image

Google onthult ongepatcht lek in Windows 8.1

dinsdag 5 mei 2015, 10:25 door Redactie, 20 reacties

Google heeft opnieuw details over een beveiligingslek in Windows 8.1 gepubliceerd dat Microsoft niet wil patchen. Dit keer is de publicatie extra opmerkelijk, omdat de kwetsbaarheid het mogelijk maakt om de sandbox van Google Chrome, Adobe Reader en andere producten aan te vallen.

De sandbox in Chrome dient als een extra beveiligingslaag mochten er kwetsbaarheden in de browser zelf worden gevonden. De Chrome-sandbox is echter afhankelijk van het onderliggende besturingssysteem. "Hoewel je kunt proberen om elke beschikbare beveiligingsmaatregel te gebruiken, is het soms de ontwikkelaar van het besturingssysteem die je werk teniet doet", zegt James Forshaw van het Google Zero Project. Dit is een team van hackers en onderzoekers dat naar kwetsbaarheden in populaire software zoekt.

Forshaw merkt op dat het ontsnappen uit een sandbox vaak meerdere kwetsbaarheden vereist, die op zichzelf misschien niet ernstig lijken, maar aan elkaar gekoppeld de aanval mogelijk maken. In het geval van Chrome gebruikt Google een bepaalde functie genaamd een "job object" om de beveiliging van de sandbox te versterken. Via het job object kunnen er processen worden gegroepeerd en kan het soort en de hoeveelheid "resources" die de processen mogen gebruiken worden beperkt.

In bepaalde gevallen kan ook het ook worden gebruikt om te beperken wat een proces mag doen. Met Windows 8.1 introduceerde Microsoft de "console driver" die juist kan worden gebruikt om de beperkingen te omzeilen. Het probleem maakt het niet direct mogelijk om uit de sandbox van Google Chrome te breken, maar kan wel in combinatie met andere bugs hiervoor worden gebruikt.

Oplossing

Google rapporteerde het probleem op 9 december 2014. Microsoft liet echter weten dat het de bug niet zou oplossen, iets wat ook eerder al eens het geval was. Forshaw heeft hier echter begrip voor, zo laat hij in zijn analyse van de bug weten. "Ik kan begrijpen waarom Microsoft dit niet wil oplossen, het werkt op deze manier vanwege backwards compatibiliteit en het is lastig om dit te veranderen." Toch zou een oplossing volgens de Google-onderzoeker mogelijk zijn. Inmiddels gebruikt Google Chrome een andere maatregel om de sandbox te beschermen die niet te omzeilen zou zijn.

Reacties (20)
05-05-2015, 10:45 door [Account Verwijderd] - Bijgewerkt: 05-05-2015, 10:47
[Verwijderd]
05-05-2015, 12:14 door Anoniem
En nu moeten we zeker die chrome troep van google gaan gebruiken? FUD moet ze helpen?
05-05-2015, 13:07 door [Account Verwijderd]
[Verwijderd]
05-05-2015, 13:12 door Anoniem
In die reclame zeggen ze ook nooit dat lekker meiden je tof vinden als ja AXE gebruikt.
05-05-2015, 15:18 door Anoniem
De verantwoordelijke personen bij Google kennen geen enkele nuance?
05-05-2015, 15:54 door [Account Verwijderd]
[Verwijderd]
05-05-2015, 17:15 door Anoniem
En Microsoft heeft weer kritiek op de rommel van Google.

"Microsoft haalt hard uit naar zijn concurrent Google en diens besturingssysteem Android. Terry Myerson, topman van Microsofts Windows-afdeling, zegt dat Google geen toewijding toont en verantwoordelijk neemt voor de beveiliging van zijn besturingssysteem. Zo stelt het bedrijf zijn klanten dagelijks bloot aan allerlei gevaren. Enigszins verhult noemde hij Android ook een grote bende."

"Google ships a big pile of shit code, with no commitment to update your device. Google takes no responsibility to update customer devices and refuses to take responsibility to update their devices, leaving end users and businesses increasingly exposed every day they use an Android device.”

http://www.tabletguide.nl/56863/microsoft-uit-felle-kritiek-op-android/
.
05-05-2015, 17:25 door karma4 - Bijgewerkt: 05-05-2015, 17:39
Door Anak Krakatau:
Door Anoniem: En nu moeten we zeker die chrome troep van google gaan gebruiken? FUD moet ze helpen?
je kunt ook andere troep gebruiken. niemand houdt je tegen.

De clou van de vraag is dat je moet gaan nadenken of Google met een FUD offensief bezig is of dat het echt is. Nadenken is pijnlijk. Vreemde reactive van Google dat ze een andere manier gebruiken met chrome en dat het dan wel veilig is. Het wekt de indruk dat er iets met functioneel snel bouwen versus veilig ontwerpen, dat mede aan de kant van google. Hmm een goed lezen, het is anders lijkt erg op het setuid logica met alle valkuilen.
Daar merk je dat je ook vaak de settings van de oude user krijgt en niet van geswitchde. (umask ulimits)
05-05-2015, 18:35 door Anoniem
Door karma4:
Door Anak Krakatau:
Door Anoniem: En nu moeten we zeker die chrome troep van google gaan gebruiken? FUD moet ze helpen?
je kunt ook andere troep gebruiken. niemand houdt je tegen.

De clou van de vraag is dat je moet gaan nadenken of Google met een FUD offensief bezig is of dat het echt is. Nadenken is pijnlijk. Vreemde reactive van Google dat ze een andere manier gebruiken met chrome en dat het dan wel veilig is. Het wekt de indruk dat er iets met functioneel snel bouwen versus veilig ontwerpen, dat mede aan de kant van google. Hmm een goed lezen, het is anders lijkt erg op het setuid logica met alle valkuilen.
Daar merk je dat je ook vaak de settings van de oude user krijgt en niet van geswitchde. (umask ulimits)

Het gaat hier gewoon om een probleem in chrome. Het is natuurlijk bij de wilde spinnen af dat ze de schuld vervolgens op het besturingssysteem proberen af te schuiven. Bij mij komt die troep er niet in.
05-05-2015, 21:57 door Anoniem
Misschien moet Google eerst eens zorgen dat al die Android gebruikers veilig zijn, en dan pas beginnen met beveiligingslekken im Windows bekendmaken.
05-05-2015, 22:27 door Pastafarist
Tja, Microsoft zegt "we gaan het niet oplossen" dus lijkt me goed dat Google het in dit geval bekend maakt. Transparantie is uiteindelijk de enige manier om alle gebruikers te beschermen.

Als Microsoft bijv. om meer tijd zou hebben gevraagd voor het creëren van een oplossing en Google het toch bekend zou maken dan was het een ander verhaal geweest...
05-05-2015, 23:51 door Anoniem
Microsoft moet eens niet zo triest doen en gewoon zorgen dat ze de door henzelf uitgegeven code voorzien van patches, in tegen stelling tot het zeiken over de code van Google die door andere partijen wordt uitgegeven.
Microsoft laat maar weer eens goed zien dat het de status van 'bad actor' meer dan verdient.
06-05-2015, 08:57 door Anoniem
Door Anoniem: En Microsoft heeft weer kritiek op de rommel van Google.

"Google ships a big pile of shit code, with no commitment to update your device. Google takes no responsibility to update customer devices and refuses to take responsibility to update their devices, leaving end users and businesses increasingly exposed every day they use an Android device.”

http://www.tabletguide.nl/56863/microsoft-uit-felle-kritiek-op-android/
.

Waar haal ja dat "shit" vandaan? In de presentatie wordt dat woord juist niet gebruikt. Terry pauzeert bewust, zodat iedereen denkt dat hij "shit" gaat zeggen, maar doet dat uiteindelijk niet.

Door Anoniem: Microsoft moet eens niet zo triest doen en gewoon zorgen dat ze de door henzelf uitgegeven code voorzien van patches, in tegen stelling tot het zeiken over de code van Google die door andere partijen wordt uitgegeven.
Microsoft laat maar weer eens goed zien dat het de status van 'bad actor' meer dan verdient.

Het toont weer aan dat Microsoft de essentie van Open Source niet snapt. Als Samsung Android pakt, er aan rommelt en vervolgens weigert om updates, die Google publiek maakt, te implementeren, ligt de fout duidelijk bij Samsung.

Als iemand wilt weten hoe het update beleid van Google in elkaar zit, kijk dan naar Nexus. Die worden goed up-to-date gehouden.

Google is zelfs druk bezig om een aantal essentiele beveiligingszaken uit de OS-laag te halen, zodat ook leveranciersversies die zaken via de play store kunnen krijgen.

Peter
06-05-2015, 10:57 door Pastafarist - Bijgewerkt: 06-05-2015, 10:58
Als iemand wilt weten hoe het update beleid van Google in elkaar zit, kijk dan naar Nexus. Die worden goed up-to-date gehouden.

Nou nee, als je dit leest kun je niet anders concluderen dan dat Android/Google iets heel erg fout doet:

"Nieuwste Android-versie draait op minder dan 1 procent van toestellen" : http://tweakers.net/nieuws/102909/nieuwste-android-versie-draait-op-minder-dan-1-procent-van-toestellen.html
06-05-2015, 13:48 door Anoniem
Door Anoniem:
Door Anoniem: En Microsoft heeft weer kritiek op de rommel van Google.

"Google ships a big pile of shit code, with no commitment to update your device. Google takes no responsibility to update customer devices and refuses to take responsibility to update their devices, leaving end users and businesses increasingly exposed every day they use an Android device.”

http://www.tabletguide.nl/56863/microsoft-uit-felle-kritiek-op-android/
.

Waar haal ja dat "shit" vandaan? In de presentatie wordt dat woord juist niet gebruikt. Terry pauzeert bewust, zodat iedereen denkt dat hij "shit" gaat zeggen, maar doet dat uiteindelijk niet.

Door Anoniem: Microsoft moet eens niet zo triest doen en gewoon zorgen dat ze de door henzelf uitgegeven code voorzien van patches, in tegen stelling tot het zeiken over de code van Google die door andere partijen wordt uitgegeven.
Microsoft laat maar weer eens goed zien dat het de status van 'bad actor' meer dan verdient.

Het toont weer aan dat Microsoft de essentie van Open Source niet snapt. Als Samsung Android pakt, er aan rommelt en vervolgens weigert om updates, die Google publiek maakt, te implementeren, ligt de fout duidelijk bij Samsung.

Als iemand wilt weten hoe het update beleid van Google in elkaar zit, kijk dan naar Nexus. Die worden goed up-to-date gehouden.

Google is zelfs druk bezig om een aantal essentiele beveiligingszaken uit de OS-laag te halen, zodat ook leveranciersversies die zaken via de play store kunnen krijgen.

Peter

U zegt het zelf: "Terry pauzeert bewust, zodat iedereen denkt dat hij "shit" gaat zeggen, maar doet dat uiteindelijk niet.

Als Terry een ander woord dan "shit" had willen zeggen, waarom slikt hij dan juist dat ene woord in?

Vertel....
06-05-2015, 16:42 door Anoniem
En als we nu gaan roepen om geen Windows meer te gebruiken en we massaal gaan overstappen naar MAC OS of Linux zou Microsoft dan wel gaan patchen als het klanten zou kosten ?
07-05-2015, 09:02 door Anoniem
Alweer een reden om de brakke rotzooi van Microsoft te mijden.
07-05-2015, 16:22 door [Account Verwijderd] - Bijgewerkt: 07-05-2015, 16:24
[Verwijderd]
07-05-2015, 20:28 door Anoniem
Door Krakatau:
Door Anoniem:
Door Anoniem:
Door Anoniem: En Microsoft heeft weer kritiek op de rommel van Google.

"Google ships a big pile of shit code, with no commitment to update your device. Google takes no responsibility to update customer devices and refuses to take responsibility to update their devices, leaving end users and businesses increasingly exposed every day they use an Android device.”

http://www.tabletguide.nl/56863/microsoft-uit-felle-kritiek-op-android/
.

Waar haal ja dat "shit" vandaan? In de presentatie wordt dat woord juist niet gebruikt. Terry pauzeert bewust, zodat iedereen denkt dat hij "shit" gaat zeggen, maar doet dat uiteindelijk niet.

U zegt het zelf: "Terry pauzeert bewust, zodat iedereen denkt dat hij "shit" gaat zeggen, maar doet dat uiteindelijk niet.

Als Terry een ander woord dan "shit" had willen zeggen, waarom slikt hij dan juist dat ene woord in?

Vertel....

Een gevalletje van goedkope populistische mediamanipulatie van Microsoft. Daar trapt toch niemand meer in?

Microsoft verkeert in zwaar weer omdat niemand hun mobiele OS gebruikt. Het is iOS en Android wat daadwerkelijk op grote schaal wordt gebruikt en daar kunnen ze natuurlijk niet goed tegen. Technisch kunnen ze zich niet meten met de concurrentie zodat alleen het soort populistische aanvallen zoals hierboven beschreven overblijft.
populistisch antwoord zonder feiten
08-05-2015, 22:17 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.