image

Zero day-lek in IE na 7 maanden zonder update bekendgemaakt

maandag 8 december 2014, 17:34 door Redactie, 8 reacties

Beveiligingsbedrijf TippingPoint heeft na 7 maanden een beveiligingslek in Internet Explorer bekendgemaakt waarvoor nog altijd geen update beschikbaar is, omdat Microsoft teveel tijd nodig heeft voor het ontwikkelen van een patch. Via het lek kan een kwaadwillende in het ergste geval volledige controle over de computer krijgen als er met een kwetsbare IE-versie een kwaadaardige of gehackte website wordt bezocht.

Microsoft werd op 3 juni van dit jaar over de kwetsbaarheid ingelicht en bevestigde op dezelfde dag nog het probleem. TippingPoint hanteert echter een deadline van 120 dagen. Binnen die tijd moet de ontwikkelaar in kwestie een update hebben ontwikkeld, anders zullen bepaalde details worden vrijgegeven. Ontwikkelaars kunnen echter meer tijd krijgen om een update te ontwikkelen. In het geval van dit IE-lek liet Microsoft op 14 november echter weten dat het ook niet binnen 180 dagen met een update zou komen.

Vervolgens waarschuwde TippingPoint dat het de kwetsbaarheid in december zou openbaren en vroeg Microsoft advies wat gebruikers in afwachting van de update kunnen doen om zich te beschermen. IE-gebruikers krijgen het advies om de Enhanced Mitigation Experience Toolkit (EMET) te installeren, met verminderde rechten te surfen, ActiveX Controls en Active Scripting te blokkeren door de beveiligingszone voor Internet op hoog te zetten en Active Scripting uit te schakelen of voor het uitvoeren hiervan toestemming te vragen.

Reacties (8)
08-12-2014, 18:51 door Anoniem
Microsoft moet eerst een nieuwe backdoor ontwikkelen voor de oude gesloten kan worden.
08-12-2014, 20:12 door Anoniem
Schandalig dat Microsoft zoveel tijd nodig heeft voor een update/patch.Ik vindt dat Microsoft met forse geldboetes (miljoenen dollars geldboete) moet worden gedwongen om haast te maken met het ontwikkelen van een update.Daarvoor kunnen ze evt.ook hulp voor vragen aan andere it tech bedrijven en whitehat- hackers.Verder lees ik telkens weer over besmet worden als je op een kwaadaardige of gehackte website terecht komt.Het publiek heeft recht om te weten welke websites dit precies betreft.Deze dienen (zeker zolang de besmetting voortduurt) maar mogelijk ook nog tot een jaar na eindigen besmetting op een zwarte lijst te worden geplaatst.Zodat internetters deze websites/pagina's gaan mijden.Er mag toch van websitebeheerders verwacht worden dat ze hun website goed checken op malware/kwaadaardige wijzigingen/disfunctioneren welke kan wijzen op malware/hacking.Ook de security-software moet deze pagina's in het bestand hebben en deze websites blokkeren.
08-12-2014, 20:20 door Anoniem
Door Anoniem: Microsoft moet eerst een nieuwe backdoor ontwikkelen voor de oude gesloten kan worden.

10 jaar geleden was je rijp voor een aluhoedje.... nu weten de meeste mensen wel beter.
08-12-2014, 21:17 door Anoniem
reclame of fud:
"TippingPoint IPS customers are protected against this vulnerability by Digital Vaccine protection filter ID 16284. For further product information on the TippingPoint IPS:"
en
"User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file."
09-12-2014, 05:16 door Anoniem
@ anoniem: dit zijn exploits waar tippingpoint graag mee schermt om meer gebruikers te krijgen. Dit hebben ze echter altijd al gedaan dus is niet noemenswaardig.
09-12-2014, 08:57 door Mysterio
Door Anoniem: Schandalig dat Microsoft zoveel tijd nodig heeft voor een update/patch.(..)
Als Microsoft zoveel tijd nodig heeft dan hebben ze zoveel tijd nodig. We kunnen allemaal spannende aannames doen en roepen dat het een schande is, maar in feite weten we beroerd weinig van het lek en al helemaal niet hoe we het zelf zouden oplossen.

Wat weten we wel:

1. User interaction is required. (Men heeft het over het openen van een bijlage via mail of chat)
2. De aanvaller verkrijgt maximaal dezelfde gebruikersrechten als de gebruiker.
3. De standaard instellingen van Outlook, Outlook Express en Windows Mail beschermen de niet doorklikkende gebruikers.
4. Microsoft Server 2003 t/m 2012 R2 zijn standaard veilig.

Ofwel: Hanteer de standaard aanbevolen richtlijnen en er gaat bar weinig mis.
09-12-2014, 09:41 door 0101 - Bijgewerkt: 09-12-2014, 09:41
Door Mysterio:
1. User interaction is required. (Men heeft het over het openen van een bijlage via mail of chat)
Het bezoeken van een website met de exploit is genoeg; e-mail of chats met (links naar of HTML-bijlagen met) de exploitcode is gewoon een manier om mensen dit te laten doen.
In a web-based attack scenario, an attacker could host a specially crafted website that is designed to exploit these vulnerabilities through Internet Explorer, and then convince a user to view the website. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements. These websites could contain specially crafted content that could exploit these vulnerabilities. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by getting them to click a link in an email message or in an Instant Messenger message that takes users to the attacker's website, or by getting them to open an attachment sent through email.
09-12-2014, 10:16 door Anoniem
Verder lees ik telkens weer over besmet worden als je op een kwaadaardige of gehackte website terecht komt.Het publiek heeft recht om te weten welke websites dit precies betreft.Deze dienen (zeker zolang de besmetting voortduurt) maar mogelijk ook nog tot een jaar na eindigen besmetting op een zwarte lijst te worden geplaatst.Zodat internetters deze websites/pagina's gaan mijden.Er mag toch van websitebeheerders verwacht worden dat ze hun website goed checken op malware/kwaadaardige wijzigingen/disfunctioneren welke kan wijzen op malware/hacking.Ook de security-software moet deze pagina's in het bestand hebben en deze websites blokkeren.
[Rant]
Wow... sla jij eens de plank mis. Zeker een management- ipv van een security-achtergrond?

[Uitleg]
Kwaadaardige of gehackte website's zijn overal een foutje is snel gemaakt. Maar tegenwoordig is het vaak niet eens de eigenaar van de website die de fout maakt, hosting bedrijven, DNS servers, reclame banners etc. zijn populaire doelwitten. Het is niet de schuld van de website eigenaar als één van deze segmenten aangevallen wordt maar het effect hiervan is alleen maar te voelen op de website. Er valt altijd wat te zeggen dat hosting-/reclame-providers steviger aangepakt kunnen worden met sancties/boetes maar het zetten van normale websites op een zwarte lijst kun je niet maken. Browsers hebben tegenwoordig al "zwarte"lijsten, voorbeeld hiervan: Google’s Safe Browsing technology.

[Note]
Het is niet misschien één van de meest hoogstaande berichten hierop, maar alsjeblieft ga niet ranten en beweringen/sancties opleggen als je geen kaas gegeten hebt over het onderwerp. Niemand hier zit te wachten op een ongeinformeerde steaming pile of ****.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.