Google onthult ongepatcht lek in Windows 8.1
Google heeft opnieuw details over een beveiligingslek in Windows 8.1 gepubliceerd dat Microsoft niet wil patchen. Dit keer is de publicatie extra opmerkelijk, omdat de kwetsbaarheid het mogelijk maakt om de sandbox van Google Chrome, Adobe Reader en andere producten aan te vallen.
De sandbox in Chrome dient als een extra beveiligingslaag mochten er kwetsbaarheden in de browser zelf worden gevonden. De Chrome-sandbox is echter afhankelijk van het onderliggende besturingssysteem. "Hoewel je kunt proberen om elke beschikbare beveiligingsmaatregel te gebruiken, is het soms de ontwikkelaar van het besturingssysteem die je werk teniet doet", zegt James Forshaw van het Google Zero Project. Dit is een team van hackers en onderzoekers dat naar kwetsbaarheden in populaire software zoekt.
Forshaw merkt op dat het ontsnappen uit een sandbox vaak meerdere kwetsbaarheden vereist, die op zichzelf misschien niet ernstig lijken, maar aan elkaar gekoppeld de aanval mogelijk maken. In het geval van Chrome gebruikt Google een bepaalde functie genaamd een "job object" om de beveiliging van de sandbox te versterken. Via het job object kunnen er processen worden gegroepeerd en kan het soort en de hoeveelheid "resources" die de processen mogen gebruiken worden beperkt.
In bepaalde gevallen kan ook het ook worden gebruikt om te beperken wat een proces mag doen. Met Windows 8.1 introduceerde Microsoft de "console driver" die juist kan worden gebruikt om de beperkingen te omzeilen. Het probleem maakt het niet direct mogelijk om uit de sandbox van Google Chrome te breken, maar kan wel in combinatie met andere bugs hiervoor worden gebruikt.
Oplossing
Google rapporteerde het probleem op 9 december 2014. Microsoft liet echter weten dat het de bug niet zou oplossen, iets wat ook eerder al eens het geval was. Forshaw heeft hier echter begrip voor, zo laat hij in zijn analyse van de bug weten. "Ik kan begrijpen waarom Microsoft dit niet wil oplossen, het werkt op deze manier vanwege backwards compatibiliteit en het is lastig om dit te veranderen." Toch zou een oplossing volgens de Google-onderzoeker mogelijk zijn. Inmiddels gebruikt Google Chrome een andere maatregel om de sandbox te beschermen die niet te omzeilen zou zijn.
"Microsoft haalt hard uit naar zijn concurrent Google en diens besturingssysteem Android. Terry Myerson, topman van Microsofts Windows-afdeling, zegt dat Google geen toewijding toont en verantwoordelijk neemt voor de beveiliging van zijn besturingssysteem. Zo stelt het bedrijf zijn klanten dagelijks bloot aan allerlei gevaren. Enigszins verhult noemde hij Android ook een grote bende."
"Google ships a big pile of shit code, with no commitment to update your device. Google takes no responsibility to update customer devices and refuses to take responsibility to update their devices, leaving end users and businesses increasingly exposed every day they use an Android device.”
http://www.tabletguide.nl/56863/microsoft-uit-felle-kritiek-op-android/
.
De clou van de vraag is dat je moet gaan nadenken of Google met een FUD offensief bezig is of dat het echt is. Nadenken is pijnlijk. Vreemde reactive van Google dat ze een andere manier gebruiken met chrome en dat het dan wel veilig is. Het wekt de indruk dat er iets met functioneel snel bouwen versus veilig ontwerpen, dat mede aan de kant van google. Hmm een goed lezen, het is anders lijkt erg op het setuid logica met alle valkuilen.
Daar merk je dat je ook vaak de settings van de oude user krijgt en niet van geswitchde. (umask ulimits)
De clou van de vraag is dat je moet gaan nadenken of Google met een FUD offensief bezig is of dat het echt is. Nadenken is pijnlijk. Vreemde reactive van Google dat ze een andere manier gebruiken met chrome en dat het dan wel veilig is. Het wekt de indruk dat er iets met functioneel snel bouwen versus veilig ontwerpen, dat mede aan de kant van google. Hmm een goed lezen, het is anders lijkt erg op het setuid logica met alle valkuilen.
Daar merk je dat je ook vaak de settings van de oude user krijgt en niet van geswitchde. (umask ulimits)
Het gaat hier gewoon om een probleem in chrome. Het is natuurlijk bij de wilde spinnen af dat ze de schuld vervolgens op het besturingssysteem proberen af te schuiven. Bij mij komt die troep er niet in.
Als Microsoft bijv. om meer tijd zou hebben gevraagd voor het creëren van een oplossing en Google het toch bekend zou maken dan was het een ander verhaal geweest...
Microsoft laat maar weer eens goed zien dat het de status van 'bad actor' meer dan verdient.
"Google ships a big pile of shit code, with no commitment to update your device. Google takes no responsibility to update customer devices and refuses to take responsibility to update their devices, leaving end users and businesses increasingly exposed every day they use an Android device.”
http://www.tabletguide.nl/56863/microsoft-uit-felle-kritiek-op-android/
.
Waar haal ja dat "shit" vandaan? In de presentatie wordt dat woord juist niet gebruikt. Terry pauzeert bewust, zodat iedereen denkt dat hij "shit" gaat zeggen, maar doet dat uiteindelijk niet.
Microsoft laat maar weer eens goed zien dat het de status van 'bad actor' meer dan verdient.
Het toont weer aan dat Microsoft de essentie van Open Source niet snapt. Als Samsung Android pakt, er aan rommelt en vervolgens weigert om updates, die Google publiek maakt, te implementeren, ligt de fout duidelijk bij Samsung.
Als iemand wilt weten hoe het update beleid van Google in elkaar zit, kijk dan naar Nexus. Die worden goed up-to-date gehouden.
Google is zelfs druk bezig om een aantal essentiele beveiligingszaken uit de OS-laag te halen, zodat ook leveranciersversies die zaken via de play store kunnen krijgen.
Peter
Nou nee, als je dit leest kun je niet anders concluderen dan dat Android/Google iets heel erg fout doet:
"Nieuwste Android-versie draait op minder dan 1 procent van toestellen" : http://tweakers.net/nieuws/102909/nieuwste-android-versie-draait-op-minder-dan-1-procent-van-toestellen.html
"Google ships a big pile of shit code, with no commitment to update your device. Google takes no responsibility to update customer devices and refuses to take responsibility to update their devices, leaving end users and businesses increasingly exposed every day they use an Android device.”
http://www.tabletguide.nl/56863/microsoft-uit-felle-kritiek-op-android/
.
Waar haal ja dat "shit" vandaan? In de presentatie wordt dat woord juist niet gebruikt. Terry pauzeert bewust, zodat iedereen denkt dat hij "shit" gaat zeggen, maar doet dat uiteindelijk niet.
Microsoft laat maar weer eens goed zien dat het de status van 'bad actor' meer dan verdient.
Het toont weer aan dat Microsoft de essentie van Open Source niet snapt. Als Samsung Android pakt, er aan rommelt en vervolgens weigert om updates, die Google publiek maakt, te implementeren, ligt de fout duidelijk bij Samsung.
Als iemand wilt weten hoe het update beleid van Google in elkaar zit, kijk dan naar Nexus. Die worden goed up-to-date gehouden.
Google is zelfs druk bezig om een aantal essentiele beveiligingszaken uit de OS-laag te halen, zodat ook leveranciersversies die zaken via de play store kunnen krijgen.
Peter
U zegt het zelf: "Terry pauzeert bewust, zodat iedereen denkt dat hij "shit" gaat zeggen, maar doet dat uiteindelijk niet.
Als Terry een ander woord dan "shit" had willen zeggen, waarom slikt hij dan juist dat ene woord in?
Vertel....
"Google ships a big pile of shit code, with no commitment to update your device. Google takes no responsibility to update customer devices and refuses to take responsibility to update their devices, leaving end users and businesses increasingly exposed every day they use an Android device.”
http://www.tabletguide.nl/56863/microsoft-uit-felle-kritiek-op-android/
.
Waar haal ja dat "shit" vandaan? In de presentatie wordt dat woord juist niet gebruikt. Terry pauzeert bewust, zodat iedereen denkt dat hij "shit" gaat zeggen, maar doet dat uiteindelijk niet.
U zegt het zelf: "Terry pauzeert bewust, zodat iedereen denkt dat hij "shit" gaat zeggen, maar doet dat uiteindelijk niet.
Als Terry een ander woord dan "shit" had willen zeggen, waarom slikt hij dan juist dat ene woord in?
Vertel....
Een gevalletje van goedkope populistische mediamanipulatie van Microsoft. Daar trapt toch niemand meer in?
Microsoft verkeert in zwaar weer omdat niemand hun mobiele OS gebruikt. Het is iOS en Android wat daadwerkelijk op grote schaal wordt gebruikt en daar kunnen ze natuurlijk niet goed tegen. Technisch kunnen ze zich niet meten met de concurrentie zodat alleen het soort populistische aanvallen zoals hierboven beschreven overblijft.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
