Microsofts ActiveX-patch voor IE niet voldoende

@sab.loempia.com
vandaag de dag zijn er ook nog mensen bezig de mogelijke gaten in linux 2.0 nogwat te fixxen

@tha_killer: wil je nu beweren dat te vergelijken valt met de gaten in IE? Zowel in kwaliteit (ernstigheid) als quantiteit.

IE had een plugin voor Windows moeten zijn. Het lijkt er echter op dat Windows een plugin voor IE geworden is. Dan is het niet verwonderlijk dat een lek in IE zo vervelend uit kan pakken.

@ Blade

ehm... jawel, hoor. ik heb XP al een paar keer laten crashen. weet niet meer precies waardoor, maar het hele systeem hing gewoon en deed niks meer.
en ja, het gaat om een legale versie van XP met Automatic Update = On.
oja, op een AMD dual proc workstation met ECC registered RAM.

@Curry: je hebt gelijk, IE heeft alleen toegang tot de onderdelen waar de ingelogde gebruiker toegang tot heeft, mijn fout.

Ik was even vergeten dat er inderdaad in 2,4% van de gevallen thuisgebruikers een niet-administrator account voor zichzelf aanmaken. In dat geval kan IE een stuk minder kwaad.

Ik kan me overigens niet herinneren dat er in Mosaic al ActiveX zat. Noch dat Mosaic in windows geïntegreerd was. Maar dat zal dan wel aan mij liggen.
Excuses!

edit: ok, whatever.

En lees zo'n BSOD eens

zou inderdaad een mogelijkheid zijn geweest, ware het niet dat MS zo achterlijk is geweest om het bsod standaard om te toveren in een reboot, zodat je geen idee heb wat er aan de hand is. de standaard thuisgebruiker weet ook niet hoe die de autoreboot uit moet zetten, dus zie je meestal niet waarom t OS vastloopt.

en blijkbaar gebruik je XP nog niet zo lang, als je maar 1 bsod heb gezien. ik heb er in het kleine half jaartje dat ik t ooit heb gebruikt al veel meer gezien, met vage errors die ik niet eens meer kan herinneren. en nee, die hadden niks met drivers te maken. daarentegen zit ik al weer een aantal maanden exclusief op linux, en de enige keer dat die vastliep kwam door een game. en toen liep ie nog niet eens echt vast, want ik kon gewoon me X killen en opnieuw inloggen zonder dat de hele zooi meteen instabiel werd.

NT is misschien stabielen dan win9x, maar ze hebben nog een hoop te leren... zoals bijvoorbeeld niet een browser de servicepacks en security updates laten installeren, maar een *echte* applicatie. en nee, in win95 zat IE nog niet diep in t OS nee. maar in OS'en als win2k en xp zit je eigenlijk de hele tijd naar IE aan te kijken. je desktop, je taakbalk, je file manager, ... IE zit niet diep in windows? tuurlijk niet. de kerstman bestaat toch ook?

ik wordt persoonlijke dat blinde verdedigen van MS software een beetje beu...

ik wordt persoonlijke dat blinde verdedigen van MS software een beetje beu...

Koop dan eens een boek over de materie, want je post gaat iig nergens over. Je meest geniale opmerking is nog wel deze:

ik heb er in het kleine half jaartje dat ik t ooit heb gebruikt al veel meer gezien, met vage errors die ik niet eens meer kan herinneren. en nee, die hadden niks met drivers te maken.

Dus omdat jij de error niet snapte en niet kan herinneren had het niets met drivers te maken? Goeie logica, jij komt er wel....

* 786562 curry
Oftewel: koop een boek, blaat dan.

Dat gebruikers dom, lui en lelijk zijn kun je het OS niet aanrekenen. Ford is ook niet schuldig als jij je Ford tegen een boom rijdt.

Het is de taak van een OS en elke app om gebruikers te beschermen ongeacht welke knoppen ze indrukken. Ford is overigens WEL schuldig als de auto onderweg ontploft omdat de gebruiker de radio aanzet.

Ford is overigens WEL schuldig als de auto onderweg ontploft omdat de gebruiker de radio aanzet.

Dat klopt, maar dat is iets anders dan doelgericht een boom opzoeken en er je auto omheen vouwen waar ik op doelde Daar kan en mag Ford je niet tegen beschermen, als jij dat wil doen dan mag jij dat.

Het is de taak van een OS en elke app om gebruikers te beschermen ongeacht welke knoppen ze indrukken.

Dat is pertinent niet waar. Ik wil geen OS dat mij gaat beschermen zodra ik m'n HD wil formatteren. Ik heb een up-to-date firewall, automatische patching en een groot gezond verstand, en ben dus altijd lid van Administrators. M'n laatste virus is 13 jaar geleden om precies te zijn. Een gebruiker die wel bescherming nodig heeft moet niet in de administrators-groep zitten. Echter, dan werkt Girotel niet, dan werkt software installeren niet meer, dan moeten ze als Administrator handmatig inloggen om een driver te kunnen updaten. En voor al dat soort dingen is Pietje Puk domweg te lui.

Gebruikers moeten nog opgevoed worden over security op computergebied, net zoals in de begintijd van AIDS het condoomgebruik vrijwel nihil was. Hoe lang heeft het geduurd voordat de mensheid AIDS serieus nam? En dat ging nog wel over een dodelijke ziekte!

De gebruikers moeten helaas ook op computergebied door schade, schande en veel voorlichting rijk worden, en tegen die tijd gaan ze vanzelf de virtuele condooms gebruiken op hun computer. Tot die tijd is het janken voor de kenners en feest voor de scriptkiddies helaas.

Een gebruiker die wel bescherming nodig heeft moet niet in de administrators-groep zitten. Echter, dan werkt Girotel niet, dan werkt software installeren niet meer, dan moeten ze als Administrator handmatig inloggen om een driver te kunnen updaten. En voor al dat soort dingen is Pietje Puk domweg te lui.

Uitvoeren als... gebruiken?

En overschakelen op Mijn Postbank

Ja maar die gaten zijn niet te misbruiken door een script !

Je kunt met een slecht geschreven programma XP simpel crashen. Als beginnende programmeur vaak voor elkaar gekregen in XP. Fatale uitzondering nog een keer > BSOD. Fijn weer ergens een bufferoverflow in het besturingssysteem. Ik heb de fouten van de BSOD getraced en dat waren dud sllemaal bufferoverflows.

Hoezo?
Waarom heet het dan 'een gat' ?

Slaat volstrekt nergens op. IE is oude Mosaic-core opgekocht door Microsoft en in 1995 omgebouwd tot Internet Explorer. Ergo alles wat toen al fundamenteel lek was was bij Win2k al lek.

Precies, alle gaten zitten in de Mosaic rendering engine die nog vrolijk HTML 1.0 pagina's staat de renderen de hele dag door. Mosiac was ooit de basis, daar is weinig meer van over. Alles wat toen al fundamenteel lek was mag ook wel verholpen zijn na zo veel jaar... Daarnaast weet iedereen dat de meeste problemen zitten in de snufjes die MS er bij verzonnen heeft zoals ActiveX in IE enzo.

IE mag niets wat een willekeurig ander programma niet ook mag.

IE is erg geintegreerd in explorer en explorer is de shell van windows. Daarnaast is explorer een shell die kernel taken doet zoals security dingen (wat heeeel fout is btw), hierdoor is explorer en daarmee IE ook niet uit windows te slopen in recente windows versies. Nou kun je nog zo veel checks en boundries in IE en explorer hacken, daar komen bugs in. Hadden ze het maar mooi structureel in de kernel opgelost dan was er weinig aan de hand...

en inderdaad stamt ActiveX uit de tijd dat internetsecurity nog geen boeiende tijdsbesteding was.

Helemaal gelijk, in het pre-internet tijdperk hoefde je nergens over na te denken en zeker niet over security! In het MS-DOS tijdperk kreeg ik virussen vrolijk binnen via diskette, dus ook toen was security al belangrijk, in de tijd dat ActiveX om de hoek kwam helemaal.

Oftewel: koop een boek, blaat dan.

Om te kunnen blaten heb ik geen boek nodig en als ik een boek heb ga ik niet per definitie slimme dingen zeggen, die dingen staan los van elkaar.

Dat is pertinent niet waar. Ik wil geen OS dat mij gaat beschermen zodra ik m'n HD wil formatteren.

Ik ook niet, maar wel een OS dat mij beschermt tegen kwaadwillende software dat m'n HD wil formatteren.

Kijk ik wil niet zeggen dat MS zo evil is, alhoewel ik geen fan van ze ben gebruik ik hun producten ook (maar niet uitsluitend), maar meneer curry is overduidelijk overvol van windows en is al net zo reeel en objectief als de vele linux profeten hier.

Precies, alle gaten zitten in de Mosaic rendering engine die nog vrolijk HTML 1.0 pagina's staat de renderen de hele dag door. [...knip...]

Fijn he, een quote uit z'n verband rukken? Ik reageerde daar op iemand die zei dat IE gebouwd is voor Windows 2000, wat ronduit gezwets is.

IE is erg geintegreerd in explorer en explorer is de shell van windows.

Hoe vaak moet ik nu nog uitleggen dat dit onzin is Lees deze forumpost eens ajb. Denk je nu echt dat er ook maar 1 stukje code van IE feitelijk in kernelspace draait? Dat is je reinste onzin, IE kan niets maar dan ook niets dat een willekeurig ander programma op je desktop, tot aan Mozilla aan toe, niet kan. En ja, ik heb laatst ook m'n Firefox om zeep geholpen doordat ik 'm automatisch een corrupte plugin had laten installeren. Als die plugin een format C had willen doen had ie dat kunnen doen omdat ie in de sandbox van die user draait en dus de security van die user heeft.

Daarnaast is explorer een shell die kernel taken doet zoals security dingen (wat heeeel fout is btw)

Zou inderdaad erg fout zijn. Doet ie dan ook niet. Alle Windows security (ook pre-ActiveDirectory) is met ACL's op API- en kernelniveau afgevangen, waar explorer.exe zelf ook vanuit userspace tegenaan moet praten.

Helemaal gelijk, in het pre-internet tijdperk hoefde je nergens over na te denken en zeker niet over security! In het MS-DOS tijdperk kreeg ik virussen vrolijk binnen via diskette, dus ook toen was security al belangrijk, in de tijd dat ActiveX om de hoek kwam helemaal.

Fijn he, wederom een quote uit z'n verband rukken? De volgende zin was: "Om die reden is ActiveX/COM/COM+/DCOM dan ook al jaren deprecated technology en hoor je hedendaags .NET te gebruiken wat protected sandboxes definieert en een veel strakker securitymodel hanteert." ActiveX was een brakke implementatie die nooit langer dan z'n verwachte levenstermijn van 5 jaar had mogen overleven. Helaas gaat het ondertussen al 9 jaar mee en wordt het nog immer veel te veel gebruikt. Dat Microsoft hier medeschuldig aan is ontken ik niet, maar het feit dat ze 9 jaar geleden niet correct hebben ingeschat wat er in 2004 allemaal zou spelen kun je ze niet grondig kwalijk nemen: het is nu legacy software en dient ondersteund te blijven.

Ik ook niet, maar wel een OS dat mij beschermt tegen kwaadwillende software dat m'n HD wil formatteren.

Haal je account uit de Administrators groep en het kan niet. Pertitent niet. Probeer maar.

maar meneer curry is overduidelijk overvol van windows en is al net zo reeel en objectief als de vele linux profeten hier.

Met dien verstande dat ik met een echte Linux-profeet (ik ken er genoeg, ben het zelfs zelf geweest rond 1998) gezellig onder een kopje koffie kan babbelen over technische aspecten, en dat de Linux-zealots hier op de FP merendeels geen bal verstand hebben van Windows als ze er weer eens op flamen. Ik onderbouw het in ieder geval nog technisch (je weet wel: argumenten, dat zijn die dingen waarmee je loze uitspraken ineens een stuk minder loos maakt). Zie ook de captain007 een stuk hieronder die dacht loos te moeten posten over de opzet van Windows. Op zo'n moment voel ik me inderdaad genoodzaakt om loos nablaten van elkaar af te stoppen en even uit te leggen hoe een en ander wel in mekaar zit. Dat jij dat als 'overvol van Windows' interpreteert is jouw probleem, ik zie het meer als 'praten over iets waar ik verstand van heb'. Zouden meer mensen hier moeten doen.

Ikzelf ben over het geheel genomen vrij goed te spreken over software van Microsoft, ondanks het feit dat ik niet zal ontkennen dat ze serieuze beveiligingsproblemen in hun software hebben. Hun software is helaas ook een interessant doelwit voor hackers. Wat wil je: ze hebben een enorm marktaandeel. Als je een hack schrijft voor Windows, dan krijg je de publiciteit waar hackers nog zo vaak op uit zijn.

Overigens ben ook ik onlangs, na infectie met een vervelend stukje spyware, overgestapt op Firefox als standaardbrowser. Ik vind het echter te kort door de bocht om maar klakkeloos af te geven op Microsoft. Ik vraag me af wat er gebeurt als je een leger hackers een paar jaar op een consumenten OS als Lindows, Linux of MacOS loslaat.

Zolang jij het weet is er weinig aan de hand, een standaard gebruiker kan een BSOD toch niet interpreteren, du wat dat betreft boeit het niet dat zij dat niet weten

Dat klopt, maar dat is iets anders dan doelgericht een boom opzoeken en er je auto omheen vouwen waar ik op doelde Daar kan en mag Ford je niet tegen beschermen, als jij dat wil doen dan mag jij dat.

Maar gebruikers sturen NIET bewust op een boom af, ze openen (in dit geval) ENKEL een site die complete toegang tot hun systeem kan verzorgen. Dat is vergleijkbaar met je radio aanzetten en NIET met expres tegen een boom aanrijden.

Dat is pertinent niet waar. Ik wil geen OS dat mij gaat beschermen zodra ik m'n HD wil formatteren.

We hebben het over onwetende gebruikers die niet updaten en geen firewall etc hebben. Die gebruikers zijn hun schijf niet aan het formateren.

Gebruikers moeten nog opgevoed worden over security op computergebied, net zoals in de begintijd van AIDS het condoomgebruik vrijwel nihil was. Hoe lang heeft het geduurd voordat de mensheid AIDS serieus nam? En dat ging nog wel over een dodelijke ziekte!

Verschil is dat bij AIDS reclame wordt gemaakt dat je voorzichtig met sex moet zijn. Terwijl de reclames van MS utsluitend spreken over gebruikersgemak en dat iedereen het kan en hoe veilig het is. Ik heb MS nooit gehoord over dat iemand wel genoeg van security moet weten voordat ze Windows aanschaffen.

De gebruikers moeten helaas ook op computergebied door schade, schande en veel voorlichting rijk worden, en tegen die tijd gaan ze vanzelf de virtuele condooms gebruiken op hun computer. Tot die tijd is het janken voor de kenners en feest voor de scriptkiddies helaas.

Alsof het onmogelijk is dat het product waar het om gaat structureel onverstandige dingen bevat en alle verantwoording bij de consument ligt? Je gaat volledig voorbij aan dubieuze beslissingen van MS, zoals allerlei nutteloze scripting dingen standaard aan te zetten. Sterker nog: daar gaat dit specifieke lek ook over.