Hoofdcategorieën

[RSS] Index » Nieuws » Core » Software » Binnen 15 minuten IE7-bug gevonden - update

Binnen 15 minuten IE7-bug gevonden - update

Door Wouter Tinus, zaterdag 4 februari 2006 13:34
Bron: PC World, views: 34.015

Beveiligingsonderzoeker Tom Ferris beweert dat hij na een kwartier testen met de publieke preview van Internet Explorer 7 al een potentieel gevaarlijke bug had ontdekt. Een simpele regel HTML blijkt voldoende zijn om de browser te laten crashen, en Ferris vermoedt - noemt het zelfs waarschijnlijk - dat de fout die deze crash veroorzaakt tevens misbruikt kan worden om willekeurige code uit te voeren op het systeem van het slachtoffer. Hoewel het uiteraard te verwachten is dat een bèta-release nog fouten bevat, denkt de onderzoeker toch dat zijn ontdekking wel degelijk iets zegt over Microsofts ontwikkelproces. De bug werd namelijk in zeer korte tijd gevonden door een automatisch testprogramma dat hij zelf heeft geschreven, en bestond nog niet in oudere versies. Er is dus ondanks het gehamer op veiligheid nieuwe code in de browser terechtgekomen die niet eens bestand is tegen een simpele automatisch gegenereerde aanvalshoek.

Internet Explorer logoDe conclusies van Ferris zijn wellicht overigens wel wat voorbarig: Microsoft is op de hoogte gesteld van het probleem, maar mogelijk had het bedrijf het risico zelf ook al ontdekt. In november werd bekend dat er nog 20.000 bugs in Internet Explorer 7 en Vista zaten, en het is onmogelijk om te weten of de fout die Ferris heeft gevonden daadwerkelijk door de mazen van het net is heengeglipt, of dat deze simpelweg nog op de planning staat om opgelost te worden. Recent heeft Windows-opperhoofd Jim Allchin verklaard dat er tot de release van Vista (waar Internet Explorer 7 een onderdeel van zal zijn) alleen nog maar aan de kwaliteit gewerkt zou worden, en dat het bedrijf het nieuwe besturingssysteem desnoods nog een keer zal uitstellen als de doelstellingen niet gehaald worden.

Update (16:00): Op hun weblog verklaren de ontwikkelaars van Internet Explorer 7 dat ze inderdaad al bekend waren met het probleem en ook al van plan waren om het op lossen. De fout zou gewoon tijdens de verplichte veiligheidscontrole zijn ontdekt en - behalve de crash - ongevaarlijk zijn. Een nieuwe compilertechniek die buffer overflows herkent zou namelijk moeten voorkomen dat hackers misbruik kunnen maken van dit soort fouten.

Volgende 13:35
Vorige 12:50

Categorieën

Gerelateerde artikelen

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 52 reacties zichtbaar520 Neutraal: 51 reacties zichtbaar51+1 Meerwaarde: 17 reacties zichtbaar17+2 Verplicht leesvoer: 7 reacties zichtbaar7
«  1  2  »

Door Gs-Trigun, zaterdag 4 februari 2006 13:37

Score: 0
gelukkig heb ik Firefox :Y)

Door Tigertje, zaterdag 4 februari 2006 13:38

Score: 2
Een bug in een beta. Gaan we ons daar nu ook al druk over maken...?

Door Marvke, zaterdag 4 februari 2006 13:42

Score: 0
Is het zo moeilijk te vinden in de tekst waarom men zich druk maakt om deze bug in een beta?
Hoewel het uiteraard te verwachten is dat een bèta-release nog fouten bevat, denkt de onderzoeker toch dat zijn ontdekking wel degelijk iets zegt over Microsofts ontwikkelproces. De bug werd namelijk in zeer korte tijd gevonden door een automatisch testprogramma dat hij zelf heeft geschreven, en bestond nog niet in oudere versies. Er is dus ondanks het gehamer op veiligheid nieuwe code in de browser terechtgekomen die niet eens bestand is tegen een simpele automatisch gegenereerde aanvalshoek.
Ik neem aan dat je dit gelezen hebt. Misschien is het dan slimmer om aan te geven waarom jij niet vind dat deze bug iets zegt over Microsofts ontwikkelproces.

Door Da_Teach, zaterdag 4 februari 2006 14:49

Score: 1
Jij bent zeker geen software ontwikkelaar of wel?

Hoewel jij misschien denkt dat dit een hele grote bug is, kan het iets simpels zijn van 1 letter verkeerd, of een nummer te hoog / te laag. Effect is groot, de software fout erg klein.

Hoewel deze geautomatiseerd gevonden is, kan het nog steeds een specifiek iets zijn op die pagina met welke ze testen, of iets op de pc waar op getest wordt. Of met het programma waarmee ze testen.

Vreemd genoeg zijn hier dus wel beta's voor, waarom zou je een beta hebben als hier helemaal geen fouten meer uit komen?

Door feuniks, zaterdag 4 februari 2006 18:32

Score: 2
Ik heb een beetje een dubbel gevoel bij deze zaak:

Aan de ene kant zeg ik natuurlijk dat dit een beta is en dat er dus fouten in ZULLEN zitten. Natuurlijk zeg ik dat je niets moet verwachten van beta software behalve problemen. (Immers dan valt het altijd mee). Natuurlijk zeg ik dat beta software zelfs je hele systeem omver kan blazen. En natuurlijk zeg ik dat dit allemaal voor eigen risico is.

Maar de software ontwikkelaar in mij zegt ook een paar andere dingen:

Er zit toch wel verschil tussen de ene en de andere beta. Voor een groot project als dit zijn er verschillende stadia in het ontwikkelingsproces:
Je begint met vroege alpha versies. Hierin laat je ofwel de hele grote lijnen van je programma zien ofwel juist een specifieke nieuwe component. Deze alpha versies zijn eigenlijk bedoelt voor de interne afdeling of voor enkele beta testers die de component moeten testen.
Daarna begin je langzaamaan met beta's. Deze beta's bevatten steeds meer van het uitendelijke product.
Een product kan uiteindelijk een publieke beta hebben zoals IE7. De toevoeging van het woord publiek zou moeten betekenen dat het product in belangrijke mate stabiel is en dat de uiteindelijke release aanstaande is.

Met andere woorden: doordat Microsoft heeft aangegeven dat deze beta publiek is, hebben ze wel het label meegegeven dat deze beta vrij "veilig" zou moeten zijn. Zeker omdat ze weten dat de normale bevolking niets weet van dit hele proces en ook geen idee heeft van de gevolgen van het gebruik van de software. Ja het staat in de EULA, maar we weten allemaal donders goed, dat die toch niet gelezen wordt.

Als er dus een dermete ernistige bug in zit dat de veiligheid van de computer in gevaar wordt gebracht, dan heeft Microsoft dus op zijn minst geen goed werk geleverd door deze beta het stempel Publiek mee te geven.

Door Gepetto, maandag 6 februari 2006 18:28

Score: 1
Zeker omdat ze weten dat de normale bevolking niets weet van dit hele proces en ook geen idee heeft van de gevolgen van het gebruik van de software.
Het "normale volk" niet inderdaad, maar je wordt alleen maar betatester door je daarvoor aan te melden en je mag toch verwachten van iemand die zich als tester van een stuk software aanmeldt, dat deze ook weet waar hij mee bezig is.

Dus zo publiek is het nou ook weer niet.

Door liberque, zaterdag 4 februari 2006 13:45

Score: 2
"Feedback is the breakfast of champions" zei een oud werkgever van me altijd. Als we nu niet vallen over bugs die we tegenkomen in de beta's moeten we niet gaan klagen dat de bug er in de rtm er ook nog in zit. Dat is juist het leuke van beta's. Vind je een fout: schreeuw dan moord en brand zodat MS de bug kan oplossen. Zwijg je de bug dood bij de beta, zwijg dan uiteindelijk ook over de bug als de final is uitgekomen.

@Needless:
Ik weet dat het een gewoonte is om te bashen op MS en dat velen dat doen. Echter zomaar mensen betitelen als MS bashers is ook bashen... ik ben juist een groot aanhanger van MS (zie profiel) en wilde juist aangeven dat ik liever heb dan dat er grote ophef over bugs in beta's onstaat zodat de ontwikkelaars er iets aan kunnen doen. Mischien dat ik me iets te sterk heb uitgedrukt met "moord en brand schreeuwen" :)

Door needless to say, zaterdag 4 februari 2006 14:39

Score: 1
mja,

moord en brand schreeuwen?

Contacteer gewoon de ontwikkelaar ipv te vertellen dat er bugs zitten in een beta...

Wanneer een beta van MS komt mooet elke bug in het nieuws komen.... Wanneer een bug in een FF-beta gevonden wordt wordt dit mooi aan Mozilla gemeld en vindt men dat normaal.

Tja, MS-bashing is toch o zo 'in'.

Door Adrianb, zaterdag 4 februari 2006 15:27

Score: 0
IE heeft wel een ZEER groot deel van de browsermarkt in handen, dus als er een bug/exploit/.. gevonden wordt, is de uitkomst(lees: het aantal gedupeerden) erger dan met FF.
EDIT: Waarom is dit overbodig?

Door .dani., zondag 5 februari 2006 01:38

Score: 0
@Adrianb
Omdat we dat allemaal best snappen hoor ;)

Door Punkie, maandag 6 februari 2006 17:39

Score: 0
Tja, MS-bashing is toch o zo 'in'.
weet je wat er nog veeel vermoeiender is als Ms bashen? het bashen van de basher, zeker als er nog niet eens een basher is.

Er had nog niemand gebasht en toch begint onze needless al te bashen op de <onbekende> basher.

Stop eens met dit bash gezeur en stel het aan de kaak alleen wanneer het pertinent aanwezig is!

Hopelijk word dit geen bash-de-basher-basher feest :S

Door Kama, zaterdag 4 februari 2006 14:42

Score: 1
Er is toch wel een verschil tussen een bugreport (heel nuttig) en een smadelijk artikel waarin je breed uitmeet dat je in een Beta na 15 minuten al meteen een bug gevonden hebt en ook maar meteen het hele ontwikkelproces van Microsoft op de korrel neemt. Dat vind ik tegen het "goedkoop scoren" aan.

Als ik een huis bouw, maak ik het eerst af. Dan ga ik gaten vullen, plamuren, voegen. En dat ik tijdens de bouw nadenk over hoe ik het aantal gaten minimaal kan houden, wil niet zeggen dat er geen gaten en kieren te vullen zijn als ik klaar ben.

Door Top-Rob, zaterdag 4 februari 2006 17:49

Score: 0
Ik ben het volledig eens met je 'goedkoop scoren' beredenering. Netjes verwoord ook.
Echter, je vergelijking met het bouwen van een huis zie ik niet zo zitten. Microsoft released een beta. In een beta mogen bugs zitten. Maar er mogen geen [b]serieus ernstige[/b] bugs in een beta zitten, daar is immers een alpha voor. Als er geen kritiek gegeven mag worden op ernstige bugs, waarom wordt die beta dan uberhaupt gereleased?
Om op je voorbeeld terug te komen: als ik mijn huis nog niet af heb, presenteer ik die ook niet als 'af, alleen de meubels moeten er nog in' om me vervolgens te verbazen over commentaar vwb gaten en kieren ;).

Nou is de vraag of deze bug wel serieus ernstig is -en dat doet er voor mij op dit moment ook niet toe-, maar gezien Tom Ferris vind van wel kan ik zijn beredenering wel enigszins volgen.

Door jonspencerbx, zaterdag 4 februari 2006 23:58

Score: 0
Laat deze "beta" nou net een alpha zijn. Dit is een PREVIEW van een beta, nog geen beta dus. En als het geen beta is dan is het alpha en dus zijn dit soort fouten wel degelijk geoorloofd.

Door inn87, zaterdag 4 februari 2006 15:12

Score: 0
@liverque:
rare denkwijze, als de consument zn mond houdt over bugs in de beta zou microsoft dus zomaar een brakke browser uitbrengen?

Door liberque, zaterdag 4 februari 2006 21:56

Score: 0
rare denkwijze, als de consument zn mond houdt over bugs in de beta zou microsoft dus zomaar een brakke browser uitbrengen?
Als je in een cafe komt, je besteld een glas cola, je neemt een slok en het blijkt dat er absoluut geen prik op zit.. wat doe je dan? a. je drinkt het op en gunt de volgende klant die cola besteld ook een wanstaltelijk siroopwater.. b. je zegt het gewoon tegen de barkeeper zodat ie een nieuwe fles open kan trekken. Waar bereik je nu meer mee? Hoe kan de barkeeper weten dat de cola je niet smaakte als je hem dit niet verteld? Hoe moet MS weten dat er een bug in hun beta zit als niemand ze dat verteld? Je kan onmogelijk verwachten dat de barkeeper voor iedere klant met een andere smaak even voorproeft, net zo min je van MS kan verwachten dat ze iedere denkbare setup van het OS uit proberen. In het eerste voorbeeld zou Coca Cola nog steeds een hoestdrankje zijn en in het laatste zouden we nu nog met Windows 3.0 werken.

Door sjaakduhuuhl, zondag 5 februari 2006 12:56

Score: 0
@liberque: In het verlengde van dit nieuwsbericht: Je kiest dan voor B, en niet voor C: Je schreeuwt door het cafe dat de cola niet prikt. De barkeeper hoort het en pakt een nieuwe fles, maar het publiek hoort het ook en krijgt een negatievere mening over de barkeeper.

Door Olaf van der Spek, zaterdag 4 februari 2006 13:51

Score: 0
Een bug in een beta.
Er is een verschil tussen 'een bug' en 'een bug die een crash veroorzaakt en remote te triggeren is'.

Door maxxware, zaterdag 4 februari 2006 14:16

Score: 0
Dat ligt eraan. Als het stbiliteitsbugje is, dan niet. Maar als het een elementaire bug blijkt te zijn waardoor eigenlijk de basis onder het product wegvalt...

Door Luuk1983, maandag 6 februari 2006 09:21

Score: 2
Er is nog niet eens een beta, het is een beta PREVIEW, dus nog beta-er dan beta ;)

Door Oblii, zaterdag 4 februari 2006 13:40

Score: 0
Uit de txt file
Workaround:
Mozilla Firefox
:+ (8>

Door c0d1f1ed, zaterdag 4 februari 2006 16:58

Score: 0
Recente versies van FireFox blijken verscheidene instabiliteiten te bevatten, en die is reeds uit beta...

Laten we dan ook Internet Explorer 7.0 en FireFox 1.0 eens over elkaar zetten als het zo ver is.

Door killercow, zaterdag 4 februari 2006 17:13

Score: 0
firefox 1.5, en eventueel 2.0 dan maar? die is tegen die tijd namenlijk ook uit.

Door Cochrane, zaterdag 4 februari 2006 13:42

Score: 1
De conclusies van Ferris zijn wellicht overigens wel wat voorbarig: Microsoft is op de hoogte gesteld van het probleem, maar mogelijk had het bedrijf het risico zelf ook al ontdekt
Suggestief nieuws dus...

Door KroeT, zaterdag 4 februari 2006 14:21

Score: 0
Niets suggestiefs aan; de man heeft een bug gevonden, daar doet de vraag of Microsoft de bug al dan niet zelf heeft gevonden niets aan af.

Buiten dat is het inderdaad niet gek dat er bugs in een beta zitten. Daar is het immers een beta voor.

Door xbassiex, maandag 6 februari 2006 17:11

Score: 0
Het lijkt mij redelijk logisch dat het voorbarig is, het gaat immers om een beta...

Door rickertsnaak, zaterdag 4 februari 2006 14:43

Score: 1
Verdorie, hoe halen ze het in hun hoofd om in een beta bugs te stoppen.

Door ymmv, zaterdag 4 februari 2006 14:47

Score: 2
De MSIE7-ontwikkelaars hebben onderhand ook al gereageerd op het nieuws dat er een fout in een beta (duh) zat. Op ieblog schreven ze:

"This bug had already been found during our code review and analysis that is a mandatory part of our development process; it was scheduled to be fixed before our next public release. We do not believe this bug is easily exploitable, and as an extra defense, the /GS flag also catches the overrun. This is a compiler flag that tells Windows to watch for some classes of buffer overflows. If Windows sees a problem, it kills the application, in this case IE, instead of running the exploit code. While this is certainly not our primary line of protection, it does offer defense-in-depth to help keep our customers secure."

Zie verder http://blogs.msdn.com/ie/archive/2006/02/01/522682.aspx

Door RealKiller_, zaterdag 4 februari 2006 15:26

Score: 2
Ik wil niet lullig zijn, maar de bug in kwestie 'werkt' niet hier...
Als ik naar deze link ga (proof of concept link) dan gebeurd er niks.. geen crash, geen blauw scherm ...
(Ik gebruikt IE7 Beta2)

http://www.security-protocols.com/poc/sp-x23.html

Storm in een glas water?

Door mieJas, zondag 5 februari 2006 13:19

Score: 1
Hier geeft hij de eerste 5 seconden toch wel wat problemen, maar doet daarna gewoon weer verder

Door Swedish_Sausage, zaterdag 4 februari 2006 16:45

Score: 0
Nou ja.. Er komt toch al eerdig weer wat fanboy-ism voorbij.. Ik gebruik firefox, maar als fanboys zo dwangmatig gaan roepen dat mozilla beter is dan hoeft het niet meer voor mij.. Ga ik lekker terug naar IE alleen maar om die mensen dwars te zitten.. En voordat je gaat bashen met, tsja, dan zal jou PC wel weer vol met lekken en spyware zitten, het hangt er ook maar net van af wat je surfgedrag is, tegenwoordig maakt het ook geen drol meer uit of je dan IE/FF gebruikt.

Door babyxl, zaterdag 4 februari 2006 21:07

Score: 0
Mischien dat het niet zoveel uit maakt voor ons. Maar een vriend van mij is een n00b, die heb ik firefox gegeven en sindsdien heb ik veel minder onderhoud aan zijn PC. Het verschil zit 'm inderdaad aan surfgedrag. Maar in deze tijden dat iedereen maar op alles klikt wat te klikken valt lijkt het mij niet overstandig om dan zo'n persoon FF te geven. Geen kwaad woord over IE hoor, een andere vriend van mij gebruikt het naar alle tevredenheid, en ik zelf ook regelmatig. Het is mij alleen opgevallen dat ik het wat rustiger heb sinds ik bij diverse mensen FF geinstalled heb.

Door Swedish_Sausage, zaterdag 4 februari 2006 21:32

Score: 0
Absoluut. Het is ook (tot nu toe) een veel fijnere browser imho. IE7 is toch zeker een stuk logger en dat zal ook zeker de reden zijn waarom ik bij FF blijf. Maar ga niet elke computer gebruiker voor n00b uitmaken als hij geen firefox gebruikt, het is gewoon persoonlijke voorkeur. En zo lang mensen weigeren FF te gebruiken omdat het "anders" is, heb ik nog altijd een leuk bijbaantje.. :9

Door Josdebos, zaterdag 4 februari 2006 22:23

Score: 0
Het voordeel van Firefox is dat het niet zo fel is geïntegreerd in Windows. Hierdoor kan je PC minder snel "volledig" worden vervuild. IE werkt met héél veel Windows applicaties samen en slaat ook alle bestanden op, in tegenstelling tot FF (die het op een andere manier opslaat) ! ;)

Door HAL 9000, zondag 5 februari 2006 22:04

Score: 1
Jongens toch. Ga jij je mening en keuze van een browser (of eender welk stuk software) laten afhangen van al te fanatieke fanboys (die overigens aan beide kanten zitten roepen)? Kies gewoon de browser die je 'het lekkerste' vind werken, en laat ze maar lullen.

Door shorun, maandag 6 februari 2006 09:22

Score: 1
zo dwangmatig gaan roepen dat mozilla beter is dan hoeft het niet meer voor mij.. Ga ik lekker terug naar IE alleen maar om die mensen dwars te zitten..
je moet geen firefox gebruiken
je moet geen ie gebruiken
je moet geen opera gebruiken

je moet NIETS, en ie gebruiken om iemand dwars te zitten is alleen in je eigen nadeel.

persoonlijk: opera

edit: typo's ...

Door Ui31, zaterdag 4 februari 2006 17:02

Score: 0
Vind het onnodig "nieuws". Beta's zijn om bugs te laten vinden door gebruikers, zo simpel is dat. Erover klagen is nogal dom, gebruik dan geen beta-software.
Wat ik wel storend vind is dtat dit bericht weer 's met een hoop tam-tam op allerlei plaatsen opduikt: "al binnen 15 minuten een bug ... " Nou, nou ... iedereen die een beetje z'n best doet vind in beta's al snel een bug. Lijk tme dan een beetje kinderachtig van degene die het bericht naar buiten brengt om het te brengen als een schande of iets om verbaasd over te zijn.
Lekker makkelijk scoren, lekker makkelijk MS weer 's een trap geven... ik ben geen MS-fan, maar dit is echt te gemakkelijk. Eerst wil ik de definitieve release zien, dan ga ik 's een keertje zeiken.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 13:35
Vorige 12:50
VNU Media logo Powered by True

© 1998 - 2008 Tweakers.net - Alle rechten voorbehouden

Uitgever van: