Gadget-functionaliteit in Windows 7 kan onveilig zijn
De gadgets in Windows 7 zijn een risico. Dat beweren twee hackers. Gadgets hebben veel rechten, waardoor misbruik een mogelijkheid wordt. Ook zijn veel gadgets onveilig. Microsoft adviseert de functionaliteit uit te zetten.
Tijdens een presentatie op Black Hat demonstreerden de onderzoekers, Mickey Shkatov en Toby Kohlenberg, hoe gadgets kunnen worden misbruikt. De gadget-mogelijkheid in Windows 7 maakt het mogelijk om bijvoorbeeld een klok of een weerbericht op de desktop te tonen.
Veel gadgets die door derden zijn ontwikkeld, zijn volgens de onderzoekers slecht geschreven, niet ondertekend met een certificaat en niet voorzien van een beveiligde verbinding. Zelfs voor het updaten van de widgets wordt vaak geen beveiligde verbinding gebruikt. Aangezien de meeste gadgets in javascript en html worden geschreven, is het volgens de onderzoekers relatief eenvoudig om via een man in the middle-aanval eigen code toe te voegen tijdens het updaten van code.
Shkatov en Kohlenberg demonstreerden hoe het dataverkeer van een applicatie die zichzelf op de achtergrond aan het updaten was, werd onderschept en er een shell werd gedownload. Daarmee kregen de 'aanvallers' de controle over de computer die de gadget aan het updaten was. Daarvoor moet een aanvaller dus wel de controle over de internetverbinding van een slachtoffer hebben. Overigens zijn de gadgets die Microsoft meelevert volgens de onderzoekers van betere kwaliteit.
De twee tekenen daarnaast aan dat gadgets redelijk veel rechten hebben, terwijl gadgets doorgaans niet als software worden gezien. "Mensen zien gadgets als een schattig klein dingetje", aldus Kohlenberg. "Ook antivirusprogramma's laten gadgets dingen doen die in het geval van een normale binary direct een rode vlag zouden krijgen."
Gadgets kunnen onder meer Active X-objecten lanceren, cookies van Internet Explorer uitlezen en toetsenbordaanslagen uitvoeren. De onderzoekers demonstreerden een - niet erg realistische - aanval waarbij een onschuldig ogende gadget een Gmail-venster opende en alle contactpersonen spamde.
Gadgets waren ook al aanwezig in Windows Vista. Of de kwetsbaarheden ook op Windows Vista van toepassing zijn, is onduidelijk. "Dat hebben we niet getest", aldus Shkatov en Kohlenberg tegen Tweakers.net. De twee onderzoekers vonden het marktaandeel van Vista te klein.
Microsoft heeft eerder deze maand in reactie op de aankondiging van de presentatie gebruikers al het advies gegeven om widgets uit te schakelen. "We waren met stomheid geslagen toen ze daarnaast tegen ons zeiden dat ze de widget-functionaliteit zouden gaan uitfaseren", aldus Kohlenberg. Het is echter niet onwaarschijnlijk dat ook de komst van de nieuwe Metro-interface met de bijbehorende live tiles aan dat besluit heeft bijgedragen.
Reacties (62)
Integratie van een HTML renderer zie je in vrijwel ieder OS. Het is ook nogal praktisch, elke applicatie kan gewoon HTML renderen dmv een standaard component ipv specifiek te linken met een 3rd party library. Net zoals er standaard API's zijn om knopjes en editboxen etc te renderen. Maar als MS een HTML renderer integreert dan is het ineens vieszoals Microsoft dat wel lijkt te doen met hun vieze IE integratie
.Er is geen "heel IE". IE is niets meer dan een dunne schil om standaard Windows API's en componenten. De 'engine' (renderer is overigens gewoon een specifiekere term en daarom niet minder correct) als IWebBrowser component en DOM access via de MSHTML API en HTTP verkeer (inclusief session en password management etc.) via de WinInet API. Veer meer dan een simpele applicatie die de boel aan elkaar knoopt en er een UI omheen bouwt heb je niet nodig.heel IE.
Bottom line is dat jij je stelling ook niet kan onderbouwen - omdat je gewoon anderen napraat die hun stelling ook niet onderbouwd hebben. Kom maar eens met wat bronnen die goed uitleggen wat er dan zo speciaal is aan de zogenaamde "integratie" van IE. Als je die weg wil hebben dan werkt namelijk geen enkele applicatie die gebruik maakt van dergelijke API's meer; een situatie waar niemand wat aan heeft.
[Reactie gewijzigd door .oisyn op vrijdag 27 juli 2012 11:51]
Begrijp me goed, geen van die twee voorbeelden is (voor de gemiddelde T.net bezoeker) lastig op te sporen en te fixen, maar voor de gemiddelde computergebruiker kan dat best een ander verhaal zijn; die zitten met een computer die steeds trager wordt, zonder duidelijke reden.
@Zer0:
Het verschil met gewone applicaties is dat dit automatisch mee opgestart wordt met Windows, altijd actief is, als ik Microsoft een beetje ken meteen opnieuw gestart wordt als het crasht en door veel mensen over het hoofd gezien zal worden als ze zoeken naar "wat hun computer traag maakt". Bovendien, een progje van honderd regels is door iedereen zo geschreven, ook zeer beginnende programmeurs, die vaak meer fouten zullen maken dan enigszins ervaren coders.
[Reactie gewijzigd door robvanwijk op zaterdag 28 juli 2012 20:13]
Klopt 1 op de 1000 code regels bevat een foutEr is slecht geschreven code, of dit nu gadgets, widgets of applicaties zijn maakt niet veel uit, een memory-leak komt in alle typen code voor.
Slecht geschreven widget pakt zo 10% van een moderne I7 cpu, troep is het.
Control Panel -> Programs -> Programs and Features -> Turn Windows Features on or off
Wat een onzin. Als je het lelijk vind, zet je ze uit. Dit is gewoon vervelend voor mensen die ze wel willen gebruiken. Je reactie doet je overkomen als een egoïstische eikel die een ander niet iets gunt als het hem zelf niet bevalt.Mooi bericht, die dingen zijn mij altijd al een doorn in het oog geweest, al is het alleen al vanwege het opzuigen van resources.
Je zegt toch ook niet dat het maar goed is dat een bepaalde auto slecht uit crashtests komt omdat het toch een lelijk barrel is?
Zo te zien maar goed ook.
http://technet.microsoft.com/en-us/security/advisory/2719662Microsoft Security Advisory (2719662)
Vulnerabilities in Gadgets Could Allow Remote Code Execution
Published: Tuesday, July 10, 2012
Microsoft is announcing the availability of an automated Microsoft Fix it solution that disables the Windows Sidebar and Gadgets on supported editions of Windows Vista and Windows 7. Disabling the Windows Sidebar and Gadgets can help protect customers from vulnerabilities that involve the execution of arbitrary code by the Windows Sidebar when running insecure Gadgets. In addition, Gadgets installed from untrusted sources can harm your computer and can access your computer's files, show you objectionable content, or change their behavior at any time.
An attacker who successfully exploited a Gadget vulnerability could run arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker could take complete control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Applying the automated Microsoft Fix It solution described in Microsoft Knowledge Base Article 2719662 disables the Windows Sidebar experience and all Gadget functionality.
Recommendation. Customers who are concerned about vulnerable or malicious Gadgets should apply the automated Fix It solution as soon as possible. For more information, see the Suggested Actions section of this advisory.
NB. Ik denk dat Gtoniser hierboven gelijk heeft mbt je vraag, maar ik weet niet of het aan houden van de Sidebar of Gadgets nodig is om de Notities te laten werken. Wellicht is het zelfs als je het niet gebruikt kwetsbaar.
[Reactie gewijzigd door SidewalkSuper op donderdag 26 juli 2012 22:46]
[Reactie gewijzigd door Bioman op donderdag 26 juli 2012 22:19]
Zie ook deze afbeelding (Hij komt onder de 500mb maar dan raak je wel veel visuele dingen kwijt):
http://1.bp.blogspot.com/...A/s1600/1337808547256.png
[Reactie gewijzigd door Preau op donderdag 26 juli 2012 23:00]
Precies hetzelfde.
De stukjes tekst, tekening, etc die je naar de win95 desktop kon slepen. Daar heb ik enorm veel gebruik van gemaakt, was bijzonder handig. Maar bleek ook onveilig te zijn, dus is helaas door MS uitgezet.
(Quote van Microsoft Windows '95 Tips)Creating a scrap is similar to creating a shortcut. Highlight the text or
graphics you want to keep around, then drag it into your Scraps folder,
or onto the desktop, or anywhere else you'd like to store it. Let go, and
a shortcut with the word "Scrap" in it should appear.
Het is vervelend dat MS waarschijnlijk ook geen moeite meer zal steken in gadgets veiliger maken op Windows 7, gezien hun advies om 't maar niet te gebruiken (sterker nog, ze zijn het al actief aan het killen).
Zo nieuw is dat toch niet... de (Nederlandse) galerie met gadgets is al meer dan jaar dicht, omdat ze zich zogenoemd focussen op de fantastische blablabla van windows 8... ergens schandalig dat ze nog voor die meuk uit is al de ondersteuning voor windows 7 op dat gebied stoppen... vond de radio gadgets altijd wel prettig werken."We waren met stomheid geslagen toen ze daarnaast tegen ons zeiden dat ze de widget-functionaliteit zouden gaan uitfaseren"
[Reactie gewijzigd door Sjah op vrijdag 27 juli 2012 10:57]
En daar is niks aan te veranderen?Gadgets hebben veel rechten, waardoor misbruik een mogelijkheid wordt.
Microsoft heeft dit ook ingezien en heeft daarom gekozen de gadgets uit te faseren en daar voor in de plaats de Metro apps te pakken. Daar moeten ze dus wel de veiligheid vs functionaleit op orde hebben.
Ik gebruik alleen de standaard gadgets die bij W7 Ultimate automatisch erbij zaten... is veilig zat alleen de onbekende gadgets moet je mee uitkijken, zie ook:Disabling the Windows Sidebar and Gadgets can help protect customers from vulnerabilities that involve the execution of arbitrary code by the Windows Sidebar when running insecure Gadgets. In addition, Gadgets installed from untrusted sources can harm your computer and can access your computer's files, show you objectionable content, or change their behavior at any time.
Gadgets installed from untrusted sources can harm your computer and can access your computer's files, show you objectionable content, or change their behavior at any time.
[Reactie gewijzigd door psyko666 op donderdag 26 juli 2012 22:49]
Op dit item kan niet meer gereageerd worden.
Populair: Asus Samsung Websites en communities Mobiele telefoons Laptops Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
