Opnieuw ernstig veiligheidslek in Internet Explorer

Security bugje De Finse security expert Jouko Pynnonen heeft vorige maand een zeer ernstig lek ontdekt in Microsoft's Internet Explorer. Door gebruik te maken van de vulnerability kan een website bezoekers ongemerkt programma's laten downloaden en uitvoeren. De versies 5.0, 5.5 en 6.0 lopen risico, alsmede MS Outlook en Outlook express, omdat die gebruik maken van IE om HTML mails te lezen. Attackers moeten een webserver draaien, aangezien de HTTP headers aangepast moeten worden om van de bug gebruik te maken.

De bug werd op 19 november aan Microsoft gemeld, maar vanwege de ernst ervan werd besloten om het lek stil te houden om in stilte aan een oplossing te kunnen werken. Op dit moment wordt de patch getest en een release laat waarschijnlijk niet lang meer op zich wachten. Een tijdelijke oplossing is om file downloads te disablen.

Vorige maand ontdekte Pynnonen ook al een bug in IE, toen ging het om de manier waarop Internet Explorer omging met Cookies:

By design, IE should warn users when they attempt to download and open an executable file. But as a result of the security flaw, a malicious Web site could "relatively easily and unnoticeably ... spread virii, install DDoS zombies or backdoors, format hard disks, and so on," wrote Pynnonen in an advisory posted Nov. 26 to Bugtraq, a mailing list for security experts.

Pynnonen revealed that the bug lies in IE's processing of Internet addresses and "header" information that tells the browser what type of file it is handling. The flaw is particularly dangerous because it can be exploited using ordinary Web page code, without help from JavaScript or other scripting programs, he said.

Verwijderd wees ons op dit artikel

Lees meer

Reacties (59)

4of9 12 december 2001 21:45

hmm nu maken ze het toch wel erg bont als zelfs gewoon HTML een security risk word...

* 786562 4of9

RM-rf @4of9 • 12 december 2001 22:12

in zekere zin niet, waarschijnlijk wordt vanuit html gerefereerd naar een bestand dat vervolgens een header meekrijgt die hem als application/octet-stream meekrijgt (en ja als je een webserver controleerd kan je dat simpelweg doen, zelfs zonder specifieke rechten lukt dat al met .htaccess)

de bug is echter dat op de een of andere methode de warning die men krijgt dan omzeilt wordt, ik vermoed eigenlijk dat dit gaat via de about:-bug, daar is echter wel javascript voor nodig (iets als about:<script>document.write('<img src="http://www.hackers.org/gemeenscript.vbs">')</script&gt

(absoluut niet gebaseerd op kennis, maar een vermoeden, als deze persoon al met juist die bug bezig was)
mocht dit echter wel het geval zijn, is Opera eveneens vulnerable.

verder is juist het gegeven dat je een webserver moet draaien wel een grote drempel om dit toe te passen, zoiets is erg tracable en plaatst de script-kiddo wel erg open voor de opsporingsorganisaties (ach ja, FBI doet ook nog wel eens goed

)
het ILOVEYOU-virus werkte ook gedeeltelijk hiermee, voor sommige extra beschadigende bestanden, echter die page was al binnen enkele uren uit de lucht gehaald, en aan de hand hiervan wist men de dader te tracen (alhoewel hij vervolgens niet veroordeeld kon worden)

Verwijderd @RM-rf • 12 december 2001 23:57

zou 't misschien niet zo simpel zijn als een "Location: [url="file://c:/command.com\"]file://c:/command.com\\"[/url] maybe ?

[edit]
okay, zojuist /. even gelezen.. 't is iets extremer

en veel gevaarlijker.., je kan gewoon remote files executen op deze manier... eek

Steven @Verwijderd • 15 december 2001 22:24

Als je lokaal bestanden kan starten kan je met FTP en een omweg ook externe bestanden starten.

Blue-eagle 12 december 2001 21:45

Hoe komen deze dingen dan toch nog in de 'open lucht' terecht vraag ik me dan af... als ze het nou ook daadwerkelijk stil houden, zodat niemand er misbruik van kan maken. Maar nee: let everyone know!! Haxorz - go ahead, ruin my day!

Verwijderd @Blue-eagle • 12 december 2001 22:05

Dat is juist het hele probleem. Als je een security hole "oplost" door hem geheim te houden, weet je nooit zeker of er iemand achter komt er in het geheim gebruik van gaat zitten maken. Daarom is het ook zo'n slecht systeem (plus dat het principieel onacceptabel is voor veel mensen om holes bewust niet te fixen).

jubeth @Verwijderd • 13 december 2001 00:18

Medelen op de Bugtraq mailinglist zou ik bepaald niet als 'geheim houden' willen bestempelen. Die list heeft duizenden members, waaronder ik (uiteraard), en zo 'stil' was men er bij Microsoft niet over. Men heeft juist (zoals wel vaker gebeurt, ook bij BSD en Linux holes) vriendelijk verzocht om de bug niet verder rond te schreeuwen, omdat 'ie vrij gevoelig ligt.
Laten we wel wezen, zonder Microsoft had de bugtraq mailinglist nooit bestaan en zouden we hier geen Tweakers.net pagina's laden.

Bigs @Blue-eagle • 12 december 2001 22:23

Dat is ook gebeurd. Microsoft weet al sinds 19 november over het bestaan van deze bug, maar ze hebben het gewoon stilgehouden zodat er geen misbruik van gemaakt kon worden; 'Security through Obscurity', maar dit werkt gewoon niet want vroeg of laat komen er toch wel andere mensen achter die er wel misbruik van gaan maken.

Zie ook dit artikel op /.: http://slashdot.org/articles/01/12/11/2125224.shtml
Daar staat ook meer uitleg over hoe die bug werkt.

Hier roept Microsoft trouwens op tot het niet meer publiceren van security exploits, wat zij dus zelf ook al doen kennelijk: http://www.microsoft.com/technet/treeview/default.as p?url=/technet/columns/security/noarch.asp Erg fout van ze IMO.

Verwijderd @Bigs • 12 december 2001 22:58

Vroeg of laat komen mensen er wel achter ja, maar ze werken wel aan een patch ondertussen! Ik vind het alleen maar goed dat ze het geheim houden totdat er een patch is, zo heb je veel minder risico.

* 786562 -Joost

Verwijderd 13 december 2001 09:23

Tuurlijk ligt IE meer in de kijker en tuurlijk zijn dit soort lekken BAD BAD BAD. Maar de standaard MS bash gaat imo vaak wel wat te ver.
En mensen die nu ineens gaan roepen dat ze dan toch maar over moeten op andere browsers die moeten niet roepen maar doen.
Alleen denk ik dat in het huidige computerklimaat security niet meer ligt op het niveau van de applicatie alleen, sterker, veel meer op algemeen niveau. Naarmater software meer kan, gebruiksvriendelijker wordt en meer integreert zullen dit soort bugs blijven opduiken. Algehele security wordt dan veel belangrijker. Heel simpel, een goede firewall en een goede virusscanner om mee te beginnen en uiteraard deze consequent up to date houden. Want een bug in IE mag er dan voor zorgen dat een malloot een virus of een trojan op mijn systeem kan plaatsen, als firewall en virussoftware up to date zijn en goed staan ingesteld, dan kan de schadelijke werking van viri/trojans vaak voorkomen worden.
Daarnaast is het bewust zijn van de risico's van computer en internetgebruik en het verstandig hiermee omgaan net zo belangrijk. En als je paranoia bent, dan kun je beter een cursus breien gaan oppakken, maar zeer zeker vandaag de dag niet meer achter je computer (en in de toekomst zelfs je koelkast) gaan zitten.....

2 ec-tjes

Standeman 12 december 2001 21:57

Ik begin hier echt een beetje moe van te worden. Is het nou zo dat lekken in Opera, netscape e.d nooit bekend worden, worden de lekken van microsoft altijd met veel bombarie gepresenteerd of is er echt wat mis met microsoft??

Ik begin het nu wel een beetje eng te vinden om IE te gebruiken, en helemaal op m'n werruk enzo... dit begint echt een beetje "scary" te worden...

Is IE nu echt veel meer "buggy" dan andere browsers of lijkt het nu maar zo?

Stan begint er steeds meer aan te denken dattie Opera of Mozilla gaat gebruiken..

Bigs @Standeman • 12 december 2001 22:26

In Netscape zitten zeker net zoveel bugs (uiteraardniet allemaal op gebied van veiligheid), maar kijk dit eens:

http://bugzilla.mozilla.org/

Hier word elke mozilla bug gemeld en meteen opgelost en in de nieuwste source verwerkt, vaak nog voordat het in het nieuws komt. Hier zie je weer een Microsoft bug, waarvan MS het bestaan allang wist (zie ook mijn andere post hierboven), maar waar niks aan word gedaan. Dan mag het ook aan de grote klok gehangen worden, dat kun je namelijk gewoon niet maken.

oVRoM @Bigs • 12 december 2001 23:07

Hier zie je weer een Microsoft bug, waarvan MS het bestaan allang wist (zie ook mijn andere post hierboven), maar waar niks aan word gedaan.

Hoezo waar niets aan wordt gedaan? Er staat duidelijk:

De bug werd op 19 november aan Microsoft gemeld, maar vanwege de ernst ervan werd besloten om het lek stil te houden om in stilte aan een oplossing te kunnen werken.

Ik kan goed begrijpen waarom ze het nog niet naar buiten brengen zolang er (voorlopig) nog geen patch is. Zodra het lek bekend is, gaan mensen proberen deze te exploiten, wat niet (of veel minder) gebeurd wanneer Microsoft de bug niet openbaar maakt.

ycode @oVRoM • 15 december 2001 22:18

Ze hebben nu dus een MAAND aan een bug kunnen werken voordat ze het naar buiten brengen. Dat zijn ongeveer 160 manuren. Dat is veel voor 1 bug !
Als ze een bug niet openbaar maken nemen ze dus, blijkbaar, de tijd om het te fixen, maar ondertussen kunnen mensen wel die bug ook gevonden hebben.

Tader @Bigs • 12 december 2001 23:14

Waar ik mij juist zorgen om maak is dat ze bij Microsoft in het vervolg ernstige bugs maanden geheim willen houden, zodat ze *in alle rust* aan een bugfix kunnen werken... Na een paar maanden zeggen ze dan dat je computer al maanden lang simpel gecracked kon worden...

Bij Mozilla heb je, zoals de vorige poster reeds zei, tenminste nog de bugzilla waar bugs meteen te zien zijn, zodat je tenminste in het uiterste geval even je browser niet gebruikt tot de patch er is... Maar dan is er nog de mogelijkheid om te weten te komen dat je met een lekke schuit zeilt...

Firefly III @Standeman • 12 december 2001 22:00

Idd... een bug in Netschaap of Mozilla ofzo hoor je nooit, maar de bugs in de meest succesvolle browser ter wereld worden overal met een triomfantelijk 'weer-een-bug! ' naar buiten gebracht.

Roland684 @Standeman • 12 december 2001 22:21

Na als die ophef (en zeker niet onterecht gezien het aantal virussen van de laatste tijd) begin jij het "een beetje scary te vinden"??? Bedoel je dat je eindelijk maar eens een virusscanner gaat installeren?

Klinkt alsof je echt hardleers bent/was en maar blijft/bleef volhouden dat het allemaal overtrokken is omdat IE nu eenmaal de meest gebruikte browser is. Of dat nu de reden is laat ik in het midden, maar het is wel een risico dat zich inmiddels dubbel en dwars bewezen heeft.. Als je het nu wat scary gaat vinden dan benje wel een paar jaar te laat.

zonoskar 12 december 2001 21:47

Je zou er toch spontaan geen IE meer door gaan gebruiken. Ik ben niet anti-MS, maar de beveiligingslekken lopen wel de spuigaten uit hoor. Hopelijk krijgt MS dit gat snel gedicht, anders zullen toch veel bedrijven en particulieren naar een andere mailclient overstappen. Ik begin nu ook al rond te kijken naar alternatieven. Is de mailclient in Opera al een beetje uitgekristaliseerd?

/edit ik bedoel natuurlijk browser

Joop @zonoskar • 12 december 2001 21:56

Natuurlijk is het slecht dat zulk soort dingen gebeuren, maar dat is gewoon een kwaal van software in het algemeen. Bug-loze software bestaat niet.
En ik vind dat MS tegenwoordig een stuk beter met veiligheid (en stabiliteit) om gaat als vroeger. Als een willekeurige andere browser minstens 80% van de martk in handen had zouden daar ook meer bugs worden gevonden.

Verwijderd @Joop • 12 december 2001 22:07

Als een willekeurige andere browser minstens 80% van de martk in handen had zouden daar ook meer bugs worden gevonden

Ik ben nog zo'n figuur die de allereerste versie van Mosaic heeft gebruikt en daarna Netscape. Toen deze software 80% van de markt in handen had kwamen lekken toch echt minder voor. Natuurlijk waren er toen ook minder gebruikers, maar zelfs op het moment dat Netscape en IE ongeveer een even groot marktaandeel hadden was er duidelijk een verschil in aantal lekken merkbaar.

x-wolf @Verwijderd • 12 december 2001 22:35

Niet geheel goede vergelijking.In die tijd waren nl. de functionaliteit van browsers ook veel minder uitgebreid en daarnaast ook minder geschikt voor de leek.
Verder is IE nu natuurlijk ook wel erg interessant om naar security bugs te zoeken omdat zo gruwelijk veel mensen deze browser gebruiken. Veel meer dan destijds toen Netscape nog 80% marktaandeel had.

* 786562 x-wolf

/edit
reactie op Plok hieronder: plugins die zelf installen ipv dat jezelf aan het prutsen moet, Outlook die makkelijk links maakt met je adresboek, 1 klik binnen outlook op een .jpg bestandje en je kunt het al bekijken met een viewer ipv dat je het eerst moet opslaan enz.

Verwijderd @Verwijderd • 12 december 2001 22:48

reactie voor x-wolf:

en daarnaast ook minder geschikt voor de leek.

Wat bedoel je hier mee, minder geschikt voor de leek? Ik zou zeggen, eerder beter geschikt voor de leek, omdat er minder zaken in zaten die je kon instellen.

Verwijderd @Verwijderd • 13 december 2001 09:47

nog een reactie op x-wolf:

reactie op Plok hieronder: plugins die zelf installen ipv dat jezelf aan het prutsen moet, Outlook die makkelijk links maakt met je adresboek, 1 klik binnen outlook op een .jpg bestandje en je kunt het al bekijken met een viewer ipv dat je het eerst moet opslaan enz.

Wat heeft Outlook nu weer te maken met de opmerking dat andere browsers vroeger voor een leek veel simpeler waren. Want daar hadden we het over.

RRRobert 12 december 2001 21:57

Volgens mij moet Microsoft die vent maar in dienst nemen. Wordt de software ook weer beter van...

Die Jouko Pynnonen is toch Fins? Lijkt me logisch dat ie eerder kiest voor Linux-development

Verwijderd 12 december 2001 22:01

hacken door html (of javascripts) kan al langer. sommige virussen (trojens) nestelen zich in een html pagina en als deze bekeken worden infecteerd deze de pc.

Dycell denkt (weet wel zeker) dat zolang er nieuwe software komt er altijd mensen zullen zijn die hier eventueel kwaadwillig gebruik van zullen maken

Het hopen is alleen dat mensen dit eerst aan de desbetreffende software distrubiteur zullen melden ipv dat ze hier een exploit van schrijven en deze gebruiken om bv. een virus te verspeiden.

Dat mensen deze informatie openbaar maken is alleen maar goed en ook hun recht (vindt ik), maar geef microsoft ook de kans om hier eerst een patch voor te schrijven. en dat is iets wat ze hier hebben gedaan.

Roland684 12 december 2001 22:04

Dit klinkt ontzettend als één van de methoden die Nimda al eerder gebruikte om zich te verspreiden. Die include een executable maar zet in de header dat het om een wav-file gaat. IE's security-regeltjes zeggen dat executables gemeld moeten worden, maar dat audio direct mag worden gedownload en gestart, dus werd het programma vrolijk (en zonder enige melding) gedownload en gestart. Dat starten wordt aan windows overgelaten die detecteerde dat het om een programma gaat en het dus wordt het verder behandeld als een programma. (Als IE echter die file specifiek zou doorgegeven aan mediaspeler ipv aan windows, dan zou mediaspeler het formaat niet gesnapt hebben en was het daarmee einde verhaal)

GREENGOBL 12 december 2001 22:38

OE is ook nog steeds zo lek als een mandje. Met name het badtrans virus zorg hiervoor. Ik heb zelfs OE 5.5 SR1 en kreeg vandaag weer een mail met het virus. Dit virus gaat dus al af in het previeuw window. Dit is een bug in OE. Wanneer je een security update wil doen via de MS site krijg je te horen dat de update niet nodig.

Verwijderd 12 december 2001 22:57

En ik mij maar af vragen waar al die rare programma's vandaan komen. Geen wonder dat 6 GB zomaar vol zit

'T word toch maar overstappen op een andere browser. * 786562 AMADEUZ

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (59)

Sorteer op:

Weergave: