Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft repareert twee zero-day-kwetsbaarheden in Windows

Microsoft heeft beveiligingsupdates voor maart gepubliceerd. Het gaat in totaal om 64 kwetsbaarheden die zijn verholpen, waarvan vijftien als kritiek zijn bestempeld. Onder andere de zero-daylekken in Windows 7 zijn gedicht.

De verzameling van beveiligingsupdates van maart betreft reparaties van onder andere Windows, Office, Internet Explorer en de Edge-browser, meldt Microsoft bij de releasenotes. Een van de belangrijkste fixes verhelpt kwetsbaarheid CVE-2019-0808 in Windows 7, Windows Server 2008 en Windows Server 2008 R2. Die kwetsbaarheid betreft Win32k, en maakt het verhogen van rechten en draaien van code in kernelmodus mogelijk. Dit is de zero-day-kwetsbaarheid die in combinatie met een Chrome-lek actief misbruikt wordt en waar Google vorige week voor waarschuwde.

Daarnaast is de zero-day-kwetsbaarheid met volgnummer CVE-2019-0797 gerepareerd. Deze is aangetroffen door Kaspersky en betreft ook Win32k. Het lek werd actief misbruikt en aanvallen richtten zicht op 64bit-versies van Windows 8 tot en met Windows 10 met buildversie 15063. Kaspersky schrijft dat de aangetroffen exploit bekeek of deze vanuit Google Chrome draaide en als dat zo was geen actie ondernam, omdat de kwetsbaarheid niet vanuit een sandbox te misbruiken is.

Verder zijn de updates KB4490628 en KB4474419 verschenen die sha-2-ondersteuning toevoegen aan Windows 7 SP1 en Windows Server 2008 R2 SP1. Die ondersteuning is vanaf 16 juli vereist voor de besturingssystemen, omdat ze anders geen updates meer ontvangen. Microsoft wil volledig af van het signeren van Windows-updates met het inmiddels onveilig geachte sha-1.

Door Olaf van Miltenburg

Nieuwscoördinator

13-03-2019 • 12:46

70 Linkedin Google+

Reacties (70)

Wijzig sortering
Dus het was best netjes ~3 maanden, maar 4 dagen overschreden gezien het op 09-01 van dit jaar is aangemeld. Gelukkig was het dus broodnodig van Google om de exploit te openbaren.
Als de exploit op 9-1 gemeld is, is het nu toch 2 maanden en 4 dagen geleden? :)
Zal ik het nog wat heftiger maken voor je? Het is allemaal nog veel korter op elkaar.
  • High CVE-2019-5786: Use-after-free in FileReader. Reported by Clement Lecigne of Google's Threat Analysis Group on 2019-02-27
  • Fix hiervoor wordt op 1 maart gepushed voor Chrome.
  • Tweet op 5 maart vertelt dat er een week eerder een keten van 0days is gevonden.
  • 7 maart waarschuwd Google voor een 0day in Windows 7 ( die ze op 27 februari gemeld hebben aan Microsoft)
Zoals je ziet is er maar 7 dagen voorbij gegaan. Wat weer strookt met het beleid wat Google hanteerd.
When we observe a previously unknown and unpatched vulnerability in software under active exploitation (a “0day”), we believe that more urgent action—within 7 days—is appropriate.
Nu denk je natuurlijk, maar wacht CVE-2019-5786 heeft een "Date Entry Created" van 9-1-2019 hoe kan dat?
Mitre has a "Date Entry Created" field in their database, this is the date the CVE was either assigned by Mitre to a specific issue, or the date that CVE was given by Mitre to another organization (such as Red Hat) for future use. For example CVE-2015-0201 through CVE-2015-0300 were assigned on November 14, 2014 to Red Hat, as of late January 2015 Red Hat has only used approximately half of these.
Dus, Microsoft krijgt de bugmelding op 27-02-2019. Op 07-03-2019 brengt Google het nieuws naar buiten. Op 13-03-2019 rolt Microsoft een patch uit. 14 dagen.

[Reactie gewijzigd door Yemoke op 13 maart 2019 17:15]

Ik was er nog niet helemaal ingedoken nog ivm werk.

Maar dan houdt Project Zero nu gewoon op voor mij. Google gebruikt het overduidelijk als politiek wapen jegens hun concurrentie. Echt jammer dit, want dit is gewoon zwaar verkeerd. Google gaat hier keihard een grens over waar ze vanaf moeten blijven.

Gelukkig heeft MS in het verleden duidelijk gemaakt dat ze zich echt niet door Google laten opjagen.
Ik heb mij nog ingehouden om op alle voorgaande nieuwsberichten te reageren echter kan ik het nu toch niet laten omdat er constant deze discussie is over de publicatie.

De exploit werd actief misbruikt.

Zoals @Yemoke aangeeft strookt dat wel met de disclosure policy van Google. Om het nog eens te benadrukken - strookt: stroken werkw. in overeenstemming zijn met

En dit is ook enorm logisch. Technisch gezien is de exploit al public; hij wordt misbruikt. Dan is er maar één logische vervolg stap: iedereen informeren. Dit geeft namelijk opties en mogelijkheden om zo'n aanval op een andere manier te mitigeren (desnoods je server uit te zetten of whatever).

Eigenlijk zijn 7 dagen dan nog bizar lang. 7 dagen actief misbruik van een 0day kan enorme gevolgen hebben.

Elke professionele partij disclosed security issues als deze in het wild worden misbruikt. Dit is zo vaak voorgekomen. Reden: zoals ik daarnet al aangaf; wellicht kunnen users het zelf mitigeren alvorens de patch komt.
Dat iets actief misbruikt wordt betekent dat het bij minstens één partij bekend was, niet dat het publiekelijk bekend was. Het was pas publiekelijk bekend nadat Google over de exploit publiceerde, compleet met proof-of-concept. Vanaf dat moment kon iedereen die zich daarvoor interesseerde zelf een exploit maken.

7 dagen actief misbruik van een 0day kan inderdaad grote gevolgen hebben. Een in alle haast geschreven en onvoldoende geteste patch kan nog veel grotere gevolgen hebben.
Een OS is een zeer complex geheel van in elkaar grijpende modules. Wanneer je één module 'fixt' kan dat betekenen dat je hem voor een andere module op slot zet, waardoor bij bepaalde omstandigheden het hele systeem hangt.
Actief misbruikt door zowel FruityArmor als Sand Cat "groeperingen".
Daarnaast ook zeker al prominent bekend bij de ondergrondse hacker community's.

De proof of concept waar je het over hebt: source? Want die is er namelijk niet.

Een discussie over patchen e.d. is niet zo relevant. Het gaat erom dat het wel erg actief misbruikt werd en dat vanaf publicatie mensen op zijn minst een kans hebben om zo'n aanval te mitigeren. Je hebt ook nog het argument dat na de publicatie de weg open is voor iedereen om een exploit te schrijven. Dat is nu juist het ding: de 'baddies' konden dat allang want het was zo enorm bekend in dat wereldtje.

Ik vind persoonlijk dat je probeert argumenten te verzinnen/om te draaien waarom het allemaal slecht is. Terwijl feitelijk gezien, en zeker met het oogpunt op baten/gevolg dit alleen maar logisch is geweest.
Actief misbruikt binnen Chrome. Waar het al gefixed is.

Wie zegt dat het buiten Chrome actief misbruikt werd. Google? Hoe weten hun dat. Dat is iets waar Microsoft meer zicht over heeft, waarmee ze de juiste conclusie kunnen trekken.

Microsoft heeft alles behalve een slechte track record in het behandelen en omgaan met gemelde exploits. Google daarentegen heeft een veel slechter track record (een belabberd Win9X achtige trackrecord), en die moet dan de les gaan lezen?

Haha, komisch
Man man man.

Je roept veel, maar onderbouw het is. Of is het onderbuik gevoel?

Laat ik het zo zeggen, dat ik zo een paar linkjes heb slingeren, waarin bugs zijn vrijgegeven na een periode, soms zelfs met uitstel.

[Reactie gewijzigd door Yemoke op 14 maart 2019 19:38]

Ik kan het trackrecord prima onderbouwen met enkel dit topic. Bronnen? scroll omhoog en/of omlaag (iemand heeft dit al uitgezocht)
Exploit op 9 januari bekend bij Google.
27 februari licht Google Microsoft in van exploit.

Vanaf moment van kennis, wie heeft het het snelste (en netste) opgelost?

Als het in het wild buiten Chrome actief misbruikt wordt, waarom wordt Microsoft pas op 27 februari ingelicht? Waarom krijgt Microsoft nog geen 2 weken de tijd en neemt Google zelf 2 maanden de tijd?
Omdat ze bij Chrome pas op 27 feb op de hoogte werden gebracht? Eerder was het niet bekend, althans niet binnen de juiste bronnen. Google kwam in de publicatie met een bug in Chrome en Windows 7. Het is niet dat ze zelf zeggen niet vatbaar te zijn. Tja Chrome was inprincipe al geupdate, maar dat is natuurlijk geen vergelijking. Mensen zijn nu op de hoogte dat ze moeten updaten, is toch goed juist.

Het is trouwens niet uit eigen onderzoek, het was een threat analysis. Dus het is iets wat ze tegenkwamen. Daarbij werd ook een Windows 0day gebruikt. Nu zijn miljoenen veilig door de buzz.

Je moet begrijpen dat een exploitchain niet opzichzelf staat. Het is heel logisch om een aanval te gebruiken en daar geen contstant verschillende methoden bij te gebruiken. Je gaat zolang een 0day niet bekend is geen andere gebruiken.

Edit:
Nogmaals die bug is niet op 9-1-2019 gemeld. Het CVE nummer is uitgegeven op die datum. Die worden voor grote organisaties al vooruit afgegeven. Dus dat heeft niks te maken met de huidige datum.

[Reactie gewijzigd door Yemoke op 14 maart 2019 20:04]

Ah ik zit in te gaan met argumenten uit jou eigen posts lol. Was jou post waar ik juist naar zat te refereren.

Anyway. Microsoft had ook zonder publicatie de patch in het wild los gelaten afgelopen patch Tuesday. Daar was publicatie absoluut niet voor nodig.

1,5maand de tijd nodig hebben om zo'n exploitchain uit te zoeken en de impact ervan te indexeren is niet eens veel tijd. De 6+maanden die Intel kreeg is niet eens extreem. Soms is er gewoon tijd nodig.

Het gaat mij om de manier waarop. En de toeval waarbij dit vanuit Google bij bepaalde bedrijven gebeurt.
:> ik laat het erbij ouwe cowboy :> fijne avond :+
De proof of concept waar je het over hebt: source? Want die is er namelijk niet.
Ik haalde blijkbaar twee berichten door elkaar. De proof-of-concept was bij een exploit voor macOS: Nieuws: Google maakt veiligheidslek macOS bekend voordat er een patch is

Ik vindt dit even logisch als wanneer je tot de ontdekking komt dat mijn deur niet goed op slot zit, me een berichtje stuurt en wanneer ik niet binnen tien minuten aan kom rennen om de deur goed op slot te doen, je een groot plakkaat aan mijn deur hangt met de mededeling dat de deur niet goed op slot zit. Ik kan geen enkele reden verzinnen waarom dit een logische handelswijze zou kunnen zijn. Behalve om mij publiekelijk te kakken te zetten.
Of MS heeft gewoon het lek gedicht, grondig getest of er geen andere exploits naar boven kwamen en gewoon gepland dat ze het sowieso vandaag zouden releasen?

of denk ik weer te simpel?
Ik gok dat batjes sarcastisch is. In de trand van Google was te ongeduldig om vier dagen te wachten.
Dat dus. Google die op de achterpoten staat van "3 maanden, that's it, uitstel mag niet". Terwijl MS de patch dus in feite al klaar heeft (is echt niet in 4 dagen ontwikkeld).

Google flikte dit vorige week ook bij Apple en dit is niet de eerste keer dat Google dit bij MS flikt.
Alleen heeft Microsoft wél duidelijk laten weten dat ze aan een oplossing werkten, i.t.t. Apple die er erg vaag over deden.
Apple was niet vaag, die gaf aan dat er een patch klaar stond voor de volgende patch ronde.
En waaneer is "de volgende patchronde" dan...
Geen idee, ik ben MS fanboy, niet van Apple. Ik ga er vanuit dat ze een soortgelijk systeem hanteren als MS. Patches verzamelen en 1 keer in de X weken uitgeven. Elke keer zodra een patch klaar is deze direct uitbrengen werkt namelijk ook niet.
Nou op zich werkt het wel, zie ALLE linux distro's. Het keerpunt zit em in de gebruiker vrij laten wanneer die updates geinstalleerd worden. Wat zou het toch mooi zijn als updates gewoon vrijgegeven worden zodra ze klaar zijn, en de grbruiker zelf kan besluiten om maximaal 1x per week te updaten.
Het kan ook wel. Windows kan technisch net als Linux on the fly updaten zonder herstarts of andere gebruiker lastig vallende methodes.

Alleen herstart ik mijn Debian server ook gewoon op patch dagen. Want toch is het wel prettig dat onveilige of onstabiele handles gesloten worden. Of er moeten dusdanig veel services herstart worden, dat je net zo goed kan rebooten.

Beide manieren hebben hun voordelen. Linux laat het vrij aan de gebruiker, Microsoft loopt gewoon het liefst zo min mogelijk problemen op.

Ik heb Linux servers gezien die gewoon gehacked werden door exploits die al maanden of jaren gefixed zijn. 1 keer een Apache exploit gehad welke 1,5 jaar eerder gepatched werd. Gewoon omdat een andere services een handle naar Apache had open staan en deze nooit gesloten had (wat een hell om hier achter te komen). Waardoor een vrij serieuze root-elevation exploit gewoon met poort 80,8080 en 443 aan het WWW hing.

En als je wilt weten hoe de gemiddelde gebruiker met updates om gaat als de verantwoordelijkheid bij hun ligt… Zie hiervoor XP tot en met Win7 :) Hoe ontzettend belachelijk veel mensen (echt niet leuk meer) hun systeem nooit geupdated hebben.... Wauw. Sinds patch Tuesday is het wat beter geworden en nu MS het afdwingt is helemaal ideaal.
Ik doelde niet zozeer op het online (als in zonder reboot) updaten van de kernel, maar meer het installeren an sich aan de gebruiker overlaten. Ieder wissewasje heeft in Windows nog stééds een reboot nodig (of ze doen het uit luiheid) dus ik kan me goed voorstellen dat een gebruiker, en vooral een poweruser, zelf wil bepalen wanneer updates geinstalleerd worden.
Het aantal reboots met updates is sinds Windows 7 enorm afgenomen. Van wekelijks mijn systeem moeten herstarten is dat nu 1 keer per X maanden. Ik haal sinds Windows 10 voor het eerst consistent uptimes van meer dan een maand terwijl mijn systeem volledig up to date is.

Powerusers zouden geen Home moeten gebruiken en op Pro had je het al -enigszins- in de hand.
Dat is niet waar. Windows 10 moet voor bijna elke update rebooten.
Voor zover ik weet kan Windows zijn kernel niet on the fly updaten in tegenstelling tot de Linux kernel die dat wel kan.

Daarnaast zou ik allerminst willen stellen dat het forceren van Windows update 'helemaal ideaal' is want daarvoor gaat het nog steeds te vaak mis. Ik kan de klok er op gelijk zetten dat mensen me om hulp vragen omdat er weer problemen zijn na de maandelijkse update ronde van Windows. Het idee er achter is misschien leuk maar de uitvoering laat nog veel te wensen over.

En wat betreft het geneuzel over de zero-day patch: het kan zijn dat MS de update al een tijdje gereed heeft maar wacht met uitbrengen tot de reguliere patch ronde. Je kunt je, als dit het geval was, afvragen of het wenselijk is dat fabrikanten kritieke patches achterhouden van exploits die actief worden misbruikt alleen omdat ze geen zin/moeite willen doen om dergelijke patches z.s.m de deur uit te doen.

Dat Google een beetje druk op de ketel zet is niets mis mee. Microsoft en Apple mogen blij zijn dat Google niet alleen de beveiliging van haar eigen producten/diensten serieus neemt maar ook die van producten van derden (omdat ze die producten binnen Google ook gebruiken bijvoorbeeld). Uiteindelijk wordt iedereen hier beter van. Dat jij denkt dat Google dit doet om haar concurrenten zwart te maken of een hak te zetten is echt lachwekkend.

[Reactie gewijzigd door Jorick op 13 maart 2019 22:02]

Voor zover ik weet kan Windows zijn kernel niet on the fly updaten in tegenstelling tot de Linux kernel die dat wel kan.
Let op het woordje technisch. Microsoft heeft inhouse dit met Windows 7 als test uitgevoerd. Deels om er ook voor te zorgen dat de NT kernel en Windows zelf daadwerkelijk modular is/blijft.
Ze vonden het het risico niet waard. Naar mijn mening is dat best goed overwogen.

Ook Windows update gaat vaak mis inderdaad. Het blijft software. Maar vergelijk het nu eens met 10 of 20 jaar geleden. En alles gaat eigenlijk verbazend vaak juist goed. Apple, Google, Linux... Ze hebben er allemaal last van.

Achterhouden van kritieke patches is niet zo'n probleem. Dankzij telemetry kunnen ze namelijk uiterst goed in de gaten houden of gaten misbruikt worden. Microsoft heeft in het verleden ook patches buiten de patch tuesday uitgebracht als ze zagen dat het in het wild misbruikt werd.

Druk op de ketel is niet erg, is ergens ook het doel van Project Zero. De focus voor veiligheid e.d.
Maar Google misbruikt Project Zero als politiek wapen. 3 maanden? Microsoft wist op 27feb pas van deze exploit. 2 weken tot patchen = super netjes. Hoe meer druk is er nodig?

Dat terwijl Microsoft 3 maanden + 2 weken de tijd zou hebben om het te patchen. Maar Google moest even snel voor patch tuesday het openbaren.
Het beshermd in de zin van: Als het in het wild gedetecteerd wordt, nadat dit bij Microsoft is aangemeld (als ze het niet weten, kunnen ze het ook niet in de gaten houden). Dan pushed Microsoft namelijk gewoon de update buiten patch tuesdays om. Dat is vaak genoeg gebeurd en zal in de toekomst zeker weer gebeuren.

Het houdt malware niet tegen, maar als het niet actief misbruikt wordt, is het risico dusdanig klein dat het totaal geen probleem is dat Microsoft 2 weken de tijd genomen heeft om na aanmelding van Google, die exploit te fixen. 2...weken.

Actief misbruikt in Chrome. Waar haal je toch in godsnaam vandaan dat het buiten Chrome misbruikt werd?
...
Actief misbruikt in Chrome. Waar haal je toch in godsnaam vandaan dat het buiten Chrome misbruikt werd?
Zoals je hierboven in het artikel kunt lezen worden/werden beide kwetsbaarheden in zowel Chrome (CVE-2019-5786) als in Windows (CVE-2019-0808) in combinatie met elkaar gebruikt. Google beschrijft waarom ze over zijn gegaan tot publicatie, mede omdat de kwetsbaarheid in Windows ook middels andere kwetsbaarheden in browsers (en niet alleen Chrome) te misbruiken is. Google heeft conform hun beleid gehandeld dus waar die vermoedens/verdenking bij jou vandaan komen is mij een raadsel.
In combinatie met...Begrijpend lezen?

Dus misbruik vind plaats enkel in Chrome, welke dus al gepatched was. Waardoor er dus geen misbruik meer plaatsvond.

Nogmaals, heb je een bron waar misbruik niet in combinatie met Chrome plaatsvond? Ik kan het namelijk niet vinden.

Want als dat het geval is, dan heeft Google een punt. Maar als deze exploit op Windows nog niet actief misbruikt werd, dan overspeelt Google hier enorm de bal en wordt er niet gehandeld conform hun eigen beleid.
Het lek in Chrome mag dan wel gedicht zijn maar het gevaar is daarmee nog niet geweken zolang ze het lek in Windows niet dichten omdat dat lek ook via andere wegen te misbruiken is. Je hebt CVE-2019-5786 dus niet nodig om CVE-2019-0808 te kunnen exploiteren. Dat is ook wat ze schrijven in hun blog:
Pursuant to Google’s vulnerability disclosure policy, when we discovered the vulnerability we reported it to Microsoft. Today, also in compliance with our policy, we are publicly disclosing its existence, because it is a serious vulnerability in Windows that we know was being actively exploited in targeted attacks. The unpatched Windows vulnerability can still be used to elevate privileges or combined with another browser vulnerability to evade security sandboxes. Microsoft have told us they are working on a fix.
Bron: https://security.googlebl...abilities-to-protect.html

Dan kun je je heel erg druk gaan maken dat Google dit conform hun beleid publiceerde voordat Microsoft met een oplossing kwam maar ik vind het juist een pluspunt dat Google dit doet omdat gebruikers (admins bijvoorbeeld) nu ten minste op de hoogte zijn en maatregelen kunnen nemen (upgraden naar W10 bijvoorbeeld) zolang de kwetsbaarheid niet verholpen is. Dat is in mijn optiek beter dan het alternatief om het onder de pet te houden want dat geeft alleen maar een vals gevoel van (schijn)veiligheid.
Dat is dan verder ook het punt niet. De exploit bestaat inderdaad en het is geen kleintje.

Maar, als die buiten Chrome nog niet actief misbruikt werd, slaat je verdediging van Google alleen nergens op. Want dan is er absoluut geen reden om het allemaal na 2 weken al te openbaren.

Iets met "The boy who cried wolf". Waarom zou ik Google nu nog serieus nemen als hun claimen dat iets serieus is of niet?

En het erge is.. Google heeft de zwaarste exploits van de laatste 20 jaar meer dan een half jaar achter gehouden. Dus dat argument om gebruikers te beschermen gaat ook niet op.
Maar, als die buiten Chrome nog niet actief misbruikt werd, slaat je verdediging van Google alleen nergens op. Want dan is er absoluut geen reden om het allemaal na 2 weken al te openbaren.
Ja hallo op deze manier heeft discussiëren geen zin als je er op eigen houtje allemaal voorwaarden bij gaat verzinnen om je gelijk te willen halen. Er is een kwetsbaarheid gevonden (check) in Windows dat actief misbruikt werd (check) via een kwetsbaarheid in Chrome oftewel een 0-day (check). Aan alle voorwaarden is voldaan om over te gaan tot publicatie zoals staat beschreven in hun beleid maar om een of andere reden wil jij dat niet zien of weten.
En het erge is.. Google heeft de zwaarste exploits van de laatste 20 jaar meer dan een half jaar achter gehouden. Dus dat argument om gebruikers te beschermen gaat ook niet op.
Ook dit soort (uitzonderlijke) gevallen staat omschreven in hun beleid:
As always, we reserve the right to bring deadlines forwards or backwards based on extreme circumstances. We remain committed to treating all vendors strictly equally. Google expects to be held to the same standard.
. Extreme circumstances is exact wat er aan de hand was bij Spectre/Meltdown omdat die kwetsbaarheden vrijwel de hele industrie trof en de aard van het probleem (hardwareontwerp) lang niet zo eenvoudig was om op te lossen als de doorsnee kwetsbaarheid die gevonden wordt. Dat in dat extreme geval een andere beslissingen is gemaakt (niet alleen door Google maar in overleg met alle partijen, dus ook Microsoft!) valt te begrijpen. Heb jij een suggestie hoe ze het anders hadden moeten doen dan?
Lol.

Chrome is gefixed. Exploit wordt dus niet meer actief misbruikt. Want er is geen enkel teken dat deze exploit buiten Chrome om misbruikt is. Dus het argument dat het op het moment van openbaren actief misbruikt werd, ligt aan Google's update beleid van Chrome als die al die browsers nog niet heeft weten up te daten.

Het hele beleid gaat voor Google dus totaal niet op. Tenzij ze bewijs hebben dat deze exploit dus buiten Chrome om actief misbruikt is op Windows. Dus, uhm. Bron pls?

Oh en als bonus, deze exploit was sinds 9 januari bekend bij Google. Google heeft pas op 27 februari Microsoft hier van geïnformeerd. Ze hebben zelf meer tijd genomen dan ze uitdelen :) Microsoft volgt Google's beleid beter dan Google.

[Reactie gewijzigd door batjes op 14 maart 2019 18:23]

Chrome is gefixed. Exploit wordt dus niet meer actief misbruikt. Want er is geen enkel teken dat deze exploit buiten Chrome om misbruikt is. Dus het argument dat het op het moment van openbaren actief misbruikt werd, ligt aan Google's update beleid van Chrome als die al die browsers nog niet heeft weten up te daten.
Heb je überhaupt de moeite genomen om de blogpost zorgvuldig door te lezen? Dit staat er letterlijk:
Pursuant to Google’s vulnerability disclosure policy, when we discovered the vulnerability we reported it to Microsoft. Today, also in compliance with our policy, we are publicly disclosing its existence, because it is a serious vulnerability in Windows that we know was being actively exploited in targeted attacks. The unpatched Windows vulnerability can still be used to elevate privileges or combined with another browser vulnerability to evade security sandboxes. Microsoft have told us they are working on a fix.
Lees vooral het dikgedrukte deel: ze publiceren omdat ze weten dat er actief misbruik van het lek werd gemaakt. Of dat via het lek in Chrome was of op andere manieren staat er niet bij maar is ook niet relevant want de kwetsbaarheid in Windows verdwijnt er niet mee en voldoet nog steeds aan de criteria van Google op basis waarvan zij beslissen wel/niet te publiceren.
Oh en als bonus, deze exploit was sinds 9 januari bekend bij Google. Google heeft pas op 27 februari Microsoft hier van geïnformeerd. Ze hebben zelf meer tijd genomen dan ze uitdelen :) Microsoft volgt Google's beleid beter dan Google.
Je bent waarschijnlijk afgegaan op de Date Entry Created (DEC) van de CVE maar daar staat niet voor niets de volgende disclaimer bij:
Disclaimer: The entry creation date may reflect when the CVE ID was allocated or reserved, and does not necessarily indicate when this vulnerability was discovered, shared with the affected vendor, publicly disclosed, or updated in CVE.
Als je wat verder kijkt dan je neus lang is (zie https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=google+2019) dan zie je dat er een heel blok met CVE IDs is die allemaal dezelfde DEC hebben omdat dergelijke ID's door een CNA vaak in blokken worden uitgereikt om ze vervolgens op een later tijdstip toe te kennen aan een gevonden kwetsbaarheid. Dit staat overigens ook duidelijk beschreven op https://en.wikipedia.org/...osures#Date_entry_created.
Zou daarom graag een bron van je willen zien dat Google daadwerkelijk op 9 januari al op de hoogte was want dat is maar zeer de vraag namelijk. Het zal vermoedelijk veel dichter in de buurt van 27 februari zijn geweest zoals Google zelf aangeeft in hun blogpost waar ik al meerdere malen naar verwezen heb.
Heb je überhaupt de moeite genomen om de blogpost zorgvuldig door te lezen? Dit staat er letterlijk:
Toevallig wel, neem jij ook de moeite om te lezen.

Exploit was op 9 januari bij Google bekend. 27 februari wordt Microsoft door Google ingelicht. Als deze exploit buiten Chrome misbruikt werd, vanwaar die late bekendmaking bij Microsoft? Waarom wist Microsoft dit 10 januari niet als dit het probleem is wat Google er van maakt?

Waarom neemt Google 2 maanden de tijd en geeft het Microsoft 2 weken als het allemaal zo kritiek als jij beweert? Nu kan ik er in komen dat het misschien wat tijd kan kosten voordat Google de schaal van de exploit achterhaald heeft. Maar 1,5 maand? Nogmaals, als het zo kritiek is... Is Google echt super fucking laks geweest. Ook nog eens openbaren voordat iemand anders dan Google zelf een fix deployed heeft. En dan neem je Microsoft van alles kwalijk? oke dan.

[Reactie gewijzigd door batjes op 14 maart 2019 19:48]

Toevallig wel, neem jij ook de moeite om te lezen
Ik doe mijn best maar heb tot op heden nog steeds niets kunnen lezen/zien waar Google iets doet dat tegen hun eigen beleid ingaat laat staan dat ze doen waar jij ze van verdenkt (Project Zero misbruiken voor politieke doeleinden).
Exploit was op 9 januari bij Google bekend. 27 februari wordt Microsoft door Google ingelicht. Als deze exploit buiten Chrome misbruikt werd, vanwaar die late bekendmaking bij Microsoft? Waarom wist Microsoft dit 10 januari niet als dit het probleem is wat Google er van maakt?
Zoals ik in mijn vorige post ook vroeg: heb je een bron voor die datum anders dan de Date Entry Created van de CVE? Want die datum is helemaal niet betrouwbaar genoeg om te kunnen bepalen wanneer Google op de hoogte was van de kwetsbaarheden (zie uitleg in mijn vorige reactie).

Wat dacht je er van dat Google Microsoft niet kon informeren op 10 januari omdat ze toen zelf niet op de hoogte waren van deze kwetsbaarheden? Als ik af ga op de weinige bronnen die ik kan vinden (voornamelijk hun blogpost) dan wist Google er pas rond 27 februari van. Maar als jij betere (betrouwbare) bronnen hebt dan hoor ik dat graag maar ik kan ze niet vinden en krijg de indruk dat jij ze ook niet kunt vinden...

[Reactie gewijzigd door Jorick op 14 maart 2019 21:23]

Dat betekent vaker rebooten, en wie dat niet doet is kwetsbaar.
Vaker patches releasen betekent niet vaker patches *installeren*. Met meer releses heb je gewoon meer momenten in de week dat je kunt besluiten te gaan updaten. Je kunt het nog steeds op één keer per week houden, maar je kunt dan wel zelf bepalen wanneer in de week dat dan is.
Als een update eenmaal verschenen is is de kwetsbaarheid eenvoudiger te vinden. Daarom komen ze tegelijk uit behalve als er al een exploit rondgaat.
Dan zouden gebruikers dus moeten snappen dat het uitkomen van een patch de urgentie van het installeren verhoogt ;)

Die realisatie ontbreekt nu ook al.

[Reactie gewijzigd door _Thanatos_ op 15 maart 2019 13:46]

Dat dus. Google die op de achterpoten staat van "3 maanden, that's it, uitstel mag niet". Terwijl MS de patch dus in feite al klaar heeft (is echt niet in 4 dagen ontwikkeld).

Google flikte dit vorige week ook bij Apple en dit is niet de eerste keer dat Google dit bij MS flikt.
Google heeft regels opgesteld voor iedereen, ongeacht wat ze vinden van de partij. Daar houden ze zich aan. Of het nu Apple of MS is.

@TheVivaldi Zowel MS als Apple zijn niet heel betrouwbaar als ze zeggen bezig te zijn met een oplossing. Kijk eens naar de oude ruk OneDrive for Business client, daar hebben we jaren op een nette oplossing moeten wachten. Zelfs met andere applicaties aan de slag gegaan om maar een relatief storingsvrije situatie te creëren bij klanten. MS zij al jaren bezig te zijn met een oplossing. Het punt is dat je niet op iemands blauwe ogen kan zien of hij de waarheid verteld verteld of niet. Zeker niet bij kleine partijen en al helemaal niet de discussie aan wil gaan bij die wel een extension en bij die niet, straks krijg je nog eens partijen die rechtszaken gaan aanspannen omdat Google niet iedereen gelijk behandeld...

90 dagen.
Google heeft regels opgesteld voor iedereen, ongeacht wat ze vinden van de partij. Daar houden ze zich aan. Of het nu Apple of MS is.
Ik zou zeggen, Google het even.

Apple heeft in het verleden ook gewoon uitstel gehad. Google heeft zelf minstens een keer of 3 (waar ik van weet) zelf de uitstel genomen. Intel heeft 2x (meer zelfs als het niet zou uitlekken) zo veel uitstel gekregen en zo zijn er nog een stapeltje partijen waar Google wel uitstel heeft gegeven.

Het is dat de Tweakers search echt super kansloos is, Project Zero zoeken en 3/4de van de resultaten heeft geen klap met Google te maken.

Uitstel voor Apple in het verleden:
https://tech.slashdot.org...n-apples-os-and-ios-cores
Hier waar Google 'makkelijker is geworden' met uitstel:
https://9to5google.com/2015/02/16/project-zero-grace-period/

Verder lastig zo terug te vinden en weinig zin om al die Project Zero dingen door te zoeken.
Het lijkt er inderdaad bijna op dat Google exploits op een dusdanig moment meldt, dat de 90 dagen net voor een standaard patch moment verlopen. Maar ik zal wel achterdochtig zijn richting de grootste privacy schender die er is.
Wat ik mij stilaan begin af te vragen is waarom dit keer op keer gebeurd. Deze aankondigingen van Google gaan bijna altijd maar enkele dagen voor aan Patch Tuesday...
andere kant begrijp ik google ook wel met hun 90-dagen-na-melding-openbaring-verhaal.

Als je voor bedrijf A afwijkt, ga je het vervolgens ook voor andere kwesties afwijken? inprincipe niet.

MS kon een hotfix droppen, maar heeft wellicht besloten dat het een acceptabele risico was.
Maar Google wijkt genoeg af. Vooral voor niet concurrenten en zichzelf.

Google heeft zelf al meermaals hun eigen 90 dagen overschreden. Maar op 1 of andere manier, tenminste zo zie ik het. Als Google exploits vind bij partijen die ergens tegen Google concurreren, zoals een Apple of Microsoft. Dan is die 90 dagen ineens een keiharde niet van af te wijken deadline.

In dit geval heeft Google het zelfs openbaart voor de 90 dagen :/
Dat lijkt me niet de conclusie.

Microsoft heeft dit in hun monthly roll-up van security updates gestopt. Grote kans dat ze dit al lang klaar hadden, al konden pushen, maar het niet in het wild gebruikt werd dus hier niet echt een rede toe was, en het waarschijnlijk minder gedoe zou geven om het gewoon met de maandelijkse patchronde.

Continu elke security update zo snel als klaar publiceren leidt tot ongelukkige gebruikers die zeuren over weer een update. Dit dus niet doen voor een update die niet in het wild misbruikt wordt of gepubliceerd is, maar enkel in handen is van MS + betrouwbare beveiligingsonderzoekers lijkt me een goede zaak.

Als iets zou het waarschijnlijk fijn zijn als Google een weekje gewacht had, zodat deze roll-up al uit was
Het is in iets meer dan 2 maanden verholpen. Niet 3...
Google maakt het alleen 'voortijdig' openbaar als een lek al actief misbruikt word.
Dan kan jij als gebruiker je mogelijk beter indekken ipv het niet te weten...
Het is maar wat je liever hebt.
Da's mooi dat dit gefixt is, en in mijn geval voor Windows 10 Pro.
En nu weet ik er zo niet precies het fijne vanaf, maar wat mij pas overkomen is, daar werd ik nu bepaald blij van. Ik zat mijn bureau pasgeleden weer eens nodig aan de kant te maken namelijk, tijdens dat het systeem met een after effects render bezig was, waarna ik vervolgens naar mijn monitor kijk, en er doodleuk een door mijn mappen zie bladeren, waarna ik even zoiets had van wat de hell is hier nu gaande dan. Maar heb vervolgens mijn UTP kabel maar even uit mijn PC getrokken, en toen was het dan ook gelijk afgelopen. Maar werkelijk, dit was mij nog nooit eerder overkomen zeg, dus vervolgens ook alle wachtwoorden maar weer eens lopen aanpassen, router, e-mail, enz... en hoop dan ook dat het nu ook daadwerkelijk weg blijft.
Ik zou als ik jou was dan toch ook even de draaiende processen en geinstalleerde software controleren. Of er niets iets van bijv. een TeamViewer Server, LogMeIn, etc. draait. Dan kun je wachtwoorden veranderen wat je wilt, maar komen ze er gewoon weer in waarschijnlijk.

@SSDtje Ik heb persoonlijk meerdere keren bij mensen meegemaakt dat de TeamViewer Server software draaide op hun systeem zonder dat zij het wisten. Hoe dat daar dan op terecht is gekomen weet ik niet, maar het draaide wel :x

[Reactie gewijzigd door mrdemc op 13 maart 2019 15:20]

Snap ik, alleen draai ik dat type software niet, het enige wat rechts bovenin altijd open staat is de aansturing en inrichting van mijn geluid's kaart (welke geluid ik waaruit wil hebben, en welk geluid waar mag binnenkomen, mocht er zoiets aangesloten zitten, een elektrische gitaar bijvoorbeeld, betreft nogal een iets andere geluid's kaart dan de standaard is namelijk) verder alleen nog de videokaart driver, netwerk en soms USB, maar dat is het dan ook wel, via taakbeheer wordt hetzelfde als draaiende gemeld.
Je hoeft de software ook niet zelf geïnstalleerd te hebben natuurlijk. :)

Het kan ook een bekende zijn die op een onbewaakt moment de software installeert en vanaf een afstand dergelijke acties uitvoert. Of een computerwinkel die denkt dat de software er wel op mag zodat ze je in het vervolg van afstand kunnen helpen i.p.v. dat je langs hoeft te komen, maar daarbij een zwak gebruikersnaam / wachtwoord gebruiken of een medewerker hebben die niet zo goed kan omgaan met dat soort mogelijkheden binnen handbereik.

Oftewel; Het kan geen kwaad het te controleren. :)
En ook dat begrijp ik, wees gerust. Maar dat een bekende dit op een onbewaakt moment heeft geïnstalleerd lijkt me sterk, maar true, zal wel kunnen natuurlijk, maar ook dat is nadat me dit was overkomen dan ook gelijk nagekeken, en er bleek niets van dat soort software op aanwezig te zijn, het betreft in mijn geval puur een content creator PC namelijk. En dat een computerwinkel dit ooit op mijn PC heeft gezet bij aanschaf, lijkt me lastig, aangezien ik mijn PC's al jaren zelf bouw ;) met andere woorden, het wordt online gekocht, en wanneer ik het dan eenmaal allemaal thuis heb, netjes door mijzelf in elkaar geknutseld, en deze is achteraf ook nooit bij een computer winkel geweest ter reparatie, dus daar kan het hem ook niet inzitten. Maar goed, meedenken is altijd welkom natuurlijk :)

Edit: Typo

[Reactie gewijzigd door SSDtje op 13 maart 2019 18:39]

Ik wil niet zeggen dat wat je zegt onzin is, maar het is hoogst onwaarschijnlijk.

In het geval van een daadwerkelijke aanval, zullen vrijwel alle commands vanuit een shell worden uitgevoerd en zal jij dat dus absoluut niet zien. Het laatste wat een hacker gaat doen is Remote Control van jouw scherm, om vervolgens daar in wat foldertjes te klikken.

Je had dus te maken met waarschijnlijk iets compleet anders (een grove vertraging van je PC door een loop (browser die honderden acties probeert te doen op een webserver,die niet goed reageert), wat direct opgelost werd door je internet verbinding uit te zetten. Dat is ongeveer 1000x waarschijnlijker, dan dat je een hacker zag browsen in je Windows Explorer.

1 uitzondering op mijn verhaal is: Tenzij je een slecht beveiligde Teamviewer applicatie of iets dergelijks hebt draaien, waarvan het wachtwoord oud en hergebruikt is. Daarnaast zit jij op een werkpc en ben jij een 'high valuable target' vanwege jouw rol in jouw werk, wat het interessant zou maken voor bedrijfsspionage of overheden.

Is bovenstaande allemaal niet van toepassing, was het gewoon iets "vaags". Alle wachtwoorden resetten kan uiteraard nooit kwaad :)
Kijk hier heb ik wat aan:
"In het geval van een daadwerkelijke aanval, zullen vrijwel alle commands vanuit een shell worden uitgevoerd en zal jij dat dus absoluut niet zien. Het laatste wat een hacker gaat doen is Remote Control van jouw scherm, om vervolgens daar in wat foldertjes te klikken."

En exact dit wat je hier noemt zat ik toen dus ook al te denken, maar aangezien ik hier zelf dus totaal niet in thuis ben, had ik even zoiets van, laat ik het hier eens neerzetten, wellicht dat iemand mij hier op tweakers er dan iets meer duidelijkheid over kan geven, en al helemaal aangezien ik niks aan Remote Control software op de achtergrond draai, wat het voor mij allemaal nog vreemder maakte.

Dus enorm bedank hiervoor, topper :D
Remote desktop openstaan naar je pc?
Administrator account actief staan met een niet veilig wachtwoord?

[Reactie gewijzigd door rdfeij op 13 maart 2019 19:33]

Dit was werkelijk het mooiste verhaaltje van de dag! xD
Verder zijn de updates KB4490628 en KB4474419 verschenen die sha-2-ondersteuning toevoegen aan Windows 7 SP1 en Windows Server 2008 R2 SP1. Die ondersteuning is vanaf 16 juli vereist voor de besturingssystemen, omdat ze anders geen updates meer ontvangen. Microsoft wil volledig af van het signeren van Windows-updates met het inmiddels onveilig geachte sha-1.
Ik vraag me dan af hoe het zit met de Windows Server 2008 eerste versie, server versie van Vista, die heeft na 16 juli ook nog support maar krijgt deze de sha-2 ondersteuning ook of blijven die met sha-1 werken?
Zou wellicht wel kunnen, maar het valt mij op dat die update vorig jaar al is uitgebracht.
Het zou toch vreemd zijn dat de Windows Server 2008 R1 eerder sha-2 support krijgt dan de R2.
Deze is aangetroffen door Kaspersky
waar is de "Rusland is gevaarlijk en dus Kaspersky ook"-houding nu ineens gebleven ?!
Ook ik denk dat Kaspersky echt zo slecht niet zal zijn als de hype doet vermoeden.
Tenzij zij of de Russen weten dat de concurreerde grootmachten net die kwetsbaarheid gebruiken en zij het het zo moeilijker kan maken .... O-)

[Reactie gewijzigd door SCS2 op 13 maart 2019 18:38]

Het is meer een "Het is in Rusland lastig een groot en succesvol bedrijf te runnen zonder dat de overheid of de maffia een vinger in de pap willen hebben, waardoor het lastig is uit te sluiten dat producten van een Russisch bedrijf op enig moment misbruikt gaan worden"-houding. Of die houding volledig terecht is, blijft natuurlijk de grote vraag.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True