Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft dicht kritiek lek in HoloLens in nieuwe patchronde

Door , 30 reacties

Microsoft heeft in totaal meer dan vijftig kwetsbaarheden gedicht in zijn laatste patchronde, ook wel patch tuesday genoemd. Daaronder zijn negentien kritieke kwetsbaarheden, waarvan er een aanwezig is in de ar-headset HoloLens.

Volgens Microsoft wordt het lek in de headset niet actief aangevallen, wat niet verwonderlijk is, omdat er niet veel exemplaren van de HoloLens in omloop zijn. Uit de beschrijving van het lek is op te maken dat een aanvaller in staat was om op afstand kwaadaardige code uit te voeren en het apparaat daarmee over te nemen. Dat was mogelijk aan de hand van een speciaal wifipakketje, waarna het mogelijk was om programma's te installeren en data te wijzigen.

Zero Day Initiative meldt dat het lek opmerkelijk is, omdat het blijkbaar te misbruiken is zonder dat er enige vorm van authenticatie is vereist. De kwetsbaarheid met kenmerk CVE-2017-8584 heeft te maken met de manier waarop de HoloLens met geheugenobjecten omgaat. Microsoft dichtte ook andere rce-lekken in deze patchronde, bijvoorbeeld in Windows Explorer en in Windows Search.

Microsoft heeft de volledige lijst met updates gepubliceerd. Wie liever alle updates op dezelfde pagina wil zien, kan gebruikmaken van een PowerShell-tool van Microsofts John Lambert. Die is te vinden op GitHub, zo meldt Bleeping Computer. Daarmee maakt hij ook zelf overzichten aan, waaronder het recentste.

Reacties (30)

Wijzig sortering
Hololens add- en Malware lijkt mij echt 'the worst'. Constant met je vinger in de lucht swipen om vensters weg te krijgen voor je gezicht. Malware die opnames maakt en doorstuurt terwijl je je pincode aan het intypen bent. Adware die je kledingkeuze analyseert en doorstuurt naar verkopers. Of wakker worden na een leuke one night stand, je hololens van je nachtkastje halen en vervolgens luierreclame te zien krijgen omdat je wat vergeten was. -_-

De hololens lijkt mij echt geweldig. Maar ik zie een compleet nieuw platform voor potentieel misbruik.
Google Glass en Hololens zijn allebei rommel dingen waar je niets aan hebt. Beide bedrijven gaan er mee door omdat ze al dromen om bij alles waar je naar kijkt een 'relevante advertentie' in je blikveld te tonen. Niemand zit hier op te wachten en daarom zal het ook geen massa product worden.

[Reactie gewijzigd door ArtGod op 12 juli 2017 12:06]

Ik zit hier op te wachten. Die ontwikkeling kan me niet snel genoeg gaan.
Yup het speelgoed van nu is nog niet zo interessant mede door de form factor. Glass heeft aangetoond dat iets makkelijk draagbaars nog niet haalbaar is maar zodra dat wel het geval is, zou ik ook geen enkel probleem hebben een device aan te schaffen. (Voormits in de prijs categorie van bv een high end phone.)
Goed, misschien zit de gemiddelde consument niet op een HoloLens te wachten. Maar wat dacht je van de professionele markt? Wat dacht je van ongetraind personeel dat onderhoud kan plegen op machines door met de HoloLens instructies te volgen, zodat er geen duurbetaalde servicemonteur langs hoeft te komen? Eén van vele voorbeelden waarbij de HoloLens uitkomst biedt, and quite frankly waardoor deze erg gewild is bij bedrijven.
Of je personeel up to date brengen met nieuwe technieken of apparatuur.
Niets blijft zo goed hangen als het voor je zien, en dan gelijk nadoen.

Persoonlijk zie ik liever een iets duurdere monteur met een Hololens over de vloer, als iemand die echt geen idee wat hij aan het doen is en alleen maar de stapjes volgt.... ;-)
Een platform moet groot genoeg zijn voor potentieel misbruik, en zoals Tweakers al aangeeft, is de HoloLens dat nog niet, en ik gok dat dit soort platforms de komende tijd daar echt te klein voor blijven.

Natuurlijk is het een komisch angstbeeld, overal porno-ad vrouwen waarvan je niet af kan komen lijkt me iets realistischer dan een app die daadwerkelijk je gedrag kan analyseren. Maar eerlijk gezegd, hoe reclame eruit ziet in een toekomst waar veel mensen daadwerkelijk hololens dingen dragen weten we niet, omdat die nog ver weg is.

Volledig off-topic:
Of wakker worden na een leuke one night stand, je hololens van je nachtkastje halen en vervolgens morning-after pil reclame te zien krijgen omdat je wat vergeten was, er snel eentje halen en enorm dankbaar zijn voor het moment dat je die hololens aangeschaft had en de adware nooit had verwijderd ;)
overal porno-ad vrouwen waarvan je niet af kan komen lijkt me iets realistischer
Hmm, ik zie een leuke mogelijkheid voor een hololens app.
In plaats van dit als adware te gebruiken, gebruik het voor de mensen wiens sex-leven een oppepper kan gebruiken.
Hoe moeilijk zou het zijn om 'overlays' te maken die het lichaam van je partner veranderen in dat van je fantasie (bekende acteur/actrice/sportman/vrouw). De hololens in gaan zetten voor rollenspellen. De mogelijkheden zijn eindeloos.......

}>

En neem dit nou aub niet te serieus!
Op Netflix staat een aflevering van BlackMirror die hier wat van toepassing is. Militairen in het leger vechten zogezegd tegen 'zombies' die ze afknallen, adhv een soort van hololens in hun lens kunnen ze allerlei informatie oproepen (bv via holografie). Op één of andere manier loopt het mis met één van de militairen zijn implantaat, waardoor hij vaststelt dat die zombies eigenlijk weerloze burgers van de tegenstander zijn...
Zie het maar voor je. Binnen enkele decennia kan deze AR zo ver gevorderd zijn dat een hack van je hololens implantaat tot dit soort resultaten kan leiden... Wie gaat dan nog onderscheiden wat werkelijkheid en fictie is? En wat kan een hack dan tot gevolgen hebben... Er zullen best wel wat wereldleiders interesse in hebben... Het gaat dan niet meer om het volgen van burgers, maar het manipuleren van diens werkelijkheid. NSA 2.0...
Of wakker worden na een leuke one night stand, je hololens van je nachtkastje halen en vervolgens luierreclame te zien krijgen omdat je wat vergeten was.
Die andere dingen zie ik ook niet zitten, maar deze vindt ik dat zo snel mogelijk ingevoerd moet worden.
Dat powershell script waar in de laatste alinea wordt gemeld is toch wel een hele handige.
Gewoon in 1 duidelijk overzicht een lijst van de updates die uitgebracht worden deze maand (en voor welke componenten). Gevolgd door een keurig overzicht welke CVE precies voor welke OSen nodig is inclusief eventuele impact.

Vooral handig voor MKB bedrijven, waar geen Altiris/SCCM of ander management system in gebruik is.

[Reactie gewijzigd door walteij op 12 juli 2017 11:07]

Ik zou graag zien dat ik dat hololens, de Mixed Reality Portal, van mijn systeem kan verwijderen, dan heb ik daar geen updates voor nodig ook! :)
Absoluut belachelijk dat door een Wifi packet iemand je apparaat kan overnemen. Ik dacht toch dat ze bij MS al betere security practices hadden qua programmeren, maar waarschijnlijk toch niet.
Wat jij maakt werkt altijd feilloos en in één keer O-) _/-\o_
Nooit. Maar nadat ik het gedebugged heb wel.
Dat was mogelijk aan de hand van een speciaal wifipakketje, waarna het mogelijk was om programma's te installeren en data te wijzigen.
Dit klinkt toch wel erg creepy... Je vraagt je bijna af welke developer op het geweldige idee is gekomen om dit toe te staan (of tenminste: niet te verbieden).
Kans is natuurlijk aanwezig dat dit (gezien het product nog steeds in development is) het developer debug code is om makkelijk programma's te installeren/data te wijzigen zonder steeds in te loggen oid.
Dat zal natuurlijk niet bewust gebeurt zijn.
... Omdat het publiek is gemaakt en gepatched. Waarom zou een bedrijf zich in godsnaam laten omkopen door de NSA om een backdoor in te bouwen, om dat vervolgens te fixen voordat ze er gebruik van kunnen maken?
Er zijn altijd wel mensen die om te kopen zijn. Er een fout in vroegtijdig stadium van de software inbouwen heeft zijn voordelen. Als veel mensen een optie gebruiken die lek blijkt te zijn maar het zijeffect gunstig is ("als ik a en b doe, doet ie automatisch een reset", niet doorhebbende dat a en b gebruiken eigenlijk de chip crashed). Het is dan lastiger voor de producteigenaar om het te patchen.
Bron? (En nee, YouTube plempseltjes van verwarde Amerikanen zijn geen bron)

@Auredium OK, en wie dan precies?

[Reactie gewijzigd door DigitalExcorcist op 12 juli 2017 10:47]

Lijkt me goede zaak toch?
Dat is extreem logisch omdat het nog in ontwikkeling is
De Hololens is al een tijdje te koop hoor. Je kan hem gewoon in de Franse store bestellen en naar BE laten versturen https://www.microsoft.com...ment-edition/8xf18pqz17ts
Heel mooi dat je inderdaad ziet dat het om een "development" edition gaat.

Development is trouwens Engels voor ontwikkeling.
"Development edition" betekent hier dat dit een device is voor ontwikkelaars van apps voor op de hololens, niet dat het toestel nog in ontwikkeling is.
de "commercial edition" is ook beschikbaar https://www.microsoft.com...ercial-suite/944xgcf64z5b
Hoezo nog niet in de winkel? HoloLens is gewoon te bestellen in de microsoft store. Doe hem in je winkelwagen, betaal en binnen 2 dagen heb je hem in huis.

https://www.microsoft.com...lolens&form=MSHOME&search=

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*