image

Google onthult actief aangevallen zero day-lek in Windows

dinsdag 1 november 2016, 09:27 door Redactie, 11 reacties
Laatst bijgewerkt: 01-11-2016, 12:08

Google heeft een kwetsbaarheid in Windows die actief wordt aangevallen bekendgemaakt, ook al heeft Microsoft nog geen beveiligingsupdate voor het probleem uitgebracht. De internetgigant zegt dat het op 21 oktober zero day-lekken aan zowel Adobe als Microsoft rapporteerde.

Het ging om kwetsbaarheden in Adobe Flash Player en Windows die actief werden aangevallen. Adobe patchte het beveiligingslek in Flash Player via een noodpatch. In het geval van actief aangevallen kwetsbaarheden hanteert Google een deadline van 7 dagen waarin fabrikanten met een oplossing moeten komen. Aangezien Microsoft in deze tijd geen update uitbracht heeft Google nu de details bekendgemaakt. "Deze kwetsbaarheid is met name ernstig omdat die actief wordt misbruikt", zegt Neel Mehta van Google.

Via het beveiligingslek kan een aanvaller zijn rechten op het systeem verhogen. Google stelt dat in het geval van Chrome op Windows 10 de beveiligingsmaatregelen van de browser misbruik van deze kwetsbaarheid voorkomen. Microsoft is niet blij met de publicatie en stelt in een reactie aan VentureBeat dat Google gebruikers op deze manier mogelijk gevaar laat lopen.

Update

Het Nationaal Cyber Security Center (NCSC) van de overheid laat weten dat de kwetsbaarheid in Windows in combinatie met het beveiligingslek in Adobe Flash Player wordt gebruikt, waarvoor zoals gezegd eerder al een noodpatch verscheen.

Reacties (11)
01-11-2016, 09:39 door Anoniem
Prima actie. Laat Microsoft maar op de proppen komen met een hotfix of liever snel een volledige update. Microsoft zal voornamelijk niet blij zijn met de negatieve publiciteit, dat er al gebruikers onder vuur liggen lijkt het weinig te schelen.
01-11-2016, 10:59 door Anoniem
daar ben ik het helemaal mee eens op reactie om 09:39
ik zit nog steeds met een aan gekochte windows 10 home op een stick
maar kan en mag nog niet update naar de zo genaamde grootte up date 1607
ik word met update in de wacht gezet mijn andere update s die krijg ik wel.
heel vreemd ? nou moet ik wel zeggen dat mijn wind10 aardig is dicht getimmerd i.v.m.
de privacy/beveiliging
ps. zelfs dat heeft ik uitgeschakeld ook dat haalde niets uit
dus ik zegt zegt het maar?...........ik heeft dit van af wind 95 nog nooit zo slecht mee gemaakt wat betreft de update s

wat een bende ms.
01-11-2016, 12:01 door Anoniem
Reply to security.nl artiekel boven:
---------------------------------------------------

Volgens tweakers.net is de hierboven genoemde kwetsbaarheid alleen door lokale aanvallers te misbruiken in combinatie met de gefixte kwetsbaarheid dankzij de nieuwste versie adobe flash.

https://tweakers.net/nieuws/117371/microsoft-vroege-publicatie-windows-lek-door-google-vormt-gebruikersrisico.html

Mogelijke oplossingen.

1)
Download de nieuwste adobe flash van http://www.adobe.com/ en wacht op de windows patches.

2)
of gebruik google chrome en die heeft wel een goeie sandbox ingebouwd met de nieuwste flash update.

3)
Als je andere browsers gebruik en geen flash spellen speelt, dan is er een andere oplossing.

Installeer geen waardeloze plugins als adobe flash en silverlight. (verwijder ontmiddelijk)

4)
of om exploits moeilijker te maken: (gebruik 1 van die oplossingen)
Installeer microsoft Enhanced Mitigation Toolkit 5.5 https://support.microsoft.com/nl-nl/kb/2458544
of Hitman Pro Alert http://www.surfright.nl/nl/downloads/
of MalwareBytes Anti-exploit http://www.malwarebytes.nl/malwarebytes-anti-exploit/
Naast een antivirus, deze zijn lichte software en beinvloed je pc prestaties nauwelijks.

5) of STAP over naar GNU/Linux OS voor internet zaken . Updates bijna elke week.
Http://www.gentoo.org
http://www.ubuntu.com
http://www.getfedora.org
http://www.debian.org
http://www.linuxmint.com
http://www.slackware.com
http://www.puppylinux.org

6) OF Als je toch zat geld heb, Koop een Apple Mac Book Pro
Simpel en toch geavanceerd. Weinig keuze hardware en eenvoudiger om te kiezen.

7) Voor de gemakzuchtigen, die alleen internet gebruiken en alleen een internetabbo kan/wil betalen.
Koop een EL cheapo Google Chrome Book.
Perfecte Zandbak en alles online. Geen gezeur over updates, (Gebeurt automatisch voor mini chrome os)

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Reply to anoniem boven.
----------------------------------------
Als je een legale license code heb van windows 10. (oem of retail)

Download dan de iso van microsoft website zelf (LEGAAL):

https://www.microsoft.com/nl-nl/software-download/windows10ISO

Daar vind je 1607 engels, nederlandse versie. Hoeft je niet die oude versie te installeren.

Zet het met rufus op een usbstick en je kan al installeren. https://rufus.akeo.ie/.

=====================================================================================
" Think outside the box. You want solution, google it, try it, figure it out. If it breaks too bad, try try it all over again. "
" First World problems "
" Who cares: Opinions are like A*holes, every one got one. "
=====================================================================================
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Ik hoop dat dit lange reply wordt geplaatst en dat het nuttig is. Koele site , security.nl.
01-11-2016, 12:33 door Anoniem
Door Anoniem: Prima actie. Laat Microsoft maar op de proppen komen met een hotfix of liever snel een volledige update. Microsoft zal voornamelijk niet blij zijn met de negatieve publiciteit, dat er al gebruikers onder vuur liggen lijkt het weinig te schelen.
Een patch voor een OS is toch net even wat anders dan een browser plugin patchen.
01-11-2016, 15:25 door Anoniem
Door Anoniem: daar ben ik het helemaal mee eens op reactie om 09:39
ik zit nog steeds met een aan gekochte windows 10 home op een stick
maar kan en mag nog niet update naar de zo genaamde grootte up date 1607
ik word met update in de wacht gezet mijn andere update s die krijg ik wel.
heel vreemd ? nou moet ik wel zeggen dat mijn wind10 aardig is dicht getimmerd i.v.m.
de privacy/beveiliging
ps. zelfs dat heeft ik uitgeschakeld ook dat haalde niets uit
dus ik zegt zegt het maar?...........ik heeft dit van af wind 95 nog nooit zo slecht mee gemaakt wat betreft de update s

wat een bende ms.

Voor je je galg uitspeugt, misschien eens googlen hoe je deze anniversary update kan forceren? Dat kan namelijk gewoon. Deze reactie is typisch weer een gevalletje klepel en bel.
01-11-2016, 17:02 door Anoniem
Door Anoniem:
Door Anoniem: daar ben ik het helemaal mee eens op reactie om 09:39
ik zit nog steeds met een aan gekochte windows 10 home op een stick
maar kan en mag nog niet update naar de zo genaamde grootte up date 1607
ik word met update in de wacht gezet mijn andere update s die krijg ik wel.
heel vreemd ? nou moet ik wel zeggen dat mijn wind10 aardig is dicht getimmerd i.v.m.
de privacy/beveiliging
ps. zelfs dat heeft ik uitgeschakeld ook dat haalde niets uit
dus ik zegt zegt het maar?...........ik heeft dit van af wind 95 nog nooit zo slecht mee gemaakt wat betreft de update s

wat een bende ms.

Voor je je galg uitspeugt, misschien eens googlen hoe je deze anniversary update kan forceren? Dat kan namelijk gewoon. Deze reactie is typisch weer een gevalletje klepel en bel.

Ik vind het eerlijk gezegd knap dat je deze tekst begreep :]
01-11-2016, 17:33 door Anoniem
Door Anoniem:
Door Anoniem: daar ben ik het helemaal mee eens op reactie om 09:39
ik zit nog steeds met een aan gekochte windows 10 home op een stick
maar kan en mag nog niet update naar de zo genaamde grootte up date 1607
ik word met update in de wacht gezet mijn andere update s die krijg ik wel.
heel vreemd ? nou moet ik wel zeggen dat mijn wind10 aardig is dicht getimmerd i.v.m.
de privacy/beveiliging
ps. zelfs dat heeft ik uitgeschakeld ook dat haalde niets uit
dus ik zegt zegt het maar?...........ik heeft dit van af wind 95 nog nooit zo slecht mee gemaakt wat betreft de update s

wat een bende ms.

Voor je je galg uitspeugt, misschien eens googlen hoe je deze anniversary update kan forceren? Dat kan namelijk gewoon. Deze reactie is typisch weer een gevalletje klepel en bel.

Klopt; als je meer moeite wil steken in klagen dan het probleem oplossen, klaag je ook maar niet.
01-11-2016, 17:51 door karma4
Het zou Google sieren om de eigen rommel zoals Android op orde te brengen en te houden. Je wordt zelf niet beter door iets van een ander te verwijten. Iets met pot en ketel.
01-11-2016, 21:26 door Anoniem
Door karma4: Het zou Google sieren om de eigen rommel zoals Android op orde te brengen en te houden. Je wordt zelf niet beter door iets van een ander te verwijten. Iets met pot en ketel.
Het is geen verwijten, het is rapporteren en acteren. Google is over het algemeen erg vlot in het verhelpen van gerapporteerde kwetsbaarheden. De producenten van smartphones zijn echter niet zo van het doorvoeren van patches.

De grote vraag is waarom Microsoft de tijd neemt. Zou het iets te maken kunnen hebben met het moeten krijgen van toestemmen van bijvoorbeeld de NSA om de kwetsbaarheid te patchen? https://www.techdirt.com/articles/20130614/02110223467/microsoft-said-to-give-zero-day-exploits-to-us-government-before-it-patches-them.shtml en http://techrights.org/wiki/index.php/Microsoft_and_the_NSA

Google heeft overigens dezelfde verplichtingen.
02-11-2016, 09:18 door [Account Verwijderd]
[Verwijderd]
02-11-2016, 13:24 door Anoniem
Voor je je galg uitspeugt, misschien eens googlen hoe je deze anniversary update kan forceren? Dat kan namelijk gewoon. Deze reactie is typisch weer een gevalletje klepel en bel.
Het feit dat je het moet forceren... Geeft alleen dat al niet aan dat het bagger is??? Dat het KAN is mooi. Maar waarom MOET het?

Goede actie van google.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.