×
015-gmail-agenda-in-live-tegels.png
Microsoft heeft de controle verloren over een cruciale subdomein dat Windows 8 en Windows-10 gebruiken om te leveren op basis van RSS nieuws en updates van de Live-Tegels –geanimeerde Windows start menu-items.
Het subdomein (notifications.buildmypinnedsite.com is op dit moment onder de controle van Hanno Böck, een security-onderzoeker en journalist voor de duitse tech nieuws site Golem.de.
Subdomein gebruikt door websites te leveren RSS nieuws
Het subdomein is een onderdeel van de buildmypinnedsite.com service die Microsoft met de lancering van Windows 8, en meer specifiek om websites te tonen live updates binnen-gebruikers’ Start pagina ‘s en menu’ s.
Om te profiteren van deze nieuwe functie is het maken van websites een metatag toevoegen aan de broncode die toegestaan Rand van de gebruikers om de pin-code van een webpagina naar de startpagina in Windows 8 en in het menu Start in Windows 10.
×
windows-live-tegels-edge-menu.png
Op de client-kant, bij een Windows-gebruiker opende de Start pagina/menu, hun computer te lezen zou de meta tag op de gewenste site en plaats vervolgens de inhoud van de live tiles.
Echter, omdat de Windows Live Tegels service kon het niet verwerken van de veelheid van de RSS-feed formats, sinds de lancering van de Microsoft aanbevolen websites maken gebruik van het notifications.buildmypinnedsite.com subdomein te zetten hun RSS-feeds in een speciale XML-formaat dat de Windows Tiles dienst zou ontleden en het maken van de bewegende Live-Tegels in de Start-pagina/menu.
Duizenden websites die zijn toegevoegd op deze meta-tag aan hun code, in de hoop te profiteren van een nieuwe weg naar het bereiken van hun lezers.
Afbeelding: ZDNet
×
windows-live-tegels-subdomein.png
Maar vandaag Böck zei de service niet meer werkt.
“De host die moeten uitmonden in de XML-bestanden – notifications.buildmypinnedsite.com – toonde alleen een foutbericht van Microsoft’ s cloud-dienst Azure,” de onderzoeker zei. “De host werd omgeleid naar een subdomein van Azure. Echter dit subdomein niet geregistreerd met Azure.”
Böck geregistreerde dit subdomein op zijn Azure account en is momenteel sinkholing welke verzoeken hij krijgt. Hij meldde ook Microsoft van het probleem, maar zei dat het bedrijf niet beantwoorden.
“We zullen het niet houden van de host geregistreerd permanent. Er is een behoorlijke hoeveelheid verkeer die het bereiken van de host en het uitvoeren van kosten,” de onderzoeker zei.
“Zodra we het annuleren van de subdomein een slechte acteur kan registreren en te misbruiken voor kwaadaardige aanvallen,” waarschuwde hij.
Elke bedreiging acteur die over dit domein kunt gebruiken om een vaartuig ongeldig XML-bestanden die zouden misbruik maken van de Windows Live Tegels service code uitvoeren op de computers van gebruikers die nog steeds zijn website op basis van de Live-Tegels op de Start-pagina ‘s/menu’ s.
Böck is ook aan te bevelen dat websites verwijder de HTML meta-tag in de broncode, of de speciaal opgemaakte XML-bestanden zelf, zonder het te verzenden gebruikers over de notifications.buildmypinnedsite.com subdomein. Sommige van de sites die via deze subdomein zijn Mail.ru, Engadget, BGR, TenForums, Golem.de, Heise.de en anderen.
Meer kwetsbaarheid rapporten:
Dragonblood kwetsbaarheden bekend gemaakt in WiFi WPA3 standardTens van duizenden auto ‘ s waren kwetsbaar voor dieven door een hardcoded wachtwoord
Kaspersky: 70 procent van de aanvallen nu doel van Office vulnerabilitiesInternet Explorer zero-day laat hackers stelen van bestanden van Windows PCsMicrosoft s April Patch dinsdag komt met oplossingen voor twee Windows zero-daysSome enterprise VPN-apps store authenticatie/sessie cookies insecurelyKRACK aanval: Hier is hoe bedrijven reageren CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters