image

Google onthult ongepatcht lek in Internet Explorer en Edge

zaterdag 25 februari 2017, 09:40 door Redactie, 20 reacties

Na eerder al een ongepatcht beveiligingslek in Windows te hebben onthuld heeft Google ook een kwetsbaarheid in Edge en Internet Explorer geopenbaard waar nog geen update van Microsoft voor beschikbaar is. Via het lek kan een aanvaller in het ergste geval willekeurige code op het systeem uitvoeren, zoals het installeren van malware.

De voorbeeldaanval die Google online heeft gezet zorgt er echter voor dat de browser alleen crasht. Microsoft werd op 25 november door Google over het lek ingelicht. Standaard hanteert Google een deadline van 90 dagen, waarna informatie over de kwetsbaarheid openbaar wordt gemaakt, ongeacht of de leverancier in kwestie al een update heeft uitgerold om het probleem te verhelpen. Mogelijk dat Microsoft van plan was het beveiligingslek tijdens de patchdinsdag van februari te patchen, maar de softwaregigant besloot om alle beveiligingsupdates deze maand uit te stellen en te verplaatsen naar dinsdag 14 maart.

Google-onderzoekers hebben in het verleden vaker kwetsbaarheden in Windows naar buiten gebracht zonder dat er een update beschikbaar was. Twee keer maakten cybercriminelen van de vrijgegeven informatie gebruik om Windows-gebruikers aan te vallen.

Reacties (20)
25-02-2017, 10:53 door karma4
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html
De grote commerciëlen die elkaar dwarszitten heeft niets met kwaliteitsverbetering van doen.
25-02-2017, 11:42 door Anoniem
De meeste gebruikers hebben een licentie-os van microsoft,velen hebben er voor betaald,
nu worden deze gebruikers blootgesteld aan uit stellen van beveiligingsupdates tot 14maart
een schande is het,we hebben niet zo lang geleden nog de windows vista/7 update problemen gehad,
waardoor er velen velen systemen met update problemen zaten,en nu is het uitstellen tot 14maart
voor alle besturingssystemen dit kan echt niet.
25-02-2017, 13:45 door [Account Verwijderd] - Bijgewerkt: 25-02-2017, 13:46
[Verwijderd]
25-02-2017, 13:47 door Erik van Straten
De "superveilige" Edge browser blijkt dus kwetsbare MSIE code te hergebruiken. Microsoft hoort dit soort lekken, die ook door mensen met minder goede bedoelingen gevonden kunnen worden, direct te patchen. Eventueel kan ze dat tot de eerstvolgende patchronde uitstellen.

Maar als je dat tot het allerlaatste moment (vóór disclosure) uitstelt -wat keer op keer gebeurt- en er zit dan iets tegen, heb je het helemaal aan jezelf te danken dat jouw klanten nog grotere risico's lopen dan ze al liepen. Als onderzoekers langere disclosure termijnen zouden hanteren, zouden klanten alleen maar langer risico's lopen.
25-02-2017, 14:25 door karma4 - Bijgewerkt: 25-02-2017, 14:28
Hoe staat het met de veiligheid van dat superveilige Android en het tracken en traceren van google opdrachten?
Lees nu eens wat de ethische benadering is (NCSC). Nee dat is geen rechtszaak om iets 2 jaar niet genoemd te krijgen (VW Radboud). Hoeveel fouten zitten er in OSS waar niemand iets aan doet maar velen gebruik van maken.

Lezen we de zaken dat er ingebroken wordt op jaren oude bekende issues omdat niemand een behoorlijk patchbeleid voert. Hoe zou dat zitten met al die IOT apparaatjes, antwoord een grote chaos.
Security begint met te kijken naar wat waarde heeft. De tooltjes en merkfanaten (haters/lovers) zijn een bedreiging voor die juiste start (BIA CIA en dan verder).

Emf file type een probleem .... Dan filter je dat toch uit in het gebruik.
25-02-2017, 14:42 door Anoniem
November ffs! Een browser hoort gewoon direct gepatcht te worden. Onzinnige discussies over wat hoe responsible disclosure nou precies moet worden aangepakt helpen helemaal niets. Voer liever een discussie over responsible software engineering & release management e.d.!
25-02-2017, 16:43 door Joep Lunaar
Door karma4: Hoe staat het met de veiligheid van dat superveilige Android en het tracken en traceren van google opdrachten?
...
Niet doen, pissen op iets anders om onwelriekende geuren te relatieveren werkt niet !
25-02-2017, 16:47 door Joep Lunaar
Door Anoniem: November ffs! Een browser hoort gewoon direct gepatcht te worden. Onzinnige discussies over wat hoe responsible disclosure nou precies moet worden aangepakt helpen helemaal niets. Voer liever een discussie over
Door Erik van Straten: De "superveilige" Edge browser blijkt dus kwetsbare MSIE code te hergebruiken. Microsoft hoort dit soort lekken, die ook door mensen met minder goede bedoelingen gevonden kunnen worden, direct te patchen. Eventueel kan ze dat tot de eerstvolgende patchronde uitstellen.

Maar als je dat tot het allerlaatste moment (vóór disclosure) uitstelt -wat keer op keer gebeurt- en er zit dan iets tegen, heb je het helemaal aan jezelf te danken dat jouw klanten nog grotere risico's lopen dan ze al liepen. Als onderzoekers langere disclosure termijnen zouden hanteren, zouden klanten alleen maar langer risico's lopen.
responsible software engineering & release management e.d.!
De treurige reden is vermoedelijk dat het gebrek aan behoorlijk release en package management het bijzonder moeilijk maakt nu patches uit te rollen zonder potten te breken. Ik ben bang dat deze MS Windows "legacy" niet meer te repareren valt. Bang omdat de maatschappelijke impact van dit gegeven te groot is, veel te groot om er gerust op te kunnen zijn.
25-02-2017, 17:56 door Anoniem
Zo maakt Google reclame voor Chrome, hehe.
25-02-2017, 19:51 door karma4
Door Joep Lunaar:
Door karma4: Hoe staat het met de veiligheid van dat superveilige Android en het tracken en traceren van google opdrachten?
...
Niet doen, pissen op iets anders om onwelriekende geuren te relatieveren werkt niet !

Door Anoniem: Zo maakt Google reclame voor Chrome, hehe.

Joep ik zie niets anders van linux adepten dan het afzoeken van anderen. Ze geloven echt dat het werkt. Kan ik me nog voorstellen ook gezien de os/2 aanpak van ibm.
25-02-2017, 21:27 door Ron625 - Bijgewerkt: 25-02-2017, 21:28
Door karma4:ik zie niets anders van linux adepten dan het afzoeken van anderen.
Dat zeg je steeds, een beetje kortzichtig denk ik.

Wat ik mis is, dat Google MS heeft ingelicht, en daarbij de 90 dagen limiet heeft gesteld.
Dat MS dat niet binnen 90 dagen redt, kan een oorzaak hebben, maar dat ze niet het fatsoen hebben om binnen deze 90 dagen even te reageren dat het langer duurt, zegt m.i. genoeg.
25-02-2017, 23:04 door ph-cofi
Door karma4: (...) Joep ik zie niets anders van linux adepten dan het afzoeken van anderen(...)
Ik denk dat jij je vergist. Ik denk dat het merendeel van de MS-klagers op deze site Windowsgebruikers zijn, die dat ook willen blijven.
Ik denk dat jij uit frustratie vaker het "L" woord op een pagina introduceert dan enig ander. En steevast als afleidings-"relativerings"-manoevre. He, nou is het weer gelukt. En dat is jammer, want misschien is star vasthouden aan 90 dagen in alle gevallen geen goed idee. Zouden we het over kunnen hebben.
26-02-2017, 11:43 door karma4
Door ph-cofi: Ik denk dat jij je vergist. Ik denk dat het merendeel van de MS-klagers op deze site Windowsgebruikers zijn, die dat ook willen blijven. ....
En daarom die constante stroom van posts in windows topics om maar Linux te gebruiken..... Dat klopt niet met jouw stelling. In het geval van gedegen onderzoek zouden de overwegingen en alternatieve instellingen beter genuanceerd zijn.

De reden dat ik steevast op dat L gedoe ophemelen reageer is dat ik last van heb dat de OS-nerds in die hoek niet met de security eisen business (iso27k nen7510) en data governance rond big data bezig zijn. Daarmee de boel lopen danig onderuit aan het halen zijn. Dan maakt het er niet beter op dat marketing wel lekker ligt en eigen inrichtingen buiten alles om doet. Outsourcing buiten de deur en het is iemand anders zijn probleem wordt dan gebezigd.

Dat starre 90 dagen is typisch iets van een monopolist grootmacht. Ik noemde het geval Radboud VW niet voor niets.
26-02-2017, 11:50 door [Account Verwijderd]
[Verwijderd]
26-02-2017, 14:00 door Erik van Straten
Door Rinjani: Met z'n verborgen Microsoft agenda
Verborgen? Ik snap niet waarom jullie op deze Microsoft AI bot blijven reageren.
26-02-2017, 19:02 door Anoniem
Door Erik van Straten:
Door Rinjani: Met z'n verborgen Microsoft agenda
Verborgen? Ik snap niet waarom jullie op deze Microsoft AI bot blijven reageren.

Natuurlijk is het een botje, er komen dan ook herhaaldelijk de kreten iso27k, nen7510, data governance en big data uitgepoept.
26-02-2017, 22:09 door Anoniem
Door Rinjani:
Door ph-cofi:
Door karma4: (...) Joep ik zie niets anders van linux adepten dan het afzoeken van anderen(...)
Ik denk dat jij je vergist. Ik denk dat het merendeel van de MS-klagers op deze site Windowsgebruikers zijn, die dat ook willen blijven.
Ik denk dat jij uit frustratie vaker het "L" woord op een pagina introduceert dan enig ander. En steevast als afleidings-"relativerings"-manoevre. He, nou is het weer gelukt.

Je hebt 'm in de smiezen! Met z'n verborgen Microsoft agenda probeert hij keer op keer de aandacht af te leiden bij problemen in Microsoft producten. (En dat komt natuurlijk nogal eens voor.)

Karma4 is gewoon iemand die verder kijkt dan alleen een OS en daar ook de nodige ervaring in heeft. En natuurlijk heeft Microsoft zijn nadelen. Maar dat heeft ieder product. De meeste nadelen zijn gewoon goed te managen. Iemand die alleen maar zegt X is beter als Y, daar valt niet mee te discussiëren.
Mijn ervaring is juist bijvoorbeeld dat Linux systemen veel slechter gepatched worden dan Microsoft systemen. Redenen te veel werk, te veel risico en er werken toch standaard geen gebruikers op.
Dan sta je als Microsoft beheerder gewoon met je bek vol tanden. Immers waarom kunnen zijn het wel gewoon, en ons landschap is met applicaties een stuk complexer.

Je kunt een hoop zeggen over patching, maar dat zegt helemaal niets over hoe iets uitgerold wordt of hoe iets beheerd wordt.
27-02-2017, 09:25 door [Account Verwijderd]
[Verwijderd]
27-02-2017, 11:13 door Ron625
Door Anoniem:Mijn ervaring is juist bijvoorbeeld dat Linux systemen veel slechter gepatched worden dan Microsoft systemen. Redenen te veel werk, te veel risico en er werken toch standaard geen gebruikers op.
Dan sta je als Microsoft beheerder gewoon met je bek vol tanden. Immers waarom kunnen zijn het wel gewoon, en ons landschap is met applicaties een stuk complexer.
Iets van appels en peren vergelijken............
Er is maar één maker van Windows en er zijn maar een paar versies van Windows.

De Linux bestaat niet, er is alleen een Linux. (en dan heb ik het over distributies, terwijl Linux eigenlijk alleen de kernel is)
Van Linux distributies bestaan er vele duizenden, zonder te vertellen over welke je het hebt, heeft je opmerking geen betekenis over de kwaliteit van Linux.
27-02-2017, 11:55 door [Account Verwijderd] - Bijgewerkt: 27-02-2017, 11:59
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.