Beveiliging Windows slecht benut
Windows biedt ontwikkelaars standaard een aantal technieken om software veiliger te maken. Maar veel populaire toepassingen gebruiken deze hulpmiddelen niet.
Het gaat om Data Execution Prevention (DEP), dat beschikbaar is sinds Windows XP SP2, en Address Space Layout Randomization (ASLR), beschikbaar sinds Windows Vista.
Ondanks dat beiden de kans op een inbreuk sterk kunnen verminderen, worden ze nauwelijks toegepast door populaire software. Dat blijkt uit een paper van beveiligingsbedrijf Secunia.
Onder meer Java, Quicktime, VLC, OpenOffice.org, Picasa, Foxit Reader, Winamp en RealPlayer gebruiken zowel DEP als ASLR niet. Browsers zoals Firefox, Opera en Safari gebruiken enkel DEP. Alleen Chrome past beide systemen toe op zowel Vista, XP als Windows 7. Flash kan geen DEP gebruiken, maar past wel ASLR toe.
ASLR verplaatst de geheugenpunten, wat het voor een hacker moeilijker maakt om het werkgeheugen te misbruiken. DEP zorgt ervoor dat zelfs wanneer de kwetsbare plaats in het geheugen wordt gevonden, er geen code wordt uitgevoerd.
Beveiliger Secunia merkt op dat Microsofts eigen applicaties de twee technieken gebruiken. Daardoor wordt het voor hackers logischer om de pijlen te richten op externe software.
