'Skin' Media Player geeft hacker toegang tot systeem

Op WebWereld is te lezen dat via een lek in de 'skins' van Media Player een hacker kan binnendringen in de computer van gebruikers. Dit kevertje is aan het licht gebracht door de Bulgaarse keverjager Georgi Guninski. Via dit gat zouden 'hackers' toegang hebben tot de harde schijf van gebruikers. Hoewel het slechts om 'read-only' toegang gaat, zou een hacker volgens Guninski wel de mogelijkheid hebben om bepaalde programma's uit te voeren. Hieronder een gedeelte uit het artikel:

"Guninski kwam er achter dat het mogelijk is een Java applet te plaatsen in de directory waar de 'skins' op de harde schijf opgeslagen zijn. Dit geeft een hacker toegang tot de harde schijf van de gebruiker", zegt Elias Levy, CTO van SecurityFocus.com in een reactie tegen CNet.

Een woordvoerder van Microsoft reageerde dat de gebruikers zich tegen deze java-bug kunnen beschermen door in de Media Player en de Internet Explorer aan te geven alleen maar veilige applets te accepteren. Als bij het downloaden blijkt dat een applet niet voorzien is van een veiligheidscode, wordt deze niet geïnstalleerd.

Door Robin van Rootseler

Developer

Feedback • 17-01-2001 16:19 57

17-01-2001 • 16:19

57

Bron: IDG WebWereld

Lees meer

Georgi Guninski vindt grote bug in Office XP's Outlook
Georgi Guninski vindt grote bug in Office XP's Outlook Nieuws van 14 juli 2001
Bug in Windows Media Player 7 laat Outlook crashen
Bug in Windows Media Player 7 laat Outlook crashen Nieuws van 4 oktober 2000
Windows Media Player 7.0 PreRelease
Windows Media Player 7.0 PreRelease Nieuws van 9 april 2000
Software

Reacties (57)

-Moderatie-faq
57
50
30
10
5
4
Wijzig sortering
CmdrKeen 17 januari 2001 16:57
"Een woordvoerder van Microsoft reageerde dat de gebruikers zich tegen deze java-bug kunnen beschermen door in de Media Player en de Internet Explorer aan te geven alleen maar veilige applets te accepteren. Als bij het downloaden blijkt dat een applet niet voorzien is van een veiligheidscode, wordt deze niet geïnstalleerd."

Als je een verse Windows-install hebt, krijg je de hele tijd van die meldingen: "wilt u dit echt doen?", "weet u het zeker", "dit kan tot gevolg hebben dat...", enz., enz.. Die zetten we altijd uit.

Bij de MS-producten staan de defaults *altijd* op veilig. Omdat kritische gebruikers (terecht) vinden dat het OS niet moet betuttelen, kan je de veiligheidsopties verlagen of zelfs uitzetten. Als je dat doet, kies je er bewust voor om een risico te lopen. Lees je dan over een veiligheidslek dat geen lek is in een operating system dat je niet gekocht hebt, doe er dan niet moeilijk over maar draai gewoon de altijd gratis beschikbare updates.

Sjongejonge... tis ook altijd wat! Natuurlijk is MS niet perfect, maar het valt moeilijk te ontkennen dat ze er veel aan doen om pas ontdekte en nog onbekende bugs te verhelpen.
Crazy D @CmdrKeen17 januari 2001 17:41
offtopic:
Eigenlijk een reactie op zowel vilenin als sjors.
Inderdaadm, windows is na kale installatie behoorlijk veilig. Maar ja, omdat veiligheid en gebruiksgemak niet zo heel erg samengaan, moet je compromies ( :?) sluiten. Een ervan is, dat zodra je ja zegt op die vraag of je een appletje wil downloaden/runnen, je (als gemiddelde gebruiker) er geen meldingen meer over wilt krijgen. Als er toch een melding verschijnt, wordt die meestal weggeklikt (jaha! ik had net toch al ja gezegt ?!).
Ik weet zeker dat MS windows + toebehoren even veilig kan krijgen als Linux (wat blijkbaar door iedereen als superveilig wordt gezien, maar da's een ander verhaal). Maar ja, dan is er voor de gewone gebruiker niet meer mee om te gaan. Waarmee ik niet wil zeggen dat Linux onbruikbaar is, maar het heeft een hoop minder te bieden dan MS op dit moment, een hoop koppelingen, handigheidjes, wat (veel) gebruikers graag willen hebben (of er zo aan gewent zijn dat ze niet zonder kunnen).
Ik vind het jammer dat dit soort postings altijd een berg flames oproept. Vrijwel alle flamers gewoon Windows gebruikers, rot dan op en ga met Linux spelen als je zo ontevreden bent over MS.
En daarnaast wil het publiek blijkbaar fratsen als skins, die dynamischer zijn dan gewoon een bitmapje, anders had MS het niet ingebouwd (nee niet zeuren dat MS wel meer inbouwt dan wat de gemiddelde gebruiker wil, MS is ook niet gek, die weten echt wel heel goed wat hun klanten willen).
Tuurlijk is het aan de ene kant erg triest dat een suf appletje in een skin je harddisk kan benaderen. Aan de andere kant, het is een compromis. Als je door zo'n applet je skin kan laten meekleuren en plaatjs wisselen en zo op de beat van de muziek, vinden heel veel mensen het opeens een stoere feature. Nu wordt die feature misbruikt, en dan is het opeens iets slechts.

Was weer lekker offtopic, maar ik moest het ff kwijt...
mth @CmdrKeen18 januari 2001 04:54
Alleen signed applets in skins accepteren is geen optie. Skins worden vooral gemaakt door hobbyisten en die hebben geen geld om een security certificate aan te vragen om hun applets mee te ondertekenen. En de vraag is ook of ze er zomaar een toegewezen krijgen: het idee erachter is dat een trusted third party zegt "wij vertrouwen de persoon/organisatie met deze digitale handtekening", als een willekeurig persoon zo'n certificate kan krijgen dan zijn ze waardeloos.

Java heeft een heel fine-grained security model: je kunt precies aangeven wat een bepaald programma wel en niet mag. Ze hadden skin applets gewoon alleen die rechten kunnen geven die ze nodig hebben om een skin van wat extra functionaliteit te voorzien. Een skin applet heeft geen leestoegang nodig tot de volledige harddisk, alleen tot zijn eigen directory.
raptorix 17 januari 2001 16:31
Echt ongelovelijk triest, de helft van alle opmerkingen raken kant nog wal, laten we wel duidelijk wezen dat het hier om een zelf gedownload item gaat, dit heeft mijns inziens niets met de security van windows te maken maar puur van een risico dat je zelf neemt als je software van onbekende bron installeert, kortom niet meer risico dan enig andere software die je van onbekende sites afhaalt, mijn devies , altijd alles scannen en gewoon downloaden van gerenomeerde sites.
The End @raptorix17 januari 2001 16:57
Ik ben het volledig met je eens. Deze hele thread wordt meteen een grote Troll... Da's niet echt de bedoeling.
Een computer is niet zomaar een apparaatje. Je hebt er enige intelligentie voor nodig om er mee te werken. Microsoft hoeft niet je handje vast te houden als je gaat surfen o.i.d. Iedereen hoort nu wel het risico te kennen van het zomaar downloaden van zooi van Internet. Tuurlijk is het een bugje in spul van MS, maar enige oplettendheid vanjezelf is ook en vereiste.
BikkelZ @The End17 januari 2001 18:41
Microsoft verkoopt dit product aan mensen die niks van computers snappen met allerlei Wizards, toeters en bellen waardoor het allemaal 'makkelijker' wordt.

Een goed besturingssysteem schrijven is de helft. Je oma het veilig kunnen laten gebruiken is de andere. Als Microsoft waarschuwde op de voorkant van de verpakking dat "Bij ondeskundig gebruik van dit product de integriteit van uw gegevens niet gewaarborgd kan worden" zou het toch lang niet zoveel verkocht worden.

Computers veilig en bruikbaar houden voor 'domme consumenten' is het meest belangrijke van alle ontwikkelingen die op dit moment gaande zijn.
raptorix @BikkelZ18 januari 2001 00:14
Zeker niet helemaal mee eens, en wel om de volgende reden, gebruiksgemak gaat altijd ten koste van veiligheid, daarnaast is het natuurlijk niet de bedoeling om bedrijfs kritische processen te draaien onder dit soort besturingsystemen, mocht je dit toch willen dan bestaan er voor windows wel degelijk zeer redelijke programma's die een redelijk goede graad van protectie geven.

Trouwens hoeveel procent van de gewone consumenten wordt nu eigenlijk wel eens het slachtoffer van computercriminaliteit/fraude?

Eigenlijk zelde tot nooit, en als het al gebeurt wat is dan eigenlijk de schade?

Conclussie, de functionaliteit en gebruiksgemak van een besturingssyteem als windows 9X wint het ruim van de mogelijke beveiligingslekken die zo een systeem toelaten.

Wel moet ik zeggen dat bepaalde gedeeltes in windows erg kwetsbaar zijn, met name bepaalde virussen (loveletter, melissa, etc) zouden niet zo makkelijk toe mogen slaan. Wat dat betreft valt er gerust nog wel wat te verbeteren, aan windows 9x.
Anoniem: 11597 @raptorix17 januari 2001 16:32
Goed advies! :)
0rbit 17 januari 2001 16:24
De hele beveiliging of het gebrek hieraan begint af en toe wel bizarre vormen aan te nemen. Ik vraag me af of dit te wijten is aan gebrekkig inzicht aan de programmeerkant of aan de creativiteit en vasthoudendheid van de heer Georgi Guninski.
LinuxMan @0rbit17 januari 2001 22:31
Als bij het downloaden blijkt dat een applet niet voorzien is van een veiligheidscode, wordt deze niet geïnstalleerd.
Even ter info: 90% van de java applets op het internet doet het ook niet meer als je deze optie aanzet. Alleen bij internet explorer overigens, Netscape werkt nog netjes met java.
Anoniem: 15061 @LinuxMan18 januari 2001 11:54
NetScape 6 heeft een Java machine die helemaal niet kan connecten of lezen (bug not feature). Kun je fixen door die te verwijderen en bij SUN de goede te downloaden. Die is ook niet geweldig, maar dan werken de websites weer.

Netscape 4.5 t/m 4.7x heeft een Java VM uit '97 die stijf staat van de bugs (o.a. Thread.join() werkt niet). Alleen als je signt kun je in NS4 iets lezen ofzo.

In IE VMs werkt alles precies zoals SUN het gevraagd heeft. Bovendien kun je Java applets PER ZONE (en je kunt individuele sites in zones plaatsen) precies vertellen wat ze mogen (bijvoorbeeld lezen, schrijven, connecten, temp space gebruiken, ...). Dat is dus ook de ECHTE oplossing, zet de skins directory in de "restricted" sites zone, niet dat je alles maar uit moet zetten.
Anoniem: 1001 @Anoniem: 1506120 januari 2001 04:19
Bullshit.
Bij Netscape 6 zit gewoon de Java VM van Sun zelf
Koffie @0rbit17 januari 2001 16:31
't Is maar hoe je het bekijkt.
'wij; gebruikers willen steeds meer van dit soort features in het OS, en daarmee verhoog je dus ook de kans op mazen in de code.

Klein lichtpuntje .... MP7 draait niet onder Windows95 ... scheelt weer ;)
Anoniem: 3747 @Koffie17 januari 2001 17:04
Nou Koffie, ik hoef alle nieuwe "features" van Windows niet hoor. Ik heb liever een nieuwere versie die nix extra kan maar wel RETESTABIEL is, en nog een beetje sneller ook! :)
gumkop @Anoniem: 374718 januari 2001 14:01
Onzin, Windows 2000 is geen goed platform om OpenGl of DirectX spelletjes te spelen, het wil vaak wel, maar vaker niet dan wel. Vaak blijft Windows 2000 dan om een vage reden ineens binnen een spel hangen.

:7
Tom @Anoniem: 374717 januari 2001 22:50
Je bedoelt Windows 2000 :P
Anoniem: 1928 @Koffie17 januari 2001 17:04
Ik wil helemaal geen Media Player 7.0! Het eerste wat ik doe na installatie is de koppelingen 'herstellen' naar mplayer2.exe!
mullah @Anoniem: 192817 januari 2001 17:22
als de oude mediaplayer nou eens gewoon divxjes zou kunnen afspelen, mijn ervaring is dat die niet alle codecs wil vreten en bij divx het geluid niet synchroon speelt. :(
RRX @Anoniem: 192817 januari 2001 20:28
ik heb hier mediaplayer 6.4 en die draait ze perfect
Koffie @Koffie17 januari 2001 20:09
Paar puntjes;

Volgens Microsoft draait MP7 niet onder W95 (kreeg het ook niet draaiende, maar heb er niet veel tiojd ingestoken).

Als je MP7 toch niet gebruikt, kun je beter W98Lite for WinME gebruiken, deze verwijderd MP7 in zijn geheel ... kan een onverlaat niet ff stiekem wel MP7 draaien (huisgenoot/vriend(in)/broertje/zusje/eigenweise pa/whatever).
k7of9 @Koffie17 januari 2001 17:07
Ja, dat wordt overal wel gezegd. Vindt ik raar, want op mijn oude w95 bak draait MP7 gewoon, zonder problemen.
Anoniem: 19852 17 januari 2001 16:26
dat voegt weer een heel nieuwe dimensie toe aan de uitdrukking "in iemands huid kruipen" :)
Anoniem: 19947 17 januari 2001 17:16
Het licht aan de programmeer kan , kijk alleen al is naar webpagina , als beginneling leer je al een functie te gebruiken waarbij je als je met een database communiceert , een replace doet op een single quote en deze vervangd door een dubbele quite , maar nee , een heleboel nieuwe site die een zoek functie hebben op database niveau doen dit niet , goh wat leuk , nu kun je quieries uitvoeren in een zoekboxje. De meeste gaten ontstaan door onwetenendheid van de programmeurs en helemaal door de gebrekkige kennis van de testers , anders komen 75% van de fouten wel bij het testen eruit rollen

mvg

Morpheus@work
raptorix @Anoniem: 1994718 januari 2001 00:18
On error resume next :)
Anoniem: 11597 17 januari 2001 16:25
Natuurlijk reageert Microsoft op deze manier :( Hun software is altijd :r goed! Als je het mij vraagt, maar wie ben ik, kun je zelfs via die zogenaamde veilige applets ook binnen komen! En welke applet is tegenwoordig nog echt veilig? :'(

Ladies & gentlemen, start your virusscanners & firewalls!! :(
ACM Software Architect @Anoniem: 1159717 januari 2001 16:41
Euhm... bij mijn weten KAN een applet NIET op de harddisk komen...
En het mag ook niet connecties naar het internet, anders dan naar de origine-server, openen.

Als een applet dit wel kan, ligt dat aan de gebrekkige of zelfs domme implementatie van de java-engine erachter. In de Java specs wordt het duidelijk genoeg uitgelegd dat een applet dat niet mag. Alleen als een applet door Appletviewer wordt uitgevoerd mag ie ietsje meer... maar niet veel.

Als dus mediaplayer een applet uitvoert, en die applet ook nog es toegang tot de harddisk geeft, zijn dat 2 dingen die niet zouden moeten... (waarom moet mediaspeler nou weer applets kunnen uitvoeren, en waarom krijgen ze dan ook nog es harddisk toegang??)
Anoniem: 2552 @Anoniem: 1159717 januari 2001 16:27
Beetje onvolwassen actie om maar meteen tegen Microsoft beginnen te schelden, maar een virusscanner of een firewall helpt ook niet echt als je er zelf voor kiest om dat java-appletje te downloaden en uit te voeren.
Anoniem: 11597 @Anoniem: 255217 januari 2001 16:31
Niet onvolwassen, maar het is toch zo? Ze blazen maar hoog van de toren, maar ondertussen zit in hun software het grootste aantal bugs en veilighiedslekken, vind ik het logisch om zo te reageren op commentaar van Microsoft (no hard feelings!)
MrEdge_ @Anoniem: 1159717 januari 2001 23:05
Indeed _QW_

Daarnaast weet elke software programmeur dat een bugvrij programma niet bestaat en dat de software van MS, maar ook van andere bedrijven, veel te snel moet worden opgeleverd waardoor het niet fatsoenlijk kan worden getest.
Dit in tegenstelling tot software voor bijvoorbeeld medische apparatuur waar geen fouten in mogen zitten.

We kunnen natuurlijk weer eens het voorbeeld van de fijne raket ariane aanhalen: programmeerfoutje. ipv van doubles zijn er integers neergezet. Tja...

Kortom, software met een korte levensduur moet snel worden gemaakt en dan is er weinig ruimte voor testen.
Anoniem: 11887 @MrEdge_17 januari 2001 23:53
Beetje off topic...

Was het bij de ariane niet gewoon de fout van de verkeerde software op de verkeerde machine?

dus meer zoiets als C++ installeren om Java te programmeren?
packman 17 januari 2001 22:30
Hoewel het slechts om 'read-only' toegang gaat, zou een hacker volgens Guninski wel de mogelijkheid hebben om bepaalde programma's uit te voeren.
Hmm als je programma's kunt uitvoeren is het toch niet meer read-only?
- Internet explorer opstarten met de juiste parameters: programmatje downloaden ZONDER confirmatie - no problem
- Programma'tje uitvoeren, en hups, je bent vertrokken...
mth @packman18 januari 2001 04:38
Het is mogelijk willekeurige Java code te laten uitvoeren met read-only toegang op de C: drive. Dus niet echt elk willekeurig programma. Maar genoeg om prive documenten / bedrijfsgeheimen / opgeslagen passwords te vinden en ergens te uploaden.
Anoniem: 20286 26 januari 2001 04:57
Wat ik niet hoor hier is doordat Windows het meest gebruikte systeem is er ook de meeste bugs gevonden worden, kwestie van getalletjes.

Daarnaast als je een auto koopt ben je als fabrikant ook niet verantwoordelijk hoe de bestuurder ermee omgaat. Net zoals je een rijbewijs nodig hebt, moet je met computers ook weten waar je mee bezig bent en heb je die kennis niet zijn er honderden manieren om die kennis te vergaren. "Ik weet niet hoe het moet", etc. is dan ook nooit een argument waarom niet maar hoogstens een excuus waarom wel.

En heel simpel. MS is het enige bedrijf wat een dergelijk compleet, compitable besturingsysteem kan brengen. Linux is op de goede weg maar is er nog lang niet. Maar als Linux het wel zou zijn en Windows net onderweg zat iedereen op Linux te kankeren. We zijn tenslotte Nederlanders, toch!?
Anoniem: 20286 @Anoniem: 2028626 januari 2001 05:04
Bovendien, en die vergat ik, Linux (of andere systemen) worden echt niet beter als je harder op MS en/of Windows kankert. Dus laat in zijn waarde wat die waarde verdient heeft. Typisch trouwens dat 90% (ook hier) Windows, in welke vorm dan ook, als operating system heeft. En bugs zitten in alle software, ook in medische (zoals ik hier ergens las). Alleen heeft zo'n patient dan een andere reden van overlijden dus kom je daar niet achter. Daarbij zit er erg weinig software in medische apparatuur dus het voorbeeld was ook al niet erg best.

En, begrijp me niet verkeerd, ik ben echt geen Microsoft fan, maar de rest blijft ver achter. Dus dat puberaal geschop en gekrijs is ook alleen maar een gevolg van een hormoonophoping wat er via acne niet uit kan. Bonjour!
Anoniem: 7750 17 januari 2001 16:43
huh?? wie gaat er nou een java applet in de directory zetten voor skinning?? beetje vaag probleem hoor. okeoke het is natuurlijk een bug, maar wel 1tje die nauwlijks zal voorkomen.
CmdrKeen 17 januari 2001 20:33
[Off-topic]
Crazy-D: Ik weet niet of ik je helemaal begrijp, maar volgens mij ben ik het met je eens :)
Ik wil eigenlijk de discussie niet vervuilen met deze off-topic-postings, maar ik wil dit even kwijt:

Ik vind het jammer dat er elke keer als er een bug in een MS-proggie wordt ontdekt, er een hoop mensen roepen dat MS alleen troep maakt, en dat er dan een hoop andere mensen Trolls en Flames lopen uit te delen. Afgezien van de inhoud van de reacties is dit ten eerste erg kinderachtig en ten tweede verre van constructief. Wanneer zullen we nu eindelijk eens een normale discussie kunnen voeren over operating systems?
Het is waar dat MS de markt op een nogal agressieve manier in z'n greep heeft gekregen, maar het valt niet te ontkennen dat ze geen slechte job doen. Bugs en gebruiksvriendelijkheid gaan hand in hand: als je alles zelf moet bouwen en/of configureren, ben je zelf verantwoordelijk en niet afhankelijk van de kundigheid en dus de blunders van anderen, maar een "normale" eindgebruiker wil niet alles zelf moeten doen.

Puur inhoudelijk - dus niet marketingtechnisch - vind ik dat Microsoft een goeie tussenweg heeft gevonden tussen veiligheid en gebruiksvriendelijkheid. Je moet gewoon wat gezond verstand hebben en lezen wat er in het raampje met het uitroepteken staat. Als je het niet begrijpt, is daar vrijwel altijd het vraagtekentje waar je op kan klikken. Windows is alleen echt onveilig voor mensen die niet weten hoe ze hun eigen naam moeten spellen.

Ik wil MS niet verdedigen, maar ik vind dat sommige mensen nogal kort door de bocht zijn om de kwaliteit van de producten van Microsoft te beoordelen aan de hand van hun marketingstrategie.

Sorry voor deze lange irrelevante reactie; het moest me even van het hart.
[/Off-topic]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq