Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Bron: WebWereld

Zoals redelijk algemeen bekend is zitten er een hoop bugs in het alom geliefde besturingssysteem Windows. Dankzij bugzoeker George Guninski uit Bulgarije kunnen we weer een nieuwe insect aan de lange lijst toevoegen. Dit keer betreft het een fout in Internet Explorer vanaf versie 5, waardoor ongewenste personen toegang kunnen krijgen tot het Windows-systeem van de IE5-gebruiker:

Internet ExplorerDe kwetsbaarheid doet zich volgens Guninski voor als via Microsoft Networking opgeroepen folders worden bekeken als webpagina's. Dat kan gedaan worden bij Microsoft Windows 98 en het is de standaardinstelling in Windows 2000.

Guninski gaf dinsdag een beveiligingswaarschuwing uit, zo schrijft CNet. Volgens de bugjager kunnen computeraars die IE 5.0 of hoger voor Windows 98 gebruiken een bestand ontvangen dat niet-geautoriseerde personen toegang geeft tot hun computer.

Het bekijken van een lokale of externe folder zou genoeg zijn om getroffen te worden door het lek, net zoals bij de meest recente lekken het bezoek aan een website of het bekijken van een HTML-mailtje voldoende was. Bij systemen die een schadelijke folder door een firewall openen is er volgens Guninski geen gevaar.

Lees het hele artikel bij WebWereld of surf naar CNet voor de Engelse variant. Ook interessant is de site van Guninski. Onze grote dank gaat uit naar freezerburn, die ons richting dit nieuws leidde.

Moderatie-faq Wijzig weergave

Reacties (42)

- tools -> Internet Options -> Security tab

- Selecteer 'Local Intranet'
- click 'sites' en selecteer 'Include all network paths (UNC's)'
- click Custom level
- selecteer overal 'prompt' bij activeX controls and plugins..
- click OK
- click OK

done.

Mark Timmer:
Zoals redelijk algemeen bekend is zitten er een hoop bugs in het alom geliefde besturingssysteem Windows.
Dit is GEEN bug. Het is een misgeconfigureerde security setting. Ten eerste moet iemand met admin privileges toegang hebben tot de DIR die men wil gebruiken als dir die het active x control bevat wat wellicht schade kan aanrichten (wat je dan ook nog moet installeren op de machine van de client, maar goed dat is in theorie mogelijk, mits die persoon natuurlijk daar OOK bevoegdheden tot heeft).

Stel dat dat al lukt, dan is het goed instellen van je IE browsersettings voldoende om hier geen last van te hebben. We hebben het hier over netwerk shares, niet internet sites. Netwerkshares binnen een organisatie zijn OFWEL niet toegankelijk voor jan en alleman ivm goed systeembeheer OFWEL voor iedereen toegankelijk en dan is het sowieso een zootje.

Denkt nou werkelijk NIEMAND na hier? Tja, napraten wat de MS hatende newsposter je voorkauwt is natuurlijk veel makkelijker.....
Tja, napraten wat de MS hatende newsposter je voorkauwt is natuurlijk veel makkelijker.....
Wat zeg ik, probeer maar eens weg te komen met "windows is compleet bugvrij". Geen schijn van kans :)

Maar, eerlijk is eerlijk, het is weer die verrekte ActiveX, wat zonder duidelijke reden van bestaan toch keer op keer problemen geeft.

Jij en ik zetten het uit, maar de rest niet, de laatste poll van het NIPO bracht aan het licht dat <korrel="zout">slechts 7% van de PC bezittende ondervraagden eens in de 12 maanden of vaker tweakte.</korrel>

Niet dat deze bug nou echt zo'n grote ramp is, IMHO is dit vooral een theoretisch security-leak, maar naar mijn mening was het nergens voor nodig geweest.
Klopt, het is een puur theoretisch lek, een feature die je ook op 'minder prettige' wijze kunt gebruiken.

Zo kan ik er echter nog wel 10.000 opnoemen dus het lijkt me niet zo enorm belangrijk, deze 'security flaw'. Mede ook omdat het om interne network shares gaat, en een beetje bedrijf heeft MS networks zo ingesteld dat je geen moer kunt als gebruiker. (op netwerk management gebied dan ;))
Misschien komt dit een klein beetje door dat in IE en aanverwante applicaties wat 'minder prettige features' bekend zijn geworden. Als het dan een keer wat anders is, denkt men dat het weer een 'minder prettige feature is'

Ik lul dit niet goed, probeer alleen een verklaring te vinden.
Misschien iets voor Tweakers.net om een Bug melder te introduceren waarop de laatste 10 bug te zien zijn net als de meuktracker een bugtracker...?

[update]
Hummm, ik was serieus... en dan krijg ik grappig?
[lolmodus]
Who you gonna call?
Juist ja, BUGBUSTERS
[/lolmodus]
:+
"Volgens de bugjager kunnen computeraars die IE 5.0 of hoger voor Windows 98 gebruiken een bestand ontvangen dat niet-geautoriseerde personen toegang geeft tot hun computer. "

Okee, ligt 't aan mij of valt dit gewoon onder categorie: Trojan ipv een bug.
Dat bestand lijkt me inderdaad een trojan, maar dat je dat bestand zo kan ontvangen zonder dat je het wil is de bug.
Ja, dat riekt meer naar een trojan dan een bug, Ok dan, een trojan die gebruikt maakt van een bug)

Hmm, twee zielen 1 gedachte!
Doordat de bug er in zit kun je een trojan ontvangen. Of een ander bestand natuurlijk.

Nog even de difinitie van Trojan:
In computers, a Trojan horse is a program in which malicious or harmful code is contained inside apparently harmless programming or data in such a way that it can get control and do its chosen form of damage, such as ruining the file allocation table on your hard disk. In one celebrated case, a Trojan horse was a program that was supposed to find and destroy computer virus. A Trojan horse can be considered a virus if it is widely redistributed.
Het is voorlopig een wat hypothetis gebeuren. Bij het gebruik maken van templates kunnen bepaalde scripts worden uitgevoerd door een system Administrator als de hacker/user deze voor de sysadmin klaarzet en de sysadmin de waarschuwing negeert.

Als er echter accounts zijn die nog niet eerder de templates hebben geaccepteerd dan zou er geen waarschuwing zijn. Waar het op neer komt is dus dat users van een W2k netwerk scripts als sysadmin kunnen draaien in bepaalde gevallen.

Webwereld en Cnet zijn de verkeerde plaats voor security info. NTBugtraq is de bron.

www.ntbugtraq.com/default.asp?pid=36&sid=1&A2=ind0008&L=ntbugtraq&F=&S =&P=2170

voor de melding en de code om mee te spelen
*GriN* :)

Ff aanpassen en je hebt een feature!

Microsoft Internet Explorer 5.0 with free FTP Server :)

(Thnx for tha Troll) :P
Uit het artikel van CNET blijkt trouwens dat dit (alweer...) veroorzaakt wordt door het uitvoeren van ActiveX-componenten in HTML. Als je dus ActiveX en VBScripting uitzet is er volgens mij niks aan het handje.
Ik denk dat je aan dit rijtje gerust Windows ME mag toevoegen (ook windows 9X Kernel) en dat ze die voor het gemak hier nog maar ff niet noemen, omdat die nog niet officieel op de markt is. (Introductie in begin September dacht ik)

Voor de (vele ?) mensen die echter al de "niet helemaal legale" ( :P ) versie draaien heeft dit natuurlijk ook zijn impact, evenals de Beta's
Als je een beetje java kent dan kun je wel wat leuks bouwen.
Zo staat er op www.easyjavascript.com een script waar je de HD mee kan laten zien wat er op staat, dus ook evt laten posten van bestanden zou dus ook kunnen.
Enige oplossing is geen java laten draaien en nog beter, geen internet.
Maar dan kun je ook geen tweakers.net meer kijken.
Zo'n JavaScript om te laten zien wat er op je harddisk staat werkt niet echt, het enige wat hij doet is "file:///c:/" laden, dan krijg je natuurlijk je eigen harddisk te zien! Met Java kun je geen files op een harddisk zetten zonder toestemming van de gebruiker, met JavaScript al helemaal niet... VBScript gaat hierin al een hoop verder, die vraagt alleen of je een bepaalde actie wil accepteren, als je dan op JA drukt kan je harddisk worden gewist...

* edit was typo *
Dat is toch juist het probleem. Het script ga je natuurlijk niet zelf uit eigen beweging uitvoeren (tenzij je je echt verveeld), maar wordt door een 'kwaadwillende' server aan de client side gevoerd, en daar zonder protest uitgevoerd. Het script kan daarna doen wat het wil met de lokaal verkregen data.... toch?
Als er een VBScript gerunt wordt, vraagt hij in eerste instantie niets (net als JavaScript), alleen als er een actie zoals: "delete all files in directory C:\", dan wordt er in VBScript een FileObject geopent en dan vraagt de browser of je dit wilt toestaan, maar deze message is niet duidelijk, iets van: the page you are viewing tries to load an ActiveX object. Als je er niks vanaf weet druk je natuuurlijk Yes... Dan kan het scriptje inderdaad alles met het FileObject (jouw schijfje) doen wat de maker wil; lezen, deleten, createn, wijzigen, etc...

Zo werkt het i-love-you virus ook, die kun je in principe ook in een website plaatsen, maar als je een .vbs file op je harddisk hebt staan dan vraagt het script niet eens of hij er in mag!
<off-topic>
Bij een troll zeg je iets waar de meningen sterk over verdeeld zijn, zonder argumenten te geven. (bijv: M$ zuigt) In dit artikel wordt iets verteld over een daadwerkelijke bug in IE, dus dit artikel is geen troll ;)
</off-topic>
off topic enz
Ik zei "Ben benieuwd hoeveel bugs je erbij krijgt" op SP1 for W2k is released, terwijl een "Een Sp kun je undeleten een +4 Inzichtvol krijgt"

Ik krijg dan een zeer sterke 'Monitor naar buiten gooien' drang
Mischien is dit wer zo`n leuk grapje van MICRO$OFT met hun gezoek naar illegale MICRO$OFT programmatuur op andermans computer op deze manier smokkel je een file bij iemand naarbinnen en bekijkt zo alles wat die persoon heeft trekt z`n ip na en stuurt een mail aan de provider voor je adress.

Gelukkig is er nog altijd de privacy wet maar als je al leest dat ze je em@ils na mogen kijken op eventuale geheime data dan weet ik wel dat dit het volgende is wat teogestaan gaat worden :(

ik moet zeggen dat ik hier erg :`( van word
Dat valt allemaal best mee, volgens nederlands recht mag alleen een systeembeheerder in geval van sterke verdenking mail lezen (zonder sterke verdenking kunnen ze niets met de informatie (onrechtmatig) en zijn ze zelfs strafbaar)
Verder is het niet toegestaan om mail te lezen (zeker niet random scannen op trefwoorden) maar dat waordt waarschijnlijk weer anders na verandering vd wetgeving ten bate van de bvd (die ze bovendien ook beter willen gaan controleren).

Van mij mag MS en wie dan ook best weten wat er op mn schijf staat (als ik erachter kom dat ze hebben ingebroken klaag ik ze natuurlijk wel aan) want op deze manier kun je geen bruikbaar bewijs verkrijgen (onrechtmatig).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True