Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Exploitcode gepubliceerd voor 'zeer kritieke' IE-bug

Exploitcode gepubliceerd voor 'zeer kritieke' IE-bug

Door Mick de Neeve, dinsdag 22 november 2005 14:09
Bron: Techworld, views: 25.409

Beveiligingsexperts waarschuwen gebruikers van Internet Explorer voor een als zeer kritiek bestempelde JavaScript-kwetsbaarheid. Verschillende bedrijven, waaronder het Britse ComputerTerrorism, zouden hebben aangetoond dat een in mei opgemerkte onvolkomenheid niet alleen kan leiden tot het op afstand laten crashen van een computer; het zou ook mogelijk zijn er willekeurige code op uit te voeren. ComputerTerrorism raadt gebruikers aan om active scripting uit te schakelen, in ieder geval voor onbekende sites, totdat er een patch beschikbaar is. Microsoft heeft een veiligheidsbericht gepubliceerd waarin het te kennen geeft de zaak te onderzoeken. Microsoft en ComputerTerrorism spelen elkaar ondertussen de zwarte piet toe. ComputerTerrorism bekritiseert Microsoft voor het niet patchen van een probleem waarvan het bestaan al in mei bekend was; Microsoft is op zijn beurt verbolgen over het feit dat ComputerTerrorism met de kwetsbaarheid naar buiten is getreden, wat voor onnodige risico's zou zorgen.

Volgende 16:34 Dell doet AMD-bericht af als gerucht
Vorige 12:51 Overeenkomst over glasvezelnetwerk Helmond
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 90 reacties zichtbaar900 Off-topic / Irrelevant: 90 reacties zichtbaar90+1 On-topic: 72 reacties zichtbaar72+2 Informatief: 34 reacties zichtbaar34+3 Spotlight: 10 reacties zichtbaar10
«  1  2  3  4  »

Door Fallen Angel, dinsdag 22 november 2005 14:11

Score: 1
*zucht de herinneringen*

Ik had ooit exact zo'n hanekam :P

Door familyman, dinsdag 22 november 2005 14:17

Score: 1
hoop alleen dat je huidverzorging beter was.

Door EJP, dinsdag 22 november 2005 18:43

Score: 1
Hahahaha, dat is tenminste humor :D

Door Spooik, dinsdag 22 november 2005 14:13

Score: 1
Daar gaan we weer!
Het is niet de eerste keer dat zulke zaken gebeuren. Microsoft is op de hoogte, verzwijgt en wijst dan met de beschuldigende vinger naar anderen.

Een geluk dat er bedrijven en particuleren zijn die zulke dingen aan de kaak stellen. Zoals dit, of het hele gedoe rond de Sony rootkit. Als je die grote bedrijven zou laten doen ...

Al veel vroeger gezegd:
http://www.mozilla.org/products/firefox/central.html :Y)

Door JanWillem, dinsdag 22 november 2005 14:15

Score: 1
Blijf vooral firefox promoten, net zolang tot Firefox een groter aandeel heeft dan IE. Dan zul je zien dat men weer overstapt op een andere omdat Firefox ook ineens een hoop fouten blijkt te bevatten :Z

Door ]Byte[, dinsdag 22 november 2005 14:18

Score: 0
Het gras is bij de buren altijd groener....
Alleen als je zelf in de tuin bij de buren zit blijkt het dat er ook daar rotte plekken in te zitten.
(alleen zitten ze dan op een andere plek)

Door pinobot, dinsdag 22 november 2005 14:31

Score: 0
M'n buurvrouw heeft ander wel lekkere borsten.
Weinig kans dat ik naar het gras kijk. :9~

Door Spooik, dinsdag 22 november 2005 14:19

Score: 0
So?

Totdat zit ik allesinds een stuk veiliger....

Door DeMoN, dinsdag 22 november 2005 14:27

Score: 2
:Z
Waarom zijn er nog steeds zulke kortzichtige mensen zoals jij?

We hebben het hier over Firefox. Firefox is een product van de Mozilla Foundation. En die loven geld uit voor een gevonden bug en / of security leak!

Niet dat alleen, ALS er dan een bug gevonden wordt is het ook z.s.m. gefixed!

Dat staat 100% in contrast met een bedrijf genaamd Microsoft dat min of meer verantwoordelijk is voor 90% van de mensen op internet met IE en het redelijk vaak presteert geen kont te doen aan bekende -ernstige- bugs.

Door Koffie, dinsdag 22 november 2005 15:40

Score: 0
Kortzichtig :?
Weet je wat pas kortzichtig is ? Die irritante lui die te pas en te onpas een andere browser door je strot willen rammen puur omdat het geen IE is :r

Door M@rijn, dinsdag 22 november 2005 15:43

Score: 0
Hoezo irritante lui, het zijn gewoon mensen die het internet proberen veiliger te maken, mbv producten die sneller bugs fixen :Y)

Door berend_engelbrecht, dinsdag 22 november 2005 16:52

Score: 2
Dit werd ergens anders als als off topic gemodereerd, maar toch hier ook nog even: deze bug zit pas 6 jaar in Mozilla en is tot op heden niet gefixt. Safari had hetzelfde probleem en vogens de meneer die het stukje geschreven heeft was het daar in een uur gefixt. Maar ja, een schijnbaar makkelijke bug waarvan de fix zo lang op zich laat wachten is een aanwijzing van rommelige onoverzichtelijke source code, niet waar }>

Wat ik ermee wil aangeven is dat een bug op zich misschien wel "een uurtje werk" is om op te lossen, maar mensen die dat roepen vergeten dat je als programmeur massa's van die dingen op je bordje krijgt die allemaal "een uurtje werk" zijn. Er wordt wel eens wat vergeten en daar hebben mensen die het produkt gebruiken dan last van. Dit komt zowel bij commerciële als bij open source produkten voor.

Door Sendy, dinsdag 22 november 2005 18:39

Score: 2
Je hebt natuurlijk gelijk dat programmeurs wel meer te doen hebben dan iedere bug(let) direct oplossen, maar je voorbeeld is niet heel goed: de soft-hyphen bug is niet erg kritiek, is het wel?

Door BartOtten, woensdag 23 november 2005 00:00

Score: 1
Maar dat kan het wel worden in een marketing-campagne van Microsoft....

"Mozilla/Firefox heeft ook al een bug 6 jaar zitten, meneer de omlulbaarheid zelfe", die daarna natuurlijk keihard naar IE grijpt. MS zei het!

Door mieJas, dinsdag 22 november 2005 17:48

Score: 0
En als je onder een limited user account surft (zoals het zou moeten!!), kan er niets gebeuren. :Z

Door kimborntobewild, woensdag 23 november 2005 04:22

Score: 1
..tevens werkt dan tweederde van je software niet (goed) meer (bij Windows tenminste). :Z

Door Firefox, woensdag 23 november 2005 12:14

Score: 1
Oh jah? Merk er weinig van.

Kan toch vrijwel alles doen vanuit mijn gelimiteerde accountje... noem zo eens wat dingen? DNS mmc dingetjes en ADUC? misschien wat DHCP beheer? lang leve runas.

Er zijn idd programma's die niet goed werken, maar waarom werken die dan niet goed?
- Ze schrijven gedurende werking actief in de programma directory onder Program Files, ipv in de Application Data onder het profiel, waar het hoort.
- Er is schrijf toegang nodig voor user settings in de HKLM registry hive ipv in de HKCU hive waar het hoort.
- Tis ouwe 16bits meuk die toch al allang vervangen had moeten worden
- Een mengsel van boven genoemde oorzaken.

Je kunt het Microsoft niet verwijten dat andere software boeren zich niet (altijd) aan de intenties van het register houden. Misschien is het idd wel makkelijker/sneller om even een inifile te klussen, maar het doel van de registry is dat dat niet nodig is.

Internet browsen moet je gewoon niet onder een privved account doen, tenzij er een reden voor is en je de site kan vertrouwen. (MicrosoftUpdate) De rest is onder een beperkte user downloaden en daarna als admin uitvoeren.

Door Darkprince1234, dinsdag 22 november 2005 18:11

Score: 1
Wat voor sfeer hangt hier mensen.

Totaly off-topic,

Dit heeft niets te maken met de Sony Rootkit. Ze hadden microsoft moeten contacteren niet zomaar een exploit openlijk vertellen aan het grote publiek.

JUIST DAARDOOR zijn wij nu minder veilig dan gisteren!!

btw zodra je een link plaatst die niet on-topic is word die normaal gesproken gemod en hier blijft hij natuurlijk staan..... :r

Door k1n8fisher, dinsdag 22 november 2005 20:13

Score: 2
Ik ga ff verder off topic: (hoewel)

Er staat in het artikel dat het in Mei al was gesignaleerd, en dan mag ik aannemen dat dat dus ook aan MS is gerapporteerd, maar omdat er nog steeds niets aan is gedaan proberen ze nu MS op deze manier te dwingen er iets aan te doen!

Groot gelijk vind ik! MS moet dit soort dingen zo snel mogelijk patchen maar waarschijnlijk zijn ze te druk bezig met Vista en willen ze zich niet meer druk maken over wat zij wss als "afgeschreven" beschouwen.

Door Parasietje, dinsdag 22 november 2005 20:26

Score: 0
Als deze bug al in mei bekend is, dan zal Microsoft toch ook wel gecontacteerd zijn zeker?
Of is dat te kort door de bocht? :+

Door thexia, dinsdag 22 november 2005 14:13

Score: 2
Microsoft is op zijn beurt verbolgen over het feit dat ComputerTerrorism met de kwetsbaarheid naar buiten is getreden, wat voor onnodige risico's zou zorge
na mijn mening is het alleen maar goed dat bedrijven zoals deze MS flink op hun donder geven als er iets niet goed is... Laat de consument maar eens goed zien dat het hele Windows gebeuren nog lang niet vlekkeloos is...

Door franssie, dinsdag 22 november 2005 14:15

Score: 1
maar laat de consument dan ook zien dat deze consument zelf ook nog verre van perfect is!
Mijn Yahoo en hotmail herkennen 'm overigens nog steeds niet als virus :S

Door dangerpaki, dinsdag 22 november 2005 14:38

Score: 2
ook geen yahoo als antivirus gebruiken natuurlijk.
als ik op de voorbeeld pagina klik da crasht mn ie inderdaad maar mn kaspersky heeft hem wel tepakken

Door j0ri, dinsdag 22 november 2005 14:20

Score: 2
daar ben ik het onder voorbehoud mee eens ;)

stel: computerterrorrism vind deze bug en geeft hem door aan MS en MS doet er vervolgens niks/weinig mee: volledig met je eens, dat ze hem maar bekent maken en het liefst nog tooltjes derbij geven om hem te exploiten. dan zullen de consumenten wss klagen bij MS of overstappen op FF/opera/etc

maar, als ze deze bug meedelen en om 1 of andere reden is deze vreselijk moeilijk op te lossen dus het duurt een hele tijd voordat die word opgelost (terwijl ze er wel hard aan werken) dan vind ik niet dat ze hem bekent moeten maken (achteraf, als die gefixed is wel)

maar goed, bij dit soort gevallen word er toch altijd naar elkaar gewezen.

Door aToMac, dinsdag 22 november 2005 14:38

Score: 3
Als een bug zo moeilijk zou zijn om te fixen dan zegt dit meer over de structuur van je applicatie. Maar goed, iedereen weet dat de Engine van IE een bijelkaar gepatchte bende is.

Door j0ri, dinsdag 22 november 2005 16:26

Score: 2
hoeft niet perse hoor. het kan ook komen doordat 3rd party dingen niet helemaal sporen met jou programma in een bepaalde situatie (zoals java in dit geval) en dat deze bug slechts in 1 specifieke situatie voorkomt. ze kunnen dit dan wel oplossen maar als door deze oplossing weer 3 nieuwe bugs komen schiet het natuurlijk niet op.

maar goed, ik ben het met je eens dat MS de schijn tegen heeft als het om good-will om bugs op te lossen gaat

Door MaVl, dinsdag 22 november 2005 16:37

Score: 2
reactie op j0ri

Leer nou aub java en javascript uit elkaar te houden. Zijn 2 compleet verschillende dingen.
Java is een programmeertaal waar je programma's mee kan maken. Java is gemaakt door Sun.
Javascript is een scripttaaltje dat in andere talen (html bijvoorbeeld) gebruikt kan worden voor wat geinige truukjes. Javascript is ontwikkeld door netscape met een syntax die zeer op java lijkt, vandaar de naam.

Verder maakt de ontwikkelaar van browsers zelf meestal de scriptondersteuning in zijn browsers, in dit geval MS, dus geen 3rd party shit.

Door Robbbert, dinsdag 22 november 2005 14:15

Score: 3
Het lijkt mij eigenlijk wel logisch. Als Microsoft al meer dan een half jaar lang een kritieke bug niet hersteld omdat er niet naar ComputerTerrorism wordt geluisterd, dan zullen ze het toch aan de grote klok moeten hangen om Microsoft actie te laten ondernemen.

Verder zou het me niets verbazen als de echte computercriminelen hiervan al op de hoogte zijn. Dus het feit dit dit nu gepubliceerd wordt zal denk ik geen groot probleem worden.

Door dyna18, dinsdag 22 november 2005 15:31

Score: 1
Ik ben het niet met je eens. Hoewel er op deze manier zeker dwang wordt uitgeoefend om snel het security probleem te verhelpen, vind ik het middel erger dan de kwaal.

Ik ben fel tegen het publiceren van exploit code. Dit heeft namelijk vooral als resultaat dat deze code in handen komt van duizenden script kiddies die het zeker zullen misbruiken. Dit verergert het veiligheidsprobleem enorm, met als resultaat veel consumenten als slachtoffer.

Door Andros, dinsdag 22 november 2005 16:30

Score: 2
Waarna ze ons als handige neefjes optrommelen, wij fixen die pc's weer, zetten er Opera en FireFox op, raden de mensen met klem aan daarmee te surfen. Mensen wat wijzer, wij een zakcentje bij. Wat is het probleem :z

Door kidde, dinsdag 22 november 2005 20:45

Score: 1
Dit heeft namelijk vooral als resultaat dat deze code in handen komt van duizenden script kiddies die het zeker zullen misbruiken.
Misschien een reden voor MS om eens na te gaan denken over security by design? Als een klein groepje mensen dat met CoyotOS kan, dan MS met al die miljarden toch ook wel? Of zijn ze echt zo incompetent als velen van ons denken?

(En nee, ik loop hier niet voor Linux-fanboy te spelen, want Linux/Firefox zijn ook niet secure by design. De firefox-bugs worden doorgaans wat sneller gefixt, maar het zijn er ook te veel)

Hoe lang weten ze bij MS nou al dat het internet niet veilig is? Hebben ze daar nog nooit van formeel verifiëerbare veiligheid van software gehoord?

Door dyna18, dinsdag 22 november 2005 23:25

Score: 3
Vanwege je MS bash wil ik je er even op wijzen dat ik het niet over MS had, maar over het posten van exploits in zijn algemeenheid... Dat gaat voor alle software op, ook open source.

Ik blijf erbij dat diegene die exploit code openbaar maken, niet de veiligheid helpen. Sterker nog, zij dragen vooral bij dat het ontdekte veiligheids probleem een factor 10 erger wordt.
Diegene die de exploit open baar maken, doen dat in 90% van de gevallen ook puur voor eigen belang. Zij zijn op zoek naar aandacht van de bouwer en erkenning van de community ipv dat zij veiligheid in het hoofd hebben. Kijk maar naar het bericht over de Google lek hier een paar berichten terug op Tnet.... Daarin was de ontdekker ook verontwaardigt dat hij niet genoeg erkenning kreeg voor zijn ontdekking.

Door kidde, woensdag 23 november 2005 15:38

Score: 1
dyna18:

MS wordt hier niet gebasht (dat maak jij er zelf van, en ik zou haast denken nog graag ook), het zijn slechts vragen en geen antwoorden, kan het ook niet helpen dat mensen zich aangesproken voelen, en hierboven staat notabene dat het ook voor open source geldt.

Je hebt duidelijk geen flauw idee van het verschil tussen formeel en experimenteel (dat laatste zijn zowel Win als Linux, BSD en Mac OS X) veilig. Formeel verifeerbar veilig gaat over (het theoretisch onmogelijk zijn van) exploits in het algemeen, en niet een bepaald OS. Lees hier aub meer over voor een oordeel te vellen over waar ik hierboven op doel en dit slechts op MS te betrekken.

Als software formeel verifeerbar veilig zou zijn, zou jij en niemand zich ooit nog hoeven ergeren aan scriptkiddies en het eigenbelang en de erkenning van crackers. Het probleem uitsluitend bij de crackers leggen is simpel ontkenning van de feiten.

Door Marf0rz, dinsdag 22 november 2005 14:19

Score: 2
De Proof of Concept is idd bizar, via een script opent IE mijn calc.exe! Als ik hetzelfde met Firefox probeer, crashed Firefox, hehe (1.5rc3).

Door catfish, dinsdag 22 november 2005 14:42

Score: 3
klinkt toch ook niet zo zuiver vind ik...
het is wel beter natuurlijk, maar een beetje meer exception handling kan bij veel progs echt geen kwaad

Door Geqxon, dinsdag 22 november 2005 14:51

Score: 2
Heb je soms een link? Ik durf er helaas niet naar te googlen.

Door slindenau, dinsdag 22 november 2005 14:58

Score: 3
Mijn firefox (1.0.6) doet het wat dat betreft beter. Misschien zijn het de plugins die ik gebruik...ik krijg een 404 wat in IE een popup is (via singewindow in een nieuw tabblad)...en verder gebeurt er niks :+.


De link (via 'aangetoond' uit het artitkel...je kan ook zelf zoeken :P): http://www.computerterrorism.com/research/ie/poc.htm

Door t-x-m, dinsdag 22 november 2005 16:13

Score: 2
IE7 trapt er ook niet in(krijg een 'explorer user prompt') :)

Door redstorm, dinsdag 22 november 2005 21:34

Score: 1
En IE6 bij mij ook niet :?
Was er niet toevallig een fix hiervoor bij het AutoPatcher pakket?

Ik heb het script 15min laten lopen maar ik krijg alleen een prompt te zien met XXXXXXXXXX

Ik lag me dood als er al een fix was die ze over het hoofd hebben gezien :z

Door Sfynx, dinsdag 22 november 2005 23:25

Score: 1
Hier gaat IE gigantisch op z'n bek met een of ander geheugenlocatie die niet gelezen kan worden. Ik draai IE dan wel als normale gebruiker, niet als admin... misschien zijn die rechten nodig voor een bepaalde stap?

Door mschol, woensdag 23 november 2005 14:56

Score: 1
mijn IE6 (win xp SP2)
die geeft een JS prompt met xxxxx erin en daarna wordt ie eff traag en crasht IE (maar windows gaat gewoon lekker door...)

Door bbr, dinsdag 22 november 2005 14:22

Score: 0
Beetje lax van microsoft wel idd.
Als het zo'n groot risico is waaom is het dan nog steeds niet gepatched.

De enigste actie die dan overblijft is meer druk er op zetten, en met de code vrij geven word dat idd gedaan.
'tis niet anders.
Hopelijk is die fix er wel snel...

Door daft_dutch, dinsdag 22 november 2005 14:24

Score: 1
Duidelijk verschil tussen Opensource en Closed source.
Opensource om armt fouten. mensen kunnen zelfs aangeven waar ongeveer de fout zit.
als het 6 maanden duurt om een bug optelossen
is het:
1. Desintresse. in 6 maanden moet je toch wat kunnen fixen. of neem je verliezen en gooi firefox in de windows updater.
2. een chaos van source code. mischien hebben ze het wel opgegeven en zijn lekker met IE7 bezig.

Ik ben blij dat ik linux gebruik betaal ik geen geld voor suport en zo. je zou maar windows gebruiker zijn. wordt je als consument een vals plaatje van veiligheid voorgehouden

@biersoft
firefox is opensource. dat moet al voldoende zeggen over hoe bugs worden behandend. als je dat niet begrijpt waarom reageer je dan

Door sopsop, dinsdag 22 november 2005 15:36

Score: 2
firefox is opensource. dat moet al voldoende zeggen over hoe bugs worden behandend. als je dat niet begrijpt waarom reageer je dan
Zucht.
Opensource zegt helemaal niks over bugoplossend vermogen. Jij hebt het over de licentievorm, zelfs dan is je opmerking nog discutabel.

Door berend_engelbrecht, dinsdag 22 november 2005 17:11

Score: 2
Inderdaad. Ik heb in deze thread twee keer een voorbeeld gegeven van Mozilla Foundation die ook een low prio bug jarenlang laat liggen en dat wordt gewoon weggemod. Evangelisten dulden niets dat niet met het evangelie strookt.

Door _heretic_, dinsdag 22 november 2005 17:28

Score: 1
many eyeballs make bugs shallow.

Door berend_engelbrecht, dinsdag 22 november 2005 16:29

Score: 1
Je moet eens zoeken op "mozilla hyphenation bug". Mozilla had ooit een bug in soft hyphens, die werden gewoon hard weer-ge-ge-ven. Hun "fix" was: ze niet meer weergeven. De bedoeling van een softhyphen is echter dat de regel daar optioneel kan worden gebroken, dat dient om tekst in smalle kolommetjes mooier weer te geven. Deze bug is in 1999 gerapporteerd (voor netscape destijds) en tot op heden nog niet op een zinnige manier gefixt.

http://lists.debian.org/debian-wnpp/2004/02/msg00088.html
https://bugzilla.mozilla.org/show_bug.cgi?id=9101

Ik geef dit voorbeeld alleen maar om aan te geven dat het fixen in OpenSource code net zo goed su-per-snel kan verlopen (misschien dat 7 jaar een mooie doorlooptijd voor zo'n renderbugje is ... :P)

Er is trouwens iemand die dit zo irriteerde dat hij een gave javascript workaround geschreven heeft, werkt perfect (* 786562 berend_engelbrecht
A crap fix for a crap bug (Soft hyphens in Mozilla)

Door Parasietje, dinsdag 22 november 2005 20:40

Score: 1
Ik vind dat je een rendering bug niet kan vergelijken met systeem-kritische bugs.
Het is van belang dat security bugs snel worden opgelost. In IE zit ook al eeuwen een PNG bug (alpha kanaal van PNG wordt genegeerd). Daar is ook een Java workaround voor geschreven. Bijna hetzelfde verhaal.

Hier gaat het over het snel oplossen van systeemkritische bugs. Waarom schrijft iemand btw een workaround in Java ipv het zelf op te lossen? Dat is net het leuke van OpenSource: als iets je irriteert, los het dan zelf op!

Nuja, misschien ben ik wel weer de evangelist die niet tegen de waarheid kan... :Y)

Door Pietervs, dinsdag 22 november 2005 16:51

Score: 2
1. Desintresse. in 6 maanden moet je toch wat kunnen fixen. of neem je verliezen en gooi firefox in de windows updater.
2. een chaos van source code. mischien hebben ze het wel opgegeven en zijn lekker met IE7 bezig.

Feitelijk is punt 2 gelijk aan punt 1. Als MS zo druk bezig zou zijn met IE7, dat ze niet toe komen aan het patchen van IE6, zou dat ook een vorm van desinteresse zijn.
Maar denk je echt dat MS een browser van de concurrent in Windows Update gaat stoppen??? :+

Wat erger is: als het echt een chaos is in de broncode, dan kun je verwachten dat dat in IE7 ook zo is: ik ga er tenminste niet vanuit dat ze IE7 vanaf de grond aan opnieuw aan het opbouwen zijn, maar gewoon lekker voortborduren op IE6. Waarmee deze bug dus alsnog gepatched zal moeten worden...

Door Nitro_mule, dinsdag 22 november 2005 17:22

Score: 3
Opera (closed source) is nochtans een vrij goed voorbeeld dat jouw stelling ontkracht. Vandaag (22/11) is er een exploit bekend gemaakt voor Opera 8.5, 'highly critical' gelabelled door het bedrijf Secunia en zie, Opera software brengt dezelfde dag versie 8.51 die de bug herstelt.

Hoe snel een fix wordt uitgebracht hangt in veel mindere mate af van het closed/open source zijn, maar van de bug fix politiek die een softwarebedrijf erop na houdt (bijvoorbeeld hoeveel tijd men spendeert om een patch te valideren voor verschillende systeemconfiguraties,..etc.)

Door Gs-Trigun, dinsdag 22 november 2005 14:28

Score: 0
kijk dit is nou zo'n voorbeeld waarom een heleboel mensen Firefox gebruiken. IE is gewoonweg niet te vertrouwen :Y)

Door LollieStick, dinsdag 22 november 2005 23:17

Score: 1
Firefox (1.0.7) crasht ook vrolijk op deze POC (proof of concept) code hoor. Beter als IE, maar ook niet 100%.

Door SparC_DID, dinsdag 22 november 2005 14:28

Score: 2
Is active scripting destijds niet uitgevonden om via IE in dit geval bijvoorbeeld calc.exe aan te kunnen roepen. Ik kan me dan best voorstellen dat het niet 123 gepatched is omdat het dan namelijk geen bug betreft maar een functionaliteit. En hoe fix je dat zoder de functionaliteit te verliezen. Ik wil echt ook echt niet de discussie open source of microsoft aanzwengelen maar ik kan me in dit geval dan wel indenken dat ms dit liever stil zwijgt totdat zij er een oplossing voor hebben ide vorm van een patch.

Door Vaan Banaan, dinsdag 22 november 2005 15:28

Score: 3
Dat lijkt me sterk, anders zou ik bijvoorbeeld met een script ftp.exe kunnen starten en een bestand ergens van het internet downloaden en opstarten
Of 'format c:\' of iets dergelijks uitvoeren, the sky is the limit als dat waar zou zijn.

Door Sfynx, dinsdag 22 november 2005 23:30

Score: 1
Of 'format c:\' of iets dergelijks uitvoeren, the sky is the limit als dat waar zou zijn.
Niet als beheerder overal naartoe surfen scheelt al een hoop. Dat moeten mensen eens afleren.
E:\Documents and Settings\Henno>format c:
Access denied.

E:\Documents and Settings\Henno>
:)

Door YaPP, dinsdag 22 november 2005 15:52

Score: 3
Is active scripting destijds niet uitgevonden om via IE in dit geval bijvoorbeeld calc.exe aan te kunnen roepen.
nee

"Active scripting" of in het nederlands "Actief uitvoeren van scripts" is niets anders dan de verzamelnaam voor JavaScript, VBScript. Deze talen zijn juist niet (!) bedoeld om calc.exe te starten, maar om web pagina's te verfraaien.
Ik kan me dan best voorstellen dat het niet 123 gepatched is omdat het dan namelijk geen bug betreft maar een functionaliteit.
Het gaat hier niet om standaard JavaScript code, of een leuke feature. Het gaat om willekeurige combinatie van ongeldige tekens die een ongewenst bijeffect hebben.

Als je de uitleg in het artikel leest, zie je dat hier geen gebruik gemaakt wordt van een standaard JavaScript functie. IE bevat een fout waardoor deze na bepaalde JavaScript regels per ongeluk inhoud van de pagina op de verkeerde plek in het geheugen laad. ..uitgerekend bij een stuk code wat zich bezighoud met het openen van vensters. Door hier de juiste binare code te plaatsen kun je zo alles uitvoeren op de computer wat je wilt..

calc.exe opstarten is slechts een onschuldig lief voorbeeld. In feite had dezelfde pagina op de achtergrond een bestand kunnen downloaden naar een geheugenlocatie en vervolgens je hele computer kunnen besmetten :P

Door Thorchar, dinsdag 22 november 2005 14:28

Score: 3
Voor de volledigheid:

De bug was inderdaad al in mei opgemerkt, maar was toen als 'low priority' aangemerkt. Dit omdat de browser wel crashte maar verder geen code kon worden uitgevoerd.

Nu blijkt via een proof of concept dat (vele maanden later) het toch mogelijk is code uit te voeren. Echter via een behoorlijke omweg, daarnaast werkt het niet consistent en zitten er behoorlijke limitaties aan.

Wat ComputerTerrorism verkeerd heeft gedaan is het direct posten van hun proof of concept welke de bug naar critical verheft. Wat ze hadden moeten doen is het eerst aan MS moeten melden zodat die met een patch hadden kunnen komen voordat ze het proof of concept gepost hadden.

Het is niet ongewoon dat low priority bugs meer als een half jaar blijven liggen, daarom heten ze low priority. Het is alleen niet netjes wanneer je een critical bug vindt je deze niet eerst even naar MS stuurt

In mijn ogen heeft MS dus niet veel verkeerd gedaan en is alle kritiek hierover onnodig.

Door PipoDeClown, dinsdag 22 november 2005 15:07

Score: 2
"wat niet weet wat niet deert"? of "als er niemand iets over zegt dan gaan we er ook niets aan doen"?

Door Thorchar, dinsdag 22 november 2005 15:31

Score: 3
Meer een geval van wij kunnen niet fixen wat we niet weten.

Het was eerder niet bekend dat er code uitgevoerd kon worden.

Over "Security through obscurity" is overigens behoorlijk veel geschreven. Dat het Microsofts policy is is waarschijnlijk noodgedwongen maar das een hele andere discussie.

Zie bijvoorbeeld:

http://en.wikipedia.org/wiki/Security_through_obscurity

http://slashdot.org/features/980720/0819202.shtml

Door Sendy, dinsdag 22 november 2005 15:29

Score: 2
Blijkbaar heeft Microsoft dan de ernstigheid van deze bug zeer verkeerd ingeschat. Is dat geen fout van MS?

Door Evil_Ed, dinsdag 22 november 2005 15:50

Score: 2
/* De bug was inderdaad al in mei opgemerkt, maar was toen als 'low priority' aangemerkt. Dit omdat de browser wel crashte maar verder geen code kon worden uitgevoerd.
Nu blijkt via een proof of concept dat (vele maanden later) het toch mogelijk is code uit te voeren.*/

Dit roept bij mij toch wel enkele vraagtekens op :

Een bug wordt gemeld , er wordt door microsoft (naar ik aanneem) toch serieus getest of de bug daadwerkelijk geen critical status dient te krijgen.
Er is blijkbaar geen werkende proof of concept en dus gooien ze hem op de hoop.. (totdat iemand wel met een werkend proof of concept opduikt)

Vervolgens krijgt diegene de kous op de kop omdat hij publiekelijk laat weten dat ze bij MS misschien wel laks zijn met aangeleverde bugrapporten of nog erger niet de kennis hebben zelf een proof of concept te realiseren om aan te tonen dat de bug critical is (kan worden).

Hoe je het wendt of keert ik vind MS hier toch wel in gebreke blijven, ofwel door niet afdoende kennis en kwaliteit van de materie om zelf een proof of concept te bedenken/realiseren, ofwel door het feit dat ze wachten totdat er iemand opstaat die zelf een proof of concept toont voor een bug die ze aannemen als zijnde een low profile threat.

Da's een mooie manier van werk uitbesteden en erger nog geld vangen voor werk wat je niet zelf doet maar lekker uitbesteed aan een andere partij.

Die dan vervolgens worden verheven tot een stelletje computer terroristen (phun intended).

Nee naar mijn idee is MS wel degelijk de partij die de blaam treft, als mensen de moeite doen een bug te melden zou je tenminste verwachten dat er serieus naar gekeken wordt en als je zegt 'oh er kan niks gebeuren dat hebben we getest' en vervolgens wordt je met een proof of concept (al is het met tig omwegen) om je oren geslagen dan ben je het waard om een beetje silly geslapt te worden als je het mij vraagt.

just my 3 stuivers....

Door Green.Velvet|IA, dinsdag 22 november 2005 16:11

Score: 0
Dus het is een ander zijn schuld dat Microsoft een gemelde bug verkeerd inschat (lees : de moeite niet doet het deftig te controleren) om dan naderhand te lopen roepen dat het een schande is dat die bug zwaar exploitable is ?

Door kimborntobewild, woensdag 23 november 2005 04:47

Score: 1
Als je dan tóch zo onnozel bent om erg zwáár op Security by Obscurity te leunen, pak dan op z'n minst elk denkbare bug zo snel mogelijk aan. Dat de boel al vastloopt is al niet low-priority noemen. Ze nemen instabiliteit dus gewoon op de koop toe bij MS!
Als een klein bedrijfje als Opera 't binnen één dag kan, moet MS dat ook kunnen.
Het geeft m.i. gewoon weer eens aan dat veiligheid nog steeds een véél te lage prioriteit heeft bij MS.
Eérst moet lock-in en dergelijke nog wat meer uitgemolken worden.
«  1  2  3  4  »

Op dit item kan niet meer gereageerd worden.

Volgende 16:34 Dell doet AMD-bericht af als gerucht
Vorige 12:51 Overeenkomst over glasvezelnetwerk Helmond
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011