

Kun je bij VUPEN kwetsbaarheden kopen? Is dat het nieuwste verdienmodel?

24-07-2014, 21:37 door Anoniem

Natuurlijk is het legaal wat VUPEN doet, ze betalen toch belasting?

24-07-2014, 23:36 door [Account Verwijderd] - Bijgewerkt: 24-07-2014, 23:37

[Verwijderd]

25-07-2014, 14:20 door Anoniem

"... DAAR zou nu een wet tegen moeten bestaan!"

Wat zou men verbieden ? Het niet publiceren van iets wat je weet ?

02-08-2014, 11:57 door Anoniem

Door Anoniem: Zo bestaan er ook oplossingen/medicatie/therapie voor nog 'onbehandelbare'/ongeneeselijke aandoeningen, betreffende artsen wachten alleen nog tot er een multi-milionair aan lijdt ?! ;)

Oh w8 ff dit klopt ook nog ook ... er bestaan (buitenlandse/niet westerse bewezen methodes) om b.v. astma en reuma te GENEZEN, maar dat willen we hier in het westen ook "niet weten"

gaat het leker met je alu hoedje op?

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer