Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties, 22.960 views •

De gadgets in Windows 7 zijn een risico. Dat beweren twee hackers. Gadgets hebben veel rechten, waardoor misbruik een mogelijkheid wordt. Ook zijn veel gadgets onveilig. Microsoft adviseert de functionaliteit uit te zetten.

Tijdens een presentatie op Black Hat demonstreerden de onderzoekers, Mickey Shkatov en Toby Kohlenberg, hoe gadgets kunnen worden misbruikt. De gadget-mogelijkheid in Windows 7 maakt het mogelijk om bijvoorbeeld een klok of een weerbericht op de desktop te tonen.

Veel gadgets die door derden zijn ontwikkeld, zijn volgens de onderzoekers slecht geschreven, niet ondertekend met een certificaat en niet voorzien van een beveiligde verbinding. Zelfs voor het updaten van de widgets wordt vaak geen beveiligde verbinding gebruikt. Aangezien de meeste gadgets in javascript en html worden geschreven, is het volgens de onderzoekers relatief eenvoudig om via een man in the middle-aanval eigen code toe te voegen tijdens het updaten van code.

Shkatov en Kohlenberg demonstreerden hoe het dataverkeer van een applicatie die zichzelf op de achtergrond aan het updaten was, werd onderschept en er een shell werd gedownload. Daarmee kregen de 'aanvallers' de controle over de computer die de gadget aan het updaten was. Daarvoor moet een aanvaller dus wel de controle over de internetverbinding van een slachtoffer hebben. Overigens zijn de gadgets die Microsoft meelevert volgens de onderzoekers van betere kwaliteit.

De twee tekenen daarnaast aan dat gadgets redelijk veel rechten hebben, terwijl gadgets doorgaans niet als software worden gezien. "Mensen zien gadgets als een schattig klein dingetje", aldus Kohlenberg. "Ook antivirusprogramma's laten gadgets dingen doen die in het geval van een normale binary direct een rode vlag zouden krijgen."

Gadgets kunnen onder meer Active X-objecten lanceren, cookies van Internet Explorer uitlezen en toetsenbordaanslagen uitvoeren. De onderzoekers demonstreerden een - niet erg realistische - aanval waarbij een onschuldig ogende gadget een Gmail-venster opende en alle contactpersonen spamde.

Gadgets waren ook al aanwezig in Windows Vista. Of de kwetsbaarheden ook op Windows Vista van toepassing zijn, is onduidelijk. "Dat hebben we niet getest", aldus Shkatov en Kohlenberg tegen Tweakers.net. De twee onderzoekers vonden het marktaandeel van Vista te klein.

Microsoft heeft eerder deze maand in reactie op de aankondiging van de presentatie gebruikers al het advies gegeven om widgets uit te schakelen. "We waren met stomheid geslagen toen ze daarnaast tegen ons zeiden dat ze de widget-functionaliteit zouden gaan uitfaseren", aldus Kohlenberg. Het is echter niet onwaarschijnlijk dat ook de komst van de nieuwe Metro-interface met de bijbehorende live tiles aan dat besluit heeft bijgedragen.

Gadgets Windows Vista

Reacties (62)

Reactiefilter:-162059+129+23+30
Moderatie-faq Wijzig weergave
Maar nu is mijn vraag: zijn (mijn verzameling) plaknotities ook een gevaar (door Microsoft zelf gecreeerd gadget)?
Microsoft heeft dik 2 weken terug zelf al aangegeven dat de Sidebar en die Gadgets beter uitgeschakeld kunnen worden inderdaad en heeft daar ook een FixIt voor uitgegeven. Dit nieuws zal wel als Proof of Concept gelden voor die bugs.
Microsoft Security Advisory (2719662)
Vulnerabilities in Gadgets Could Allow Remote Code Execution
Published: Tuesday, July 10, 2012

Microsoft is announcing the availability of an automated Microsoft Fix it solution that disables the Windows Sidebar and Gadgets on supported editions of Windows Vista and Windows 7. Disabling the Windows Sidebar and Gadgets can help protect customers from vulnerabilities that involve the execution of arbitrary code by the Windows Sidebar when running insecure Gadgets. In addition, Gadgets installed from untrusted sources can harm your computer and can access your computer's files, show you objectionable content, or change their behavior at any time.

An attacker who successfully exploited a Gadget vulnerability could run arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker could take complete control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

Applying the automated Microsoft Fix It solution described in Microsoft Knowledge Base Article 2719662 disables the Windows Sidebar experience and all Gadget functionality.

Recommendation. Customers who are concerned about vulnerable or malicious Gadgets should apply the automated Fix It solution as soon as possible. For more information, see the Suggested Actions section of this advisory.
http://technet.microsoft.com/en-us/security/advisory/2719662

NB. Ik denk dat Gtoniser hierboven gelijk heeft mbt je vraag, maar ik weet niet of het aan houden van de Sidebar of Gadgets nodig is om de Notities te laten werken. Wellicht is het zelfs als je het niet gebruikt kwetsbaar.

[Reactie gewijzigd door SidewalkSuper op 26 juli 2012 22:46]

Wellicht zou MS iets zorgvuldiger moeten omgaan met de manier waarop het gadgets behandeld in Windows 7 en 8. Het uitschakelen is geen feature meer. Die gadgets behoren enigzins tot windows lijkt mij.
Haalt die je notities automatisch op van het internet via een onbeveiligde verbinding? Dat hoop ik niet voor je. Is dus volkomen veilig. Dit gaat alleen over online widgets met een niet-ssl verbinding.
Voor wie wil weten hoe je gadgets uit zet: snel gegoogled linkje :Y)

[Reactie gewijzigd door Bioman op 26 juli 2012 22:19]

In dat lijstje zijn er nog een hoop dingen die je vaak uit kan zetten. Met een beetje tweaken krijg je Windows 7 onder de 1GB RAM daarmee.

Zie ook deze afbeelding (Hij komt onder de 500mb maar dan raak je wel veel visuele dingen kwijt):
http://1.bp.blogspot.com/...A/s1600/1337808547256.png

[Reactie gewijzigd door Preau op 26 juli 2012 23:00]

Windows 7 werkt zonder aanpassingen onder de 1 GB. Pas nog achter een PC gezeten met Windows 7 erop die, maar 1GB intern geheugen had. Er was nog zeker 400mb vrij van de 1GB. Dat was zonder aanpassingen en alle standaard features stonden nog gewoon aan.
Ik heb er altijd al een onveilig gevoel over gehad, Microsoft is gestopt met het aanbieden van meer gadgets, en je kon via meerdere 3rd party websites alle soorten gadgets downloaden wat dus echt gewoon onveilig is, omdat je niet weet wat voor malware dat soort gadgets zouden kunnen bevatten.
dat microsft gestopt is met aanbieden heeft alles te maken met het pushen van windows 8..

dat er onveilige gadgets in omloop zijn is haast niet meer als logisch, zeker gezien hoe ze opgebouwd worden..

erg jammer dat ze dus nu de hele functionaliteit de nek omdraaien, eindelijk iets dat echt goed werkt (zolang je maar geen onvertrouwde gadgets installeert)
Ja het geeft je een ingang. Maar aan man-in-the middle attacks zijn we allemaal niet aan veilig gesteld. Controleer jij de md5 van allerlei automatische updates? Ik weet niet of Samuns Kies nog vulnerable is, maar daar heb ik ook nog ooit een exploit voor geschreven die ik in een dag had gevonden van het onbeveiligde update proces...
Kent iemand nog Active Desktop? ja?

Precies hetzelfde.
Nog ouder: scraps!
De stukjes tekst, tekening, etc die je naar de win95 desktop kon slepen. Daar heb ik enorm veel gebruik van gemaakt, was bijzonder handig. Maar bleek ook onveilig te zijn, dus is helaas door MS uitgezet.
Creating a scrap is similar to creating a shortcut. Highlight the text or
graphics you want to keep around, then drag it into your Scraps folder,
or onto the desktop, or anywhere else you'd like to store it. Let go, and
a shortcut with the word "Scrap" in it should appear.
(Quote van Microsoft Windows '95 Tips)
Ik vind 't jammer dat ze weg gaan. Op XP gebruikte ik al Yahoo Widgets, maar sinds Windows 7 gebruik ik gadgets (die van addgadgets.com vind ik erg handig).

Het is vervelend dat MS waarschijnlijk ook geen moeite meer zal steken in gadgets veiliger maken op Windows 7, gezien hun advies om 't maar niet te gebruiken (sterker nog, ze zijn het al actief aan het killen).
"We waren met stomheid geslagen toen ze daarnaast tegen ons zeiden dat ze de widget-functionaliteit zouden gaan uitfaseren"
Zo nieuw is dat toch niet... de (Nederlandse) galerie met gadgets is al meer dan jaar dicht, omdat ze zich zogenoemd focussen op de fantastische blablabla van windows 8... ergens schandalig dat ze nog voor die meuk uit is al de ondersteuning voor windows 7 op dat gebied stoppen... vond de radio gadgets altijd wel prettig werken.
[...]

[Reactie gewijzigd door Sjah op 27 juli 2012 10:57]

Disabling the Windows Sidebar and Gadgets can help protect customers from vulnerabilities that involve the execution of arbitrary code by the Windows Sidebar when running insecure Gadgets. In addition, Gadgets installed from untrusted sources can harm your computer and can access your computer's files, show you objectionable content, or change their behavior at any time.
Ik gebruik alleen de standaard gadgets die bij W7 Ultimate automatisch erbij zaten... is veilig zat alleen de onbekende gadgets moet je mee uitkijken, zie ook:
Gadgets installed from untrusted sources can harm your computer and can access your computer's files, show you objectionable content, or change their behavior at any time.

[Reactie gewijzigd door psyko666 op 26 juli 2012 22:49]

Hmm ik gebruik de analoge klok die erbij zat en de weerbericht gadget die ook al erbij zat van Microsoft zelf, de enige third-party gadget die ik gebruik is eentje voor het uitlezen van RAM en CPU verbruik maar die kan zichzelf updaten.

Maar nu we het toch over hebben, de enigste gadget die ik ECHT zou missen is de weerbericht gadget, die in Windows 8 is ruk en werkt niet goed als je even snel iets wilt weten (echter als je het uitgebreid wilt weten is het perfect).
echt heb nooit de drang begrepen op gelijk welk PC-mobiel vlak om gebruik te maken van die weer zooi.
om te weten hoe warm het nu wel is ? daar zijn die apps toch niet nauwkeurig genoeg voor en voor voorspellingen zijn ze ook al niet te gebruiken.
Snel even het web op en bij de jouw vertrouwde meteodienst gaan kijken is veel informatiever.
en als je die ergens als een bookmark of shortcut hebt ben je er ook in 1 2 3.

was het eerste dat van vista & 7 vloog en ook uit al mijn smartphones.
Vindt het wel frappant dat ze daar nu mee komen nu W8 er bijna is, lijkt me niet helemaal toevallig......
Vindt het wel frappant dat ze daar nu mee komen nu W8 er bijna is, lijkt me niet helemaal toevallig......
daar hebben ze het dubbel en dwars gefixed hoor, Windows 8 is het veiligste OS ooit gemaakt..

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True