image

Google onthult ongepatcht beveiligingslek in Windows

donderdag 16 februari 2017, 17:13 door Redactie, 20 reacties

Google heeft een beveiligingslek in Windows onthuld waardoor aanvallers gevoelige informatie uit het geheugen kunnen stelen, zoals gebruikersgegevens, en waar nog geen update van Microsoft voor beschikbaar is. Via de gestolen informatie zou een aanvaller het systeem verder kunnen aanvallen.

De kwetsbaarheid bevindt zich in het Microsoft Graphics Component (GDI) en is in alle ondersteunde Windows-versies aanwezig, van Vista tot en met Windows 10. Om de kwetsbaarheid uit te buiten moet een aanvaller het slachtoffer een kwaadaardige EMF-afbeelding laten openen. Dit kan bijvoorbeeld door het embedden van een dergelijke afbeelding in een Word-document of html-pagina, zo waarschuwt het Nationaal Cyber Security Center (NCSC) van de overheid.

Google had het probleem op 17 november vorig jaar aan Microsoft gerapporteerd. Standaard hanteert de internetgigant een deadline van 90 dagen, waarna informatie over de kwetsbaarheid openbaar wordt gemaakt, ongeacht of de leverancier in kwestie al een update heeft uitgerold om het probleem te verhelpen. Mogelijk dat Microsoft van plan was het beveiligingslek deze week te patchen, maar de softwaregigant besloot om alle beveiligingsupdates deze maand uit te stellen en te verplaatsen naar dinsdag 14 maart.

Naast informatie over de kwetsbaarheid heeft Google ook proof-of-concept-code online gezet om het lek te demonstreren. Afgelopen december patchte Microsoft ook al een soortgelijke kwetsbaarheid in het GDI-onderdeel. Google-onderzoekers hebben in het verleden vaker kwetsbaarheden in Windows naar buiten gebracht zonder dat er een update beschikbaar was. Twee keer maakten cybercriminelen van de vrijgegeven informatie gebruik om Windows-gebruikers aan te vallen.

Reacties (20)
16-02-2017, 18:19 door karma4
Kwetsbaarheden in android mag Google oplossen. Blijft raar dat concurrentie op het slechte zoeken bij p
anderen gebeurt. Ik zie liever verbetering van de eigen producten
16-02-2017, 19:28 door Anoniem
Door karma4: Kwetsbaarheden in android mag Google oplossen. Blijft raar dat concurrentie op het slechte zoeken bij p
anderen gebeurt. Ik zie liever verbetering van de eigen producten

Soms moeten bedrijven geholpen worden door derden om hun producten beter c.q. veiliger te maken.

En wat is je probleem, het maakt toch niet uit wie het probleem vind als het maar snel opgelost wordt.

Jij als voorstander om boven de OS discussies te staan zou dit zeker moeten toejuichen.
16-02-2017, 19:39 door Anoniem
Laat Google zorgen dat ze hun eigen spullen op orde hebben.
Dit soort meldingen zijn alleen maar stemming maken voor zich zelf.
16-02-2017, 20:07 door Anoniem
Door karma4: Kwetsbaarheden in android mag Google oplossen. Blijft raar dat concurrentie op het slechte zoeken bij p
anderen gebeurt. Ik zie liever verbetering van de eigen producten
Dat ben ik niet helemaal met je eens. Het is wel jammer dat de code vrijgegeven wordt voordat er een patch is maar als ze het niet hadden gedaan was de 90 dagen regel niets meer waard.
16-02-2017, 20:20 door Anoniem
Door karma4: Kwetsbaarheden in android mag Google oplossen. Blijft raar dat concurrentie op het slechte zoeken bij p
anderen gebeurt. Ik zie liever verbetering van de eigen producten

Hoe je er ook over denkt, feit is dat de security vulnerabilities bestaan. Het is belachelijk als we gaan stellen dat het er toe doet wie ze vindt. Als jij Windows 10 gebruikt, en Google weet een vulnerability te vinden terwijl MS die over het hoofd ziet, hoe wordt jouw security beter door Google het woord te ontnemen?

En veel producten en diensten die Google voor vulnerabilities researched, kunnen invloed hebben op de security van Googles diensten en producten. Een van de redenen waarom Google voor een lange tijd de AV industrie onder de loep nam, is omdat de AV industrie voor hinder zorgt voor Google om de beveiliging Chrome te verbeteren.
16-02-2017, 21:05 door Anoniem
Zou het ook zo kunnen zijn,dat het Microsoft niet is gelukt binnen 90 dagen dit beveiligingsprobleem op te lossen?
16-02-2017, 21:48 door Anoniem
The Windows MetaFile Backdoor?
https://www.grc.com/sn/sn-022.txt
16-02-2017, 22:25 door ph-cofi
Volgens https://vuldb.com/?id.97039:
Attacking locally is a requirement. A single authentication is needed for exploitation.
Dat suggereert dat een webpagina bezoeken niet voldoende is?
Aangezien alle gangbare Windows versies (client en server) zijn betroffen lijkt dit op een hele oude bug, zo eentje die 9 jaar onontdekt is gebleven. Charmant (maar uiteraard vervelend).
16-02-2017, 22:37 door [Account Verwijderd]
[Verwijderd]
17-02-2017, 02:33 door Anoniem
We krijgen weer updates op 14 maart,komt er nu een nood-patch ter voorkoming van,
of gaat het nu op grote schaal misbruikt worden,nu er voorlopig geen updates komen.
Een zorgwekkende situatie......
17-02-2017, 09:53 door Anoniem
Tuurlijk, zie je nou wat er gebeurt? Die KL*TEMicrosoft met z'n updates uitstellen en er is meteen al een lek.
17-02-2017, 10:08 door karma4
Door Anoniem:
Soms moeten bedrijven geholpen worden door derden om hun producten beter c.q. veiliger te maken.
En wat is je probleem, het maakt toch niet uit wie het probleem vind als het maar snel opgelost wordt.
Jij als voorstander om boven de OS discussies te staan zou dit zeker moeten toejuichen.
Laat ik deze nemen om te reageren. Je stelt denk de beste juiste vragen.

1/ Prima dat er onderzoekers zijn die onafhankelijk toetsen. Dat is geen probleem.
De vraag of het uitmaakt wie de onderzoekers zijn wel.
Als het de directe concurrenten in de markt zijn wordt de ethiek twijfelachtig.
Pepsi-cola die coka-cola aan een warenonderzoek blootstelt. Of GM die de uitstoot van Volkswagens test.
Exota en buckle hebben de macht van beeldvorming getoond. Misbruik van beeldvorming is ook een kwalijke zaak.

Kortom controle validatie etc. hoort onafhankelijk gedaan te worden en geen deel van commerciële marketing uit te maken.

2/ Een responsible Disclosure https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html
"Een voorname drijfveer bij de white-hat hackers en beveiligingsonderzoekers is het leveren van een bijdrage aan de veiligheid van ICT-systemen door kwetsbaarheden en risico’s aan de kaak te stellen. Hiermee kunnen goedwillende hackers en beveiligingsonderzoekers een belangrijke rol vervullen naar partijen die kwetsbare systemen bezitten."

"Centraal bij het werken met responsible disclosure staat het verhelpen van de kwetsbaarheid en het verhogen van de veiligheid van informatiesystemen."

Er staan nog een hele rits overwegingen in dat document.
De issues:
- Google onderzoekers worden beschermd door de macht van het grote commerciële conglomeraat Alfabet. Stel nu dat jij zoiets zo vinden en zo zou handelen. Er vanuit gaande dat de kwaliteit onderbouwing correct is. Denk je dat jij op de zelfde
manier zoiets kan brengen als google.
- Google stelt zijn eigen regels voor een RDSP of die ethisch werkbaar zijn maakt ze niet uit.
Neem nu de zaak van volkswagen radboud en die sleutelaffaire. Een jaar of 2 door de rechter tegengehouden dat er iets aan de hand was (macht commercie). Tijd en aanpak ethiek vanuit radboud past beter in die zaak.
17-02-2017, 11:44 door [Account Verwijderd]
[Verwijderd]
17-02-2017, 11:53 door Anoniem
Door Rinjani: Een groot commercieel conglomeraat als Microsoft moet in staat worden geacht haar producten veilig te houden. Dat ze herhaald door anderen bij de les moeten worden gehouden is een blamage voor Microsoft. Dit is niemand anders dan Microsoft aan te rekenen.

Wat een ongelofelijke onzin. Microsoft en andere techgiganten maken veel producten met miljoenen regels code die nog altijd gemaakt wordt door mensen. Ook met interne (al dan niet geautomatiseerde) controle kunnen er kwetsbaarheden ontstaan. Het feit dat er anderen zijn die willen helpen, of dat nou Google, een andere concurrent of een onafhankelijke onderzoeker is, moet juist worden toegejuicht omdat het bijdraagt aan een iets veiliger internet.
17-02-2017, 12:32 door [Account Verwijderd] - Bijgewerkt: 17-02-2017, 19:17
[Verwijderd]
17-02-2017, 19:55 door Anoniem
Door Rinjani: Een groot commercieel conglomeraat als Microsoft moet in staat worden geacht haar producten veilig te houden. Dat ze herhaald door anderen bij de les moeten worden gehouden is een blamage voor Microsoft. Dit is niemand anders dan Microsoft aan te rekenen.
Het zelfde geld eigenlijk voor OpenSSL. Misschien wel 1 van de meest gebruike libraries? Het zit bijna overal wel in. En toch zitten er iedere keer grote gaten in. Terwijl de code gewoon zichtbaar is voor iedereen, maar blijkbaar kijkt er bijna niemand naar. Zoals bij veel grote opensource producten.

Maar hadden ze dan gewoon de patches moeten uitbrengen, en dat er dan systemen omwaren gevallen? Blijkbaar heeft men problemen geconstateerd en heeft men besloten om de patch niet uit te brengen. Is het ook weer niet goed.
De beste stuurlui staan gelukkig altijd aan wal.

Alles is en wordt door mensen gemaakt.
17-02-2017, 21:14 door [Account Verwijderd] - Bijgewerkt: 17-02-2017, 21:20
[Verwijderd]
17-02-2017, 22:27 door Anoniem
Zo houden ze daar geen achterdeurtje over! ;)
18-02-2017, 11:36 door Anoniem
Door Anoniem: Zo houden ze daar geen achterdeurtje over! ;)

Wat bedoel je? Wie zijn 'ze'? Wat bedoel je met 'daar'. En hoezo 'achterdeurtje over'? Wat is een achterdeur over?
18-02-2017, 17:07 door karma4
Door Rinjani: Een groot commercieel conglomeraat als Microsoft moet in staat worden geacht haar producten veilig te houden. Dat ze herhaald door anderen bij de les moeten worden gehouden is een blamage voor Microsoft. Dit is niemand anders dan Microsoft aan te rekenen.
De werkelijke blamage is oss waar iedereen de source kan zien maar niemand de gaten en blunders herkend.
De grote commerciële jongens ibm hp Google Apple sap Oracle Amazon hebben al lang oss omarmd als een makkelijk door te verkopen iets in de gebundelde paketten wasr de hoofdprijs voir betaald wordt. Ook heel makkelijk voor ze om de verantwoordelijkheid te ontlopen als er niets goed zit. Zij kunnen er zogenaamd niets aan doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.