Eerste beveiligingsupdates voor Windows 10 al uitgerold
Microsoft heeft gisteren op de lanceringsdag van Windows 10 ook de eerste beveiligingsupdates voor het nieuwe besturingssysteem al uitgerold. Het gaat om updates voor zowel Windows zelf als de embedded Adobe Flash Player in Internet Explorer 11. Net als Google Chrome beschikken IE10 op Windows 8 en IE11 op Windows 8.1 en Windows 10 over een embedded Flash Player.
Gebruikers van de browsers hoeven hierdoor geen aparte plug-in te installeren om van Flash Player gebruik te maken. In het geval van beveiligingsupdates is het echter Microsoft die verantwoordelijk is voor het uitrollen van de updates. Op 14 juli publiceerde Adobe een noodpatch voor twee beveiligingslekken die door het Italiaanse Hacking Team waren ontdekt. Via de kwetsbaarheden kan een aanvaller kwetsbare systemen in het ergste geval volledig overnemen. Eén van de lekken wordt al actief door cybercriminelen gebruikt om computers aan te vallen.
Microsoft had klaarblijkelijk geen tijd om de Flash Player-update in de uiteindelijke versie van Windows 10 op te nemen. Daarom heeft de softwaregigant de update gisteren tijdens de lancering van Windows 10 uitgebracht. De update wordt in principe automatisch op Windows 10-systemen geïnstalleerd.
Windows
Naast de update voor Adobe Flash Player zijn er ook updates voor Windows 10 zelf uitgebracht. Het gaat om MS15-074 en MS15-078. De eerste update betreft een kwetsbaarheid in de Windows Installer Service waardoor een aanvaller die al toegang tot het systeem heeft zijn rechten kan verhogen. MS15-078 verhelpt een kritiek lek in de Microsoft Font Driver. Door een gebruiker een kwaadaardig document met embedded OpenType fonts te laten openen of bij het bezoeken van een kwaadaardige websites met deze fonts kan een aanvaller de computer volledig overnemen.
In eerste instantie werd gemeld dat Microsoft alleen een update voor Flash Player had uitgebracht, maar er zijn ook updates voor Windows zelf verschenen. Hierop is het artikel aangepast.
Maar... Zit Flash Player standaard in Windows 10? Dat is hopelijk uit te zetten bij de installatie?
Maar... Zit Flash Player standaard in Windows 10? Dat is hopelijk uit te zetten bij de installatie?
Niet alleen windows 10, maar ook windows 8.
Uitzetten ? Gebruik Edge.
Maar het is uit te zetten, even googlen op disable flash IE 10 IE 11... of zoiets.
Maar... Zit Flash Player standaard in Windows 10? Dat is hopelijk uit te zetten bij de installatie?
Niet alleen windows 10, maar ook windows 8.
Uitzetten ? Gebruik Edge.
Maar het is uit te zetten, even googlen op disable flash IE 10 IE 11... of zoiets.
Ah, dus gewoon IE niet installeren of eraf gooien. Thanks
Wat een goed idee!
1: .... rechts boven in.
2: Instellingen
3: Geavanceerde instellingen weergeven
4: Adobe Flash Player gebruiken op UIT zetten.
OT: geen goed idee een systeem als Flash embed in je browser te bakken, ook al staat het uit er zal vast een omweg wezen om het stilletjes te activeren.
Wat een goed idee!
Kom kom, wel even lezen: zowel in de Edge browser als in IE11 kan de ShockWave Flash add-in gewoon worden disabled.
En los daarvan: tot nu toe zijn de updates voor de built-in Flash gelijk met die voor de losse player gereleased.
Dus geen reden voor nodeloos sarcasme.
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11CF-96B8-444553540000}
Dit ervan uitgaande dat de CLSID (Class ID, een GUID = Globally Unique ID) van de Adobe Flash ActiveX plugin (.ocx) speciaal gemaakt voor Microsoft hetzelfde is als van de publiekelijk beschikbare ActiveX Flash plugins, namelijk {D27CDB6E-AE6D-11CF-96B8-444553540000}.
Het maakt dan niet meer uit of en waar zo'n ActiveX element op je PC staat, Internet Explorer zal het niet meer gebruiken.
Of je daarmee 100% safe bent betwijfel ik, want naast MSIE zijn er meer applicaties die ActiveX elementen kunnen inladen, en of deze de KillBits in het register raadplegen is de vraag.
Daarnaast heeft Adobe Reader een ingebouwde Flash parser, en evenals Flash plugins in andere webbrowsers wordt Flash content in deze applicaties zeker niet geblokkeerd door zo'n killbit.
Voor meer info over KillBits zie https://en.wikipedia.org/wiki/Killbit.
Ongetwijfeld goed bedoeld maar ik ga desondanks ver uit de buurt blijven van dit soort low-level geneuzel! Ik ben toch geen Linux gebruiker! (Daar verwacht je dit soort hacking dingen eerder).
Ongetwijfeld goed bedoeld maar ik ga desondanks ver uit de buurt blijven van dit soort low-level geneuzel! Ik ben toch geen Linux gebruiker! (Daar verwacht je dit soort hacking dingen eerder).
Inderdaad, en is ook nergens voor nodig: Flash is gewoon in de UI uit te zetten, zowel in Edge als in IE.
Ongetwijfeld goed bedoeld maar ik ga desondanks ver uit de buurt blijven van dit soort low-level geneuzel! Ik ben toch geen Linux gebruiker!
Volgens mij hebben we hier een gegadigde voor Mac OS X
Lekker & 'simpel' wat dat soort dingen betreft.
;)
Las net op tweakers.net dat bij home-versie je internet-verbinding wordt gebruikt om
updates door te zenden naar andere gebruikers. (staat standaard aan)
Windows Update Delivery Optimization heet het.
Zeker afgekeken van bittorrent. ;)
Als het product "gratis" is dan ...
Las net op tweakers.net dat bij home-versie je internet-verbinding wordt gebruikt om
updates door te zenden naar andere gebruikers. (staat standaard aan)
Windows Update Delivery Optimization heet het.
Zeker afgekeken van bittorrent. ;)
D.w.z. "lokaal netwerk + internet" of "alleen lokaal netwerk".
Dat laatste vind ik niet spannend. Dat eerste wel. Kan interessant worden als je een datalimiet hebt.
[Edit 22:14] P2p kan ook helemaal worden uitgezet. [/edit]
Wat betreft de instellingen, ben een uur bezig geweest om een hele berg instellingen aan te passen in zowel Settings als GPO. Het zijn er een hoop. (en ik krijg bijna medelijden met diegenen die home hebben (want geen GPO))
Ongetwijfeld goed bedoeld maar ik ga desondanks ver uit de buurt blijven van dit soort low-level geneuzel! Ik ben toch geen Linux gebruiker! (Daar verwacht je dit soort hacking dingen eerder).
Inderdaad, en is ook nergens voor nodig: Flash is gewoon in de UI uit te zetten, zowel in Edge als in IE.
Thuisgebruikers zijn wat mij betreft van harte welkom op security.nl (ik leer ook veel van "gewone" gebruikers), maar dit is ook een site waar professionele gebruikers reageren (daarnaast, killbits zijn in het verleden massaal gebruikt om onveilige ActiveX objecten te blokkeren, daar is op zich niks engs aan. Als je een Windows PC goed wilt beveiligen moet je niet bang zijn om in het register te "hacken", zeker als je een "Home" versie hebt zonder support voor policies).
Organisaties kunnen dit killbit via GPO uitrollen als er weer eens sprake is van een 0day, en "zodra de kust weer veilig is" het killbit weer weghalen. Nb. ik heb niets hiervan getest op W10, ik weet dus niet of en wat daar werkt!
Met dat in het achterhoofd, voor ondersteuning van killbits buiten MSIE (en mogelijk Edge), volgens http://blogs.technet.com/b/srd/archive/2008/02/06/the-kill_2d00_bit-faq_3a00_-part-1-of-3.aspx:
The Kill-Bit is respected in Internet Explorer (all zones) and also in Microsoft Office scenarios where objects are embedded within documents. The Kill-Bit should also be effective by default in any other application or platform that hosts the IE browser’s rendering engine (MSHTML).
Echter, eveneens uit http://blogs.technet.com/b/srd/archive/2008/02/06/the-kill_2d00_bit-faq_3a00_-part-1-of-3.aspx:
(3/11/2009 Update: HTAs do currently respect the Kill-Bit for objects instantiated via the OBJECT tag. The Kill-Bit is not respected when HTAs instantiate objects in script. Thanks to Nicolas Noakes for reporting this. The Kill-Bit behavior within HTAs may change in the future to become more consistent.)
A control could conceivably have a flaw so severe that a Kill-Bit does not effectively block all attack vectors. For example, imagine a control that is found to implement a web server which suffers from a buffer overrun in the code responsible for parsing web requests. In this case, a code fix must be issued – simply implementing a Kill-Bit will not provide a comprehensive solution because any application which uses the control is exposed to the vulnerability.
If an application or platform hosts controls and allows those controls to effectively be driven by untrusted data, that environment should respect Safe for Scripting, Safe for Initialization and Kill-Bit logic. Otherwise, the environment should provide some other equivalently or more restrictive policy, such as an allow-list of known-good scriptable objects.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
