Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 29 reacties
Bron: C|Net

Op C|Net lezen we dat eerder deze week een groot beveiligingslek aan het licht is gekomen in Aol Instant Messenger. Dit lek kan ervoor zorgen dat een hacker vrije toegang krijgt tot de computer van de AIM gebruiker. Het was mogelijk via een onzichtbare oproep tot een spel een enorme hoeveelheid data naar het geheugen van de AIM gebruiker te sturen. Dit zorgde dan voor een buffer overflow. Via deze weg kon dan de controle over de pc worden verkregen. Beveiligingsgroep wOOwOO, die het lek ontdekte, zegt dat via deze weg gemakkelijk een virus in omloop zou kunnen worden gebracht dat in destructiviteit niet onder zou doen voor Code Red en Nimda.

AOL heeft inmiddels server-side aanpassingen doorgevoerd om het lek te dichten, gebruikers hoeven dan ook geen patch te downloaden. AOL was niet bereikbaar voor commentaar:

AOL logo "This could be used by someone to execute programs on a vulnerable system," said Elias Levy, chief technology officer of SecurityFocus. "A worst-case scenario could be a worm that used this vulnerability as an infection vector, and given the large population of users, the potential for damage is great. A lot of corporations allow their users to use instant messaging, so this vulnerability could be used to pierce corporate firewalls."

AIM is one of the Web's most popular applications, with more than 100 million registrations (one person can register any number of different AIM personas). A much smaller subset of that group is running version 4.7 and the 4.8 beta, but Conover used the 100 million figure to chastise AOL Time Warner for letting the buffer overflow hole slip through its quality-control process.

yep stuurde ons de tip.

Moderatie-faq Wijzig weergave

Reacties (29)

Leuk dat AOL met zo'n klein programmatje al op z'n gezicht gaat, en dat MS helemaal de grond in geboord wordt als een OS niet goed werkt... Blijkt maar weer eens dat waterdichte software gewoon niet te maken is met de middelen die we hedendaags hebben....
Blijkt maar weer eens dat waterdichte software gewoon niet te maken is met de middelen die we hedendaags hebben....
Beetje simpele voorstelling van zaken zou ik zeggen. Je hoort natuurlijk altijd de verhalen van 'dit systeem bevat een lek'. Je hoort nooit verhalen van 'dit systeem bevat geen lek'. Kwestie van wat heeft nieuwswaarde. Bovendien is het makkelijker om te bewijzen dat een systeem wel een lek heeft dan om te bewijzen dat een systeem geen lek heeft.
Lek vrij en bug vrij zijn een utopie. Het is alleen de vraag of en wanneer een bug of een lek ontdekt worden. Jij als "software goeroe" zou toch de eerste moeten zijn om te erkennen dat zodra een programma een zekere complexiteit overschreidt het onmogelijk is om alle bugs en dus ook lekken eruit te halen.
En dat is ook bijna het enige programma dat bugvrij te programmeren is... :)
Niet alleen is het vrijwel onmogelijk om alle bug en/of lekken eruit te halen, maar commerciŽle belangen spelen ook mee in het proces.

Ik heb zelf bij een bedrijf gewerkt dat software ontwikkelt en menig maal te horen gekregen dat het budget en/of de deadline het niet toe stonden om het programma (op dat moment) te perfectioneren.

Hiermee probeer ik niks goed te praten, maar zo zit "het wereldje" nou eenmaal in elkaar. :r
Omdat niemand al ooit van die software gehoord heeft zeker :P

<edit> Ow wat zijn we weer in form, gaan we die dingen weer onder het verkeerde posten, moest natuurlijk als reactie op de posting van plok</edit>
Ik denk dat er tig veel bug vrije versies van "Hello world" rondzwerven. :P
En toch heb ik complexe netwerk software op mijn naam staan die nog steeds niet gekraakt is.
;)
Waterdicht is waarschijnlijk niets te maken.
Maar van een OS, wat de basis is van je hele systeem, mag je toch wel verwachten dat die in iedergeval goed is.
En dat kan je van Microsoft heel vaak niet zeggen, en dat is nou net waar de schoen wringt.
Maar het gaat vooral fout als bedrijven teveel willen van een stukje software.
Het programma is redelijk safe als het om Instant Messages gaat, maar de gaten vallen bij de extra's, in dit geval de spelletjes.
Bij MS is dat ook vaak het geval. De fouten zitten steeds minder direct in het OS, maar bv. in IIS of Outlook, programma's waar net iets minder zorg aan besteed is, omdat het extra is....
(mischien een beetje OT)

omdat het extra is....
Nog een reden om op de "koppel verkoop" van onderdelen van Microsoft
Windows te letten.
hmmm was twee dagen geleden al gesubmit door mij.. ach ja shit happens ;)

in ieder geval word er al aan het lek gewerkt. het is een windows only bug en mac en linux users hebben er geen last van.. raad maar waarom die bug erin zit... juis microsoft wil de source niet vrijgeven en dus kunnen ze niet goed alle bugs eruithalen..

//edit
off-topic hoezo is dit offtopic kunnen jullie niet lezen ofzo?? het gaat duidelijk dus wel over dit artikel!!!
//edit
Dit heb ik ook wel eens gehad met een ander groot lek. Volgens mij komen dit soort dingen pas op de nieuwspagina te staan als het gat eenmaal gedicht is.
Misschien om niemand op verkeerde ideeen te brengen?
Lijkt me tamelijk nutteloos.. mensen die er misbruik van kunnen maken weten het toch al lang, en de meeste mensen die er misbruik van zouden willen maken kunnen het toch niet zolang er niet iemand een tool voor ze schrijft met een GUI. ;)
Voor ons Nederlanders is dit eigenlijk niet zo'n belangrijk nieuws, want wie gebruikt hier nu eigenlijk AIM :?

Ik vind de patch van AOL trouwens wel heel netjes, want de users hoeven 'm zelf niet te patchen.
Voor ons Nederlanders is dit eigenlijk niet zo'n belangrijk nieuws, want wie gebruikt hier nu eigenlijk AIM
Misschien gebruiken er niet zoveel mensen in Nederland AIM, maar ik heb regelmatig contact met mensen in het buitenland die wel AIM gebruiken. Daarom ben ik zo blij met Trillian, die het mogelijk maakt om ICQ, AIM, MSN en IRC in 1 prachtige utility te stoppen :P
Volgens mij zijn er 'n paar Nederlanders die 't gebruiken, die Netschaap geinstalleerd hebben. Ik kan me nl. herrineren dat 't vroeger standaard meegeinstalleerd werd, volgens mij nu nog (gebruik al lang geen Netschaap meer).

@Luke; weet je wat trouwens ook 'n heel handig all-in one pakketje is :? Jabber, werkt hier echt als 'n t*et.
Voor ons Nederlanders is dit eigenlijk niet zo'n belangrijk nieuws, want wie gebruikt hier nu eigenlijk AIM
ik. :)

tot voor kort dan. ik draai nu trillian. en de voornaamste reden dat ik AIM gebruik is omdat de meeste mensen die ik online ken AIM gebruiken.
<offtopic>
Jep, hier ook... nog een fervente trillian fan. Ik ken op elke "dienst" wel een paar mensen, en dat is de perfecte oplossing voor zo'n rare gevallen als ikzelf ;)
www.trillian.cc voor de niet-kenners!
</offtopic>
Ik snap niet hoe het mogelijk kan zijn dat mensen via een messenger toegang kunnen krijgen tot iemands computer. En daar bedoel ik niet mee dat ik niet snap hoe het kan, maar DAT het kan. Een messenger is om te messengen, maar men moet er zoveel 'rotzooi' bij inbakken dat het dus wel kan. Dan is er toch iets mis? Waar zijn de leuke tooltjes die alleen doen wat je echt wilt en geen stap meer? Voor je het weet moet je met een messegner ook multimedia presentaties kunnen maken en videobewerking kunnen doen??????? Kwestie van overkill misschien...
Neeneenee zo werkt het niet :P

Stel je hebt een programmatje draaien (hoe klein dan ook) dat invoer krijgt vanuit internet. In dat programmatje zit een bugje :
bv. Hij verwacht een getal van 10 karakters te krijgen.
Dit wordt echter niet gecontroleerd, en later wordt hier verder mee gewerkt.

Als er nou ipv 10 karakters 15 karakters binnenkomen, dan wordt het geheugenblok (dat 10 plaatsjes heeft gereserveerd) te ver ingevuld. Met andere woorden, geheugen dat door Windows of andere programma's wordt gebruikt wordt overschreven door die 5 laatste karakters. Dit veroorzaakt vaak een crash, maar als de overschrijvende karakters goed worden gekozen kan willekeurige code uitgevoerd worden. (bijv. door assembly-code te gebruiken).

Het is dus niet zo dat die programmas 'te veel functionaliteit' hebben.
Het is dus niet zo dat die programmas 'te veel functionaliteit' hebben.
Die programma's hebben wel te veel functionaliteit. En omdat bedrijven er tegenwoordig 100,000 features in moeten stoppen (anders is het niet 'innovatief' genoeg), gaat meer moeite naar de hoeveelheid code dan naar de kwaliteit (en als gevolg daarvan de veiligheid) ervan.
hmm buffer overflow.. waar heb ik dat eerder gehoord
:?
ff miereneuken: het security team dat dit ontdekt heeft heet w00w00 (dus met nullen), niet wOOwOO.
En een lekkere oplossing is dit dus niet echt. Als iemand nu dus de exploit van w00w00 aanpast om niet naar servers maar luisterende (listening) clients te connecten dan zijn ze weer net zo ver.. Want de buffer overflow is nog steeds aanwezig.
Microsoft is dus niet de enige die blunders maakt. AOL wel goed in snelle reactie. Zo dit kunnen lijken op de MSN veiligheidslekken ?

;(

(BTW First post }>)
ICQ en AIM werken zo'n beetje op dezelfde manier. In trillian wordt dat duidelijk. Zou ICQ dan niet ook zo'n lek kunnen bevatten?

Ik gebruik trouwens ook trillian, omdat de meeste mensen die ik ken MSN gebruiken, maar sommige zijn anti-M$...
[vrijdag middag humor]
een enorme hoeveelheid data naar het geheugen van de AIM gebruiker te sturen
[vrijdag middag humor]

:9
Alle programma's kunnen bugs en lekken bevatten. Alleen de HOEVEELHEID en het OPLOSSEN van problemen is belangrijk.

Als AOL lek ontdekt en direct dichten, zonder dat de users iets moeten doen, dat is pas NICE.

Bij M$ moet je weer op een patch/update wachten of gewoon een nieuwe programma kopen (zie memory leak in win ME, M$ zegt "koop XP, geen patch") .

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True