In de afgelopen twee dagen heeft een beveiligingsonderzoeker die SandBoxEscaper hanteert, demo-code vrijgegeven voor drie verschillende Windows 10-kwetsbaarheden. Microsoft heeft al ten minste één exploit gepatcht, maar het bedrijf heeft nog geen commentaar gegeven op de andere.
In het afgelopen jaar heeft SandBoxEscaper zeven verschillende exploits gepubliceerd, elk met een verschillende mate van betekenis en gebruiksgemak. Verschillende verkooppunten zoals Ars Technica en ZDNet verwijzen naar deze nieuwste kwetsbaarheden als “zero-day exploits”, maar dat is misschien niet helemaal juist.
De term “zero-day” verwijst naar exploits die zijn ontdekt door externe partijen en vervolgens worden gebruikt of gepubliceerd zonder eerst het relevante bedrijf hiervan op de hoogte te stellen. Vroege rapporten suggereerden dat SandBoxEscaper al deze exploits publiceerde zonder verantwoordelijke kennisgeving aan Microsoft, maar dat lijkt niet het geval te zijn.
VERWANT: Wat is een “zero-day” -exploitatie en hoe kunt u zichzelf beschermen?
ZDNet vermeldt in een bijgewerkte versie van hun artikel dat Microsoft verduidelijkte dat het al ten minste één van deze exploits had gepatcht, en het koppelde aan CVE-2019-0863, een exploit die wordt toegeschreven aan “Polar Bear” (een andere naam die SandBoxEscaper gebruikt). Microsoft heeft geen commentaar gegeven op de andere twee kwetsbaarheden.
Als je je afvraagt hoe gevaarlijk deze exploits zijn, is het antwoord een beetje een allegaartje. Volgens SandBoxEscaper zijn de kwetsbaarheden moeilijk te misbruiken en vereisen ze lokale toegang tot de beoogde machine. Dus dat beperkt het nut van de exploits.
Aan de andere kant, als een slechte actor toegang krijgt tot machines om op te richten, kunnen ze behoorlijk wat schade aanrichten met elk van deze exploits, omdat ze verschillende manieren bieden om privileges te verhogen, SYSTEEM-toegang te krijgen en JavaScript op een niveau uit te voeren. De sandbox van IE11 zou moeten voorkomen.
Als Microsoft nog niet alle drie de kwetsbaarheden heeft gepatcht, moet het bedrijf erop focussen. [ZDNet]
In ander nieuws
- League Of Legends komt mogelijk naar mobiele apparaten: Volgens “bronnen” werken Tencent en Riot Games mogelijk aan een mobiele versie van League of Legends. Het is een verstandige zet gezien het succes van Fortnite op elk platform. Maar totdat we meer hebben dan alleen niet nader genoemde bronnen, is het op zijn best hoop en geruchten. Ik bel Jarvan IV! [Reuters]
- Razer Forge TV en Ouya nemen afscheid: Misschien denk je nu: “Wat is Razer Forge TV en OUYA?” en dat zou het probleem zijn. Razer Forge TV was een van de eerste pogingen tot Android op de tv en het bedrijf trok het binnen enkele maanden. En OUYA beloofde het spel te veranderen met zijn door crowdfunding gefinancierde Android TV-console voordat Razer het bedrijf kocht. Geen van beide is van de grond gekomen en nu zegt Razer dat het hun online winkels na 25 juni 2019 sluit. [9to5Google]
-
Panic’s aankomende PlayDate-handheld is super schattig: Afkomstig van de makers van geweldige Mac-software zoals Coda en Prompt, en indie-game-makers achter Katamari, is een schattige kleine handheld met een slinger. Moet je zien
paardgif, schreeuwt het op de een of andere manier van kinderonschuld. De PlayDate wordt begin 2020 uitgebracht en zou vanwege een high-end scherm en andere hardware ongeveer $ 150 moeten verkopen. [The Verge] - Tesla’s nieuwe rijstrookwisseltechnologie is misschien niet veilig: Onlangs heeft Tesla zijn “Autopilot-software” bijgewerkt met de mogelijkheid om automatisch van rijstrook te wisselen. Het bedrijf beweert dat de auto dit op zichzelf veiliger kan doen dan een mens, maar Consumer Reports zegt iets anders. Bij het testen ontdekten ze dat de voertuigen probeerden van rijstrook te wisselen op onveilige manieren, te remmen op onverwachte punten en auto’s af te snijden met weinig ruimte over. Zelfrijdende auto’s hebben nog een lange weg te gaan. [Consumer Reports]
- Las Vegas kent de Boring Company een contract van $ 49 miljoen toe: De andere onderneming van Elon Musk, de Boring Company, heeft goed nieuws. Las Vegas keurde een contract goed voor de bouw van een ondergrondse personentunnel, compleet met zelfrijdende elektrische voertuigen. Als de belofte om een wandeling van 15 minuten terug te brengen tot 1 minuut standhoudt, zullen CES-deelnemers dankbaar zijn. Geen woord over de vraag of de tunnel wordt geleverd met complementaire vlammenwerpers. [The Verge]
- Google’s Duplex werkt heel goed als het niet echt menselijk is: De New York Times gaf een testrun van Duplex, Google’s AI (Artificial Intelligence) boekingsdiensten die reserveringen plannen voor plaatsen zoals restaurants. Toen de AI daadwerkelijk belde, was het hele proces indrukwekkend en de persoon aan de lijn kon het niet zien. Maar soms was het helemaal geen AI. Google zegt dat ongeveer 25% van de duplex-oproepen wordt gedaan door een mens, niet door de duplex-AI, en zelfs als de AI de oproep start, komt een mens tussen in 15% van die gevallen. [The New York Times]
- Spotify heeft de wachtwoorden van sommige gebruikers gereset vanwege verdachte activiteit: Sommige gebruikers van Spotify kregen een melding dat het bedrijf hun wachtwoorden opnieuw instelde. In een ietwat vage toelichting aan Techcrunch legt het bedrijf uit dat ze het bericht uit voorzorg naar sommige gebruikers hebben gestuurd en gebruikers eraan hebben herinnerd wachtwoorden niet opnieuw te gebruiken op websites. Zonder meer informatie kunnen we alleen maar raden wat er aan de hand is. [TechCrunch]
- Apple stuurde media-uitnodigingen voor de WWDC-keynote: WWDC nadert snel, en we zullen waarschijnlijk horen over de nieuwste en beste software-updates voor iOS, macOS, enzovoort. Apple stuurde media-uitnodigingen voor de keynote, die op 3 juni plaatsvond. Als je geen kaartje hebt gekregen, is het te laat. U zult gewoon vanuit huis moeten kijken, net als de rest van ons. [MacRumors]
- GitHub-sponsors zijn als Patreon voor open source-code: Github heeft zojuist een nieuw ‘sponsorprogramma’ aangekondigd dat doet denken aan Patreon of Twitch-sponsoring. U kunt een open source-ontwikkelaar kiezen om maandelijks terugkerende geschenken naar toe te sturen, en de ontwikkelaars kunnen beloningsniveaus toevoegen. Microsoft zegt dat het $ 5000 aan donaties zal matchen in het eerste jaar van deelname van een ontwikkelaar en af zal zien van alle kosten voor de komende twaalf maanden. Het is echter nog niet helemaal duidelijk hoe elk aspect zal werken, dus houd meer details in de gaten. [GeekWire]
En tot slot wil NASA je naam naar Mars sturen. Met een snel verzendformulier kunt u uw naam opgeven om op een microchip te etsen, samen met iedereen die zich aanmeldt, die vervolgens aan de Mars 2020-rover wordt bevestigd. Als u NASA uw e-mailadres geeft, sturen zij u kennisgevingen voor toekomstige mogelijkheden zoals deze. En als een kleine bonus geeft NASA je een leuke instapkaart voor het opgeven van je naam en oh wie maken we een grapje, je leest dit toch niet? Je schrijft je al in, en dat gaan we nu ook doen. [NASA]
