Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 62, views: 22.633 •

De gadgets in Windows 7 zijn een risico. Dat beweren twee hackers. Gadgets hebben veel rechten, waardoor misbruik een mogelijkheid wordt. Ook zijn veel gadgets onveilig. Microsoft adviseert de functionaliteit uit te zetten.

Tijdens een presentatie op Black Hat demonstreerden de onderzoekers, Mickey Shkatov en Toby Kohlenberg, hoe gadgets kunnen worden misbruikt. De gadget-mogelijkheid in Windows 7 maakt het mogelijk om bijvoorbeeld een klok of een weerbericht op de desktop te tonen.

Veel gadgets die door derden zijn ontwikkeld, zijn volgens de onderzoekers slecht geschreven, niet ondertekend met een certificaat en niet voorzien van een beveiligde verbinding. Zelfs voor het updaten van de widgets wordt vaak geen beveiligde verbinding gebruikt. Aangezien de meeste gadgets in javascript en html worden geschreven, is het volgens de onderzoekers relatief eenvoudig om via een man in the middle-aanval eigen code toe te voegen tijdens het updaten van code.

Shkatov en Kohlenberg demonstreerden hoe het dataverkeer van een applicatie die zichzelf op de achtergrond aan het updaten was, werd onderschept en er een shell werd gedownload. Daarmee kregen de 'aanvallers' de controle over de computer die de gadget aan het updaten was. Daarvoor moet een aanvaller dus wel de controle over de internetverbinding van een slachtoffer hebben. Overigens zijn de gadgets die Microsoft meelevert volgens de onderzoekers van betere kwaliteit.

De twee tekenen daarnaast aan dat gadgets redelijk veel rechten hebben, terwijl gadgets doorgaans niet als software worden gezien. "Mensen zien gadgets als een schattig klein dingetje", aldus Kohlenberg. "Ook antivirusprogramma's laten gadgets dingen doen die in het geval van een normale binary direct een rode vlag zouden krijgen."

Gadgets kunnen onder meer Active X-objecten lanceren, cookies van Internet Explorer uitlezen en toetsenbordaanslagen uitvoeren. De onderzoekers demonstreerden een - niet erg realistische - aanval waarbij een onschuldig ogende gadget een Gmail-venster opende en alle contactpersonen spamde.

Gadgets waren ook al aanwezig in Windows Vista. Of de kwetsbaarheden ook op Windows Vista van toepassing zijn, is onduidelijk. "Dat hebben we niet getest", aldus Shkatov en Kohlenberg tegen Tweakers.net. De twee onderzoekers vonden het marktaandeel van Vista te klein.

Microsoft heeft eerder deze maand in reactie op de aankondiging van de presentatie gebruikers al het advies gegeven om widgets uit te schakelen. "We waren met stomheid geslagen toen ze daarnaast tegen ons zeiden dat ze de widget-functionaliteit zouden gaan uitfaseren", aldus Kohlenberg. Het is echter niet onwaarschijnlijk dat ook de komst van de nieuwe Metro-interface met de bijbehorende live tiles aan dat besluit heeft bijgedragen.

Gadgets Windows Vista

Reacties (62)

Mooi bericht, die dingen zijn mij altijd al een doorn in het oog geweest, al is het alleen al vanwege het opzuigen van resources.
Het is inderdaad beter als ze naast een doorn in je oog, ook nog eens onveilig zijn ja... |:(
zijn gadgets/widgeds onder linux of osx ook een probleem?
zoals Microsoft dat wel lijkt te doen met hun vieze IE integratie
Integratie van een HTML renderer zie je in vrijwel ieder OS. Het is ook nogal praktisch, elke applicatie kan gewoon HTML renderen dmv een standaard component ipv specifiek te linken met een 3rd party library. Net zoals er standaard API's zijn om knopjes en editboxen etc te renderen. Maar als MS een HTML renderer integreert dan is het ineens vies 8)7.
Alleen Trident (de renderer zoals jij 't noemt - heet dus gwn engine) zou het probleem niet zijn.. heel IE... dat wel
heel IE.
Er is geen "heel IE". IE is niets meer dan een dunne schil om standaard Windows API's en componenten. De 'engine' (renderer is overigens gewoon een specifiekere term en daarom niet minder correct) als IWebBrowser component en DOM access via de MSHTML API en HTTP verkeer (inclusief session en password management etc.) via de WinInet API. Veer meer dan een simpele applicatie die de boel aan elkaar knoopt en er een UI omheen bouwt heb je niet nodig.

Bottom line is dat jij je stelling ook niet kan onderbouwen - omdat je gewoon anderen napraat die hun stelling ook niet onderbouwd hebben. Kom maar eens met wat bronnen die goed uitleggen wat er dan zo speciaal is aan de zogenaamde "integratie" van IE. Als je die weg wil hebben dan werkt namelijk geen enkele applicatie die gebruik maakt van dergelijke API's meer; een situatie waar niemand wat aan heeft.

[Reactie gewijzigd door .oisyn op 27 juli 2012 11:51]

Als dat ding ook meteen de mogelijkheid biedt om ActiveX componenten te draaien dan gaat dat wel iets verder dan alleen HTML renderen. Deze techniek is al vanaf het begin controversieel geweest in de (IE) browser, mn op het gebied van veiligheid.
Misschien bedoelt hij de laatste alinea, waarin staat dat de widgets uitgefaseerd gaan worden en MS zelf al het advies gegeven heeft om de widgets uit te schakelen?
Ja, want een doorn in het oog kan je afdoen als subjectief terwijl onveilig objectief is. Voor tegenstanders is dat dus goed nieuws; voor de gebruikers ervan natuurlijk niet.
Ja, die 2kb ram die ze innemen van de 16GB in je PC, dat is me toch een klapper.
Er staat dat veel widgets slecht geschreven en onveilig zijn. Een voorbeeld van "slecht geschreven" is een memory leak; een klok applicatie die elke seconde (bij het updaten van de weergave) een paar kB lekt, dat gaat best aantikken als ie altijd actief is. Of wat brakke code die in een infinite loop schiet, da's ook dolle pret.
Begrijp me goed, geen van die twee voorbeelden is (voor de gemiddelde T.net bezoeker) lastig op te sporen en te fixen, maar voor de gemiddelde computergebruiker kan dat best een ander verhaal zijn; die zitten met een computer die steeds trager wordt, zonder duidelijke reden.

@Zer0:
Het verschil met gewone applicaties is dat dit automatisch mee opgestart wordt met Windows, altijd actief is, als ik Microsoft een beetje ken meteen opnieuw gestart wordt als het crasht en door veel mensen over het hoofd gezien zal worden als ze zoeken naar "wat hun computer traag maakt". Bovendien, een progje van honderd regels is door iedereen zo geschreven, ook zeer beginnende programmeurs, die vaak meer fouten zullen maken dan enigszins ervaren coders.

[Reactie gewijzigd door robvanwijk op 28 juli 2012 20:13]

Er is slecht geschreven code, of dit nu gadgets, widgets of applicaties zijn maakt niet veel uit, een memory-leak komt in alle typen code voor.
Er is slecht geschreven code, of dit nu gadgets, widgets of applicaties zijn maakt niet veel uit, een memory-leak komt in alle typen code voor.
Klopt 1 op de 1000 code regels bevat een fout
Processortijd is ook een resource en die is wel degelijk merkbaar.
Slecht geschreven widget pakt zo 10% van een moderne I7 cpu, troep is het.
In 2KB kan je tegenwoordig nauwelijks functionaliteit kwijt.
Je kan Gadgets volledig disablen als je ze niet gebruikt.

Control Panel -> Programs -> Programs and Features -> Turn Windows Features on or off
Mooi bericht, die dingen zijn mij altijd al een doorn in het oog geweest, al is het alleen al vanwege het opzuigen van resources.
Wat een onzin. Als je het lelijk vind, zet je ze uit. Dit is gewoon vervelend voor mensen die ze wel willen gebruiken. Je reactie doet je overkomen als een ego´stische eikel die een ander niet iets gunt als het hem zelf niet bevalt.

Je zegt toch ook niet dat het maar goed is dat een bepaalde auto slecht uit crashtests komt omdat het toch een lelijk barrel is?
Wat een onzin. Hij geeft zijn mening en hij verklaart waarom. Hij valt niemand aan , zegt niets verkeerds en jij voelt je aangevallen en gaat schelden. Beetje jammer en ego´stisch.
@ Neko Koneko, wat een ongelooflijk lompe reactie.
Grappig, deze heb ik altijd al uitgeschakeld gehad.
Zo te zien maar goed ook.
Ja het geeft je een ingang. Maar aan man-in-the middle attacks zijn we allemaal niet aan veilig gesteld. Controleer jij de md5 van allerlei automatische updates? Ik weet niet of Samuns Kies nog vulnerable is, maar daar heb ik ook nog ooit een exploit voor geschreven die ik in een dag had gevonden van het onbeveiligde update proces...
Maar nu is mijn vraag: zijn (mijn verzameling) plaknotities ook een gevaar (door Microsoft zelf gecreeerd gadget)?
Haalt die je notities automatisch op van het internet via een onbeveiligde verbinding? Dat hoop ik niet voor je. Is dus volkomen veilig. Dit gaat alleen over online widgets met een niet-ssl verbinding.
Microsoft heeft dik 2 weken terug zelf al aangegeven dat de Sidebar en die Gadgets beter uitgeschakeld kunnen worden inderdaad en heeft daar ook een FixIt voor uitgegeven. Dit nieuws zal wel als Proof of Concept gelden voor die bugs.
Microsoft Security Advisory (2719662)
Vulnerabilities in Gadgets Could Allow Remote Code Execution
Published: Tuesday, July 10, 2012

Microsoft is announcing the availability of an automated Microsoft Fix it solution that disables the Windows Sidebar and Gadgets on supported editions of Windows Vista and Windows 7. Disabling the Windows Sidebar and Gadgets can help protect customers from vulnerabilities that involve the execution of arbitrary code by the Windows Sidebar when running insecure Gadgets. In addition, Gadgets installed from untrusted sources can harm your computer and can access your computer's files, show you objectionable content, or change their behavior at any time.

An attacker who successfully exploited a Gadget vulnerability could run arbitrary code in the context of the current user. If the current user is logged on with administrative user rights, an attacker could take complete control of the affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.

Applying the automated Microsoft Fix It solution described in Microsoft Knowledge Base Article 2719662 disables the Windows Sidebar experience and all Gadget functionality.

Recommendation. Customers who are concerned about vulnerable or malicious Gadgets should apply the automated Fix It solution as soon as possible. For more information, see the Suggested Actions section of this advisory.
http://technet.microsoft.com/en-us/security/advisory/2719662

NB. Ik denk dat Gtoniser hierboven gelijk heeft mbt je vraag, maar ik weet niet of het aan houden van de Sidebar of Gadgets nodig is om de Notities te laten werken. Wellicht is het zelfs als je het niet gebruikt kwetsbaar.

[Reactie gewijzigd door SidewalkSuper op 26 juli 2012 22:46]

Wellicht zou MS iets zorgvuldiger moeten omgaan met de manier waarop het gadgets behandeld in Windows 7 en 8. Het uitschakelen is geen feature meer. Die gadgets behoren enigzins tot windows lijkt mij.
Voor wie wil weten hoe je gadgets uit zet: snel gegoogled linkje :Y)

[Reactie gewijzigd door Bioman op 26 juli 2012 22:19]

In dat lijstje zijn er nog een hoop dingen die je vaak uit kan zetten. Met een beetje tweaken krijg je Windows 7 onder de 1GB RAM daarmee.

Zie ook deze afbeelding (Hij komt onder de 500mb maar dan raak je wel veel visuele dingen kwijt):
http://1.bp.blogspot.com/...A/s1600/1337808547256.png

[Reactie gewijzigd door Preau op 26 juli 2012 23:00]

Windows 7 werkt zonder aanpassingen onder de 1 GB. Pas nog achter een PC gezeten met Windows 7 erop die, maar 1GB intern geheugen had. Er was nog zeker 400mb vrij van de 1GB. Dat was zonder aanpassingen en alle standaard features stonden nog gewoon aan.
Kent iemand nog Active Desktop? ja?

Precies hetzelfde.
Nog ouder: scraps!
De stukjes tekst, tekening, etc die je naar de win95 desktop kon slepen. Daar heb ik enorm veel gebruik van gemaakt, was bijzonder handig. Maar bleek ook onveilig te zijn, dus is helaas door MS uitgezet.
Creating a scrap is similar to creating a shortcut. Highlight the text or
graphics you want to keep around, then drag it into your Scraps folder,
or onto the desktop, or anywhere else you'd like to store it. Let go, and
a shortcut with the word "Scrap" in it should appear.
(Quote van Microsoft Windows '95 Tips)
Ik vind 't jammer dat ze weg gaan. Op XP gebruikte ik al Yahoo Widgets, maar sinds Windows 7 gebruik ik gadgets (die van addgadgets.com vind ik erg handig).

Het is vervelend dat MS waarschijnlijk ook geen moeite meer zal steken in gadgets veiliger maken op Windows 7, gezien hun advies om 't maar niet te gebruiken (sterker nog, ze zijn het al actief aan het killen).
"We waren met stomheid geslagen toen ze daarnaast tegen ons zeiden dat ze de widget-functionaliteit zouden gaan uitfaseren"
Zo nieuw is dat toch niet... de (Nederlandse) galerie met gadgets is al meer dan jaar dicht, omdat ze zich zogenoemd focussen op de fantastische blablabla van windows 8... ergens schandalig dat ze nog voor die meuk uit is al de ondersteuning voor windows 7 op dat gebied stoppen... vond de radio gadgets altijd wel prettig werken.
[...]

[Reactie gewijzigd door Sjah op 27 juli 2012 10:57]

Gadgets hebben veel rechten, waardoor misbruik een mogelijkheid wordt.
En daar is niks aan te veranderen?
die draaien toch echt wel in userspace hoor
Lastig. Dan ga je de functionaliteit aanpassen en kunnen die gadgets weer minder wat ook niet handig is. Word weer een hele zoektocht tussen veilig en functionaliteit.

Microsoft heeft dit ook ingezien en heeft daarom gekozen de gadgets uit te faseren en daar voor in de plaats de Metro apps te pakken. Daar moeten ze dus wel de veiligheid vs functionaleit op orde hebben.
Disabling the Windows Sidebar and Gadgets can help protect customers from vulnerabilities that involve the execution of arbitrary code by the Windows Sidebar when running insecure Gadgets. In addition, Gadgets installed from untrusted sources can harm your computer and can access your computer's files, show you objectionable content, or change their behavior at any time.
Ik gebruik alleen de standaard gadgets die bij W7 Ultimate automatisch erbij zaten... is veilig zat alleen de onbekende gadgets moet je mee uitkijken, zie ook:
Gadgets installed from untrusted sources can harm your computer and can access your computer's files, show you objectionable content, or change their behavior at any time.

[Reactie gewijzigd door psyko666 op 26 juli 2012 22:49]

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBDesktops

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013