40 Windows-applicaties bevatten bekend kritiek lek
Dat stelt HD Moore, hoofd beveiliging bij beveiligingsbedrijf Rapid7 en ontwikkelaar van de Metasploit-toolkit voor het uitvoeren van penetratietesten. Om welke applicaties het gaat, wil Moore niet bekend maken; wel zal iedere leverancier het lek zelf moeten patchen, stelt hij.
Shutterstock
Shutterstock
Apple patchte het lek al in maart, nadat het beveiligingsbedrijf Acros op het bestaan had gewezen. Acros insinueerde toen al dat ook andere software kwetsbaar zou zijn.
Uit informatie bij de patch van Apple blijkt dat de kwetsbaarheid zit in de manier waarop Windows veilige bestandstypes laadt vanaf externe netwerklocaties. Een hacker kan daardoor code binnensmokkelen als hij een DLL-bestand met kwaadaardige inhoud op die netwerklocatie weet te plaatsen. Door de bug in de software wordt met - in het iTunes-geval - een mediabestand door de mediaspeler ook de malware uit het DLL-bestand opgehaald. Als de tussenliggende firewalls http-verkeer richting internet toestaan, kan het ook in de vorm van een drive-byaanval; dan hoeft een hacker zijn slachtoffer alleen maar naar een geprepareerde webpagina te lokken.
Apple heeft dat lek gedicht met versie 9.1 van zijn muziekspeler voor Windows. De Mac is niet kwetsbaar voor het probleem. Maar volgens Moore is het probleem met de patch van Apple dus nog niet de wereld uit.
Microsoft heeft Moores melding in onderzoek.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee