Ernstig 19 jaar oud Windows-lek eindelijk gedicht
Microsoft heeft gisteren een ernstig beveiligingslek in Windows gedicht dat al sinds Windows 95 aanwezig was en een aanvaller via een drive-by download kwetsbare computers liet overnemen, waarbij zowel de Enhanced Protected Mode (EPM) sandbox van Internet Explorer 11 als de Enhanced Mitigation Experience Toolkit (EMET) beveiligingstool van Microsoft konden worden omzeild.
De kwetsbaarheid in Windows Object Linking and Embedding (OLE) werd veroorzaakt door de manier waarop IE met geheugenobjecten omging. Onderzoekers van IBM ontdekten het probleem in mei van dit jaar en waarschuwden vervolgens Microsoft, dat gisteren met de update kwam. Verder onderzoek wees echter uit dat de kwetsbare code al in Windows 95 aanwezig was en via Internet Explorer 3.0 op afstand kon worden aangevallen.
IE 3.0 introduceerde namelijk Visual Basic Script waarmee een drive-by download kan worden uitgevoerd. In dit geval volstaat het bezoeken van een gehackte of kwaadaardige website met een kwetsbare Windowsversie en Internet Explorer om aanvallers willekeurige code op de computer uit te laten voeren. Volgens de onderzoekers laat het lek zien dat ernstige problemen soms lange tijd onopgemerkt kunnen blijven. "De kwetsbare code is tenminste 19 jaar oud en was de afgelopen 18 jaar op afstand te misbruiken", zegt onderzoeker Robert Freeman.
Hij merkt op dat de code zich lange tijd in het zicht verborgen heeft weten te houden en er in dezelfde Windowsbibliotheek veel andere bugs zijn ontdekt en gepatcht. Daarnaast laat het lek volgens Freeman zien dat er mogelijk nog meer soortgelijke problemen in Windows zijn die tot ernstige lekken kunnen leiden. Ondanks de leeftijd van de gisteren gepatchte bug hoeven gebruikers zich geen zorgen te maken. Volgens de onderzoekers zijn er geen aanwijzingen dat het lek in het verleden is aangevallen.
naar versie worden meegenomen... althans, volgens marketing.
naar versie worden meegenomen... althans, volgens marketing.
en hoe oud was het bash lek ook al weer in lynux ?...20 jaar..
20 jaar van valse veiligheid dus,maar wel in al die jaren arrogant doen over hoe veilig linux is.
hackers laten het links liggen,veiligheid door obscuriteit dus.
naar versie worden meegenomen... althans, volgens marketing.
en hoe oud was het bash lek ook al weer in lynux ?...20 jaar..
20 jaar van valse veiligheid dus,maar wel in al die jaren arrogant doen over hoe veilig linux is.
hackers laten het links liggen,veiligheid door obscuriteit dus.
naar versie worden meegenomen... althans, volgens marketing.
naar versie worden meegenomen... althans, volgens marketing.
Klopt als een bus, want IE maakt absoluut geen deel uit van de Windows kernel--Oh, wacht...
Beetje onzin dit. Niemand wist van het BASH-lek (tot voor kort dan) en hoe kun je 20 jaar onveilig zijn als het lek niet eens bekend is waardoor je het niet kan uitbuiten?
De cybercrimineel zal aan jou vertellen dat hij al jaren gebruik maakt van het bash-lek als hij jouw computer aanvalt.
Dat jij en vele anderen niet weten dat je computer zo lek als een mandje is hoeft niet te betekenen dat niemand dat weet.
Beetje onzin dit. Niemand wist van het BASH-lek (tot voor kort dan) en hoe kun je 20 jaar onveilig zijn als het lek niet eens bekend is waardoor je het niet kan uitbuiten?
De cybercrimineel zal aan jou vertellen dat hij al jaren gebruik maakt van het bash-lek als hij jouw computer aanvalt.
Dat jij en vele anderen niet weten dat je computer zo lek als een mandje is hoeft niet te betekenen dat niemand dat weet.
Het aanvallen van dit lek begon exact op het moment dat het bekend werd, en geen dag daarvoor. Dus ook geen 20 jaar.
Beetje onzin dit. Niemand wist van het BASH-lek (tot voor kort dan) en hoe kun je 20 jaar onveilig zijn als het lek niet eens bekend is waardoor je het niet kan uitbuiten?
De cybercrimineel zal aan jou vertellen dat hij al jaren gebruik maakt van het bash-lek als hij jouw computer aanvalt.
Dat jij en vele anderen niet weten dat je computer zo lek als een mandje is hoeft niet te betekenen dat niemand dat weet.
Het aanvallen van dit lek begon exact op het moment dat het bekend werd, en geen dag daarvoor. Dus ook geen 20 jaar.
Misschien niet in jouw situatie want je bent zeer waarschijnlijk niet interessant genoeg ;)
Anyway, het zou idd wat naief zijn om te denken dat (overheids)instanties zoals de NSA AIVD etc niet op de hoogte zijn van dit soort lekken...
Ze hebben vast een of meerdere teams die dagen / jaren lang naar kwetsbaarheden op zoek zijn en denk dan maar niet dat ze dit publiceren.... integendeel, het wordt ingezet om te spioneren!
Dus.... wees altijd sceptisch en leef niet met paardenkleppen op want ze (overheidsinstanties) houden de niets vermoedende burgers maar al te graag voor de gek.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
