Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Media Services om cookies te gebruiken. verder gaan
 

Microsoft hield patch achter voor bug die elke Windows-pc kan laten crashen

Nina van Hoof

 
Microsoft heeft al twee maanden lang een patch klaar om een bug aan te pakken die alle Windowsversies kan laten crashen, maar wachtte met het uitrollen van de oplossing wegens praktische overwegingen.

Microsoft brengt binnenkort een patch uit voor een bug die het mogelijk maakt om eender welk Windowssysteem met een ‘link des doods’ te laten crashen. Informatie over de bug is echter vroegtijdig online gezet door de security-expert die de fout ontdekte, omdat hij vindt dat Microsoft te traag reageert. De technologiereus is al sinds september op de hoogte van de bug en heeft als sinds december een patch klaar, maar koos ervoor om de uitrol ervan uit te stellen.

Corrupt geheugen

De fout vloeit voort uit het feit dat Windows niet overweg kan met een serverinstructie die te veel bytes bevat; de kwetsbaarheid komt neer op een memory corruption bug. De instructie wordt enkel gebruikt door zogenaamde SMB-servers (Small and Medium Business) voor kmo’s. Een hacker kan de situatie exploiteren door een slachtoffer op een link te laten klikken die leidt naar een bestand dat gehost wordt op een malafide SMB-server. Elke Windowsversie is kwetsbaar voor deze bug, het resultaat is een blauw scherm des doods voor het slachtoffer. Laurent Gaffié, die de bug ontdekt en rapporteerde aan Microsoft, stelt in een e-mail aan The Register dat de fout kan misbruikt worden voor een denial-of-service-attack, maar niet om vanop afstand een computer over te nemen.

Verkeerde houding

Gaffié stelde Microsoft op 25 september 2016 op de hoogte van de fout, en kreeg te horen dat het bedrijf een patch zou uitrollen in december. Dat ging echter uiteindelijk niet door. Omdat het verschillende patches voor SMB-servers in één keer wilde uitrollen, besliste het bedrijf nadien om de update uit te stellen naar februari. De veiligheidsexpert is niet te spreken over die manier van werken.”Wanneer ze op een bug zoals deze zitten, helpen ze hun gebruikers niet maar doen ze aan schadebeperking voor hun imago, en aan opportunistische patch-updates, ” zegt Gaffié. “Deze houding is verkeerd voor hun gebruikers, en voor de veiligheidsgemeenschap in zijn geheel.” De onderzoeker plaatste een proof-of-concept van de exploit online op Github.

 

Reacties

comments powered by Disqus
 

RECENT NIEUWS