Bestanden lezen via lek in Google toolbar

De mensen van GreyMagic brengen de wereld op de hoogte van een beveiligingsprobleem met de populaire Google toolbar. Het blijkt mogelijk om vanuit webpagina's de toolbar te besturen, waarbij het mogelijk wordt om de zoekopdrachten van de gebruiker te bekijken en zelfs om bestanden van zijn computer te lezen. Het probleem zit hem in de manier waarop de opties van de toolbar worden ingesteld. Dit gebeurt middels een connectie naar een URL, waarbij de opties als argumenten worden meegegeven. Het is voor een kwaadwillende webmaster mogelijk om bij de bezoekers aan zijn pagina een nieuw venster te openen dat automatisch contact zoekt met Google met de speciaal vormgegeven URL, waardoor de configuratie bij de client verandert.

Dergelijke problemen zijn niet prettig, maar ze zijn relatief onschuldig. De toolbar heeft echter ondersteuning voor een argument dat wel gevaar kan opleveren: door het aanroepen van http://toolbar.google.com/command?script=een_script wordt een willekeurig script uitgevoerd op gebruikersniveau. Dit geeft de mogelijkheid om programma's te starten en om bestanden te lezen. Het probleem is enige tijd geleden door GreyMagic ontdekt, waarna het bedrijf contact heeft opgenomen met Google. De zoekmachinegigant heeft een nieuwe versie uitgebracht die het probleem verhelpt. Aangezien nieuwe versies van de toolbar automatisch door het programma worden gedownload zijn de meeste gebruikers ondertussen al niet meer kwetsbaar:

We notified Google about these problems on 31-Jul-2002 and worked with them to fix the issues. Google has been very responsive and quick to produce a fixed version (1.1.59/1.1.60).

The new version began distributing on Wednesday (07-Aug-2002) noon using the auto-update feature in the Google toolbar. Therefore, most of the toolbar's users should be protected from these vulnerabilities by now.

Verwijderd was het snelst om dit nieuws door te geven.

IT-banen

Reacties (48)

CrazyJoe 9 augustus 2002 23:32

Als ik jullie was zou ik me meer zorgen maken om de flaws die standaard in Windows zitten en NIET met een patch te verhelpen zijn. Kijk maar eens op:

http://security.tombom.co.uk/shatter.html

Deze "feature" van Windows is veel enger dan de hierboven genoemde googlebar weakness.

Via deze truuk kun je in principe alles doen met Windows wat je wil. En d'r is geen oplossing voor!!!!

Verwijderd @CrazyJoe • 10 augustus 2002 13:00

Klopt, maar dit is dus meer een exploit voor (o.a.) VirusScan dan voor Windows. Als programmeur kun je nl. zelf kiezen welke messages voor welke (sub-)windows je wilt behandelen en welke niet.
Als jij een programma maakt om op de desktop van iemand anders te draaien, ben jij verantwoordelijk voor hoe secure 't is, niet Windows.

edit:

http://f0dder.didjitalyphrozen.com/wm_timer.htm
Manieren om om zoiets heen te werken. Het kan dus.

Wat heeft dit trouwens te maken met de Googlebar?

Verwijderd @Verwijderd • 10 augustus 2002 15:57

Klopt, maar dit is dus meer een exploit voor (o.a.) VirusScan dan voor Windows.

Niet helemaal. Dit is een exploit voor ALLE services die
a) op LocalSystem level draaien (de meeste dus), en
b) interactie met de desktop toelaten.

Maar 't heeft idd niks met Google te maken.

edit:

Uit de link die Maybird aangaf:
and I find it rather amusing that main focus of foon's article is the "Win32 API flaws", and not the presence of these windows, and the lack of separation between Sevices and GUIs.

Verwijderd 9 augustus 2002 20:56

flash ook al

http://online.securityfocus.com/archive/1/286625/2002-08-06/2002-08-12 /0

en ook nog uitvoeren van "arbitrary code"

http://online.securityfocus.com/archive/1/286691/2002-08-06/2002-08-12 /0

LuCarD 9 augustus 2002 22:39

Toch wel leuk, het blijkt dus dat ik nog steeds een oude versie heb?

Werkt de auto update niet? En ik heb aantal van die bugs op mij uit geprobeert en ik kon er toch hele vervelende dingen mee doen

Wat me wel opvalt is dat mensen geen moord een brand schreeuwen bij deze auto-update feature. En terwijl ze dat wel deden bij een andere bedrijf die aankondigde deze feature te installen...

Schnautzi 9 augustus 2002 20:49

Dit is natuurlijk een fijne openbaring voor de meest gebruikte zoekmethode van tegenwoordig
Niet dat de echte tweaker er ongerust van word (als het goed is , ) maar een pas beginnende internetter word niet vrolijker van zo n bericht ! (zo n ramp is het nou ook weer niet hoor .....om maar een beetje gerust te stellen !)

aatos @Schnautzi • 9 augustus 2002 20:58

De ervaren internetgebruiker gebruikt meestal niet de google toolbar, en als hij dat doet heeft hij wel de nieuwste versie.

De onervaren internetgebruiker snapt meestal niet eens wat dit probleem inhoud. En last heeft hij er pas van als er daadwerkelijk iemand van gebruik gaat maken. En daar zijn nog geen meldingen van.

De enige mensen die hier een probleem in zien zijn de tweakers die zich zorgen maken over de onervaren medegebruiker

Dricus @aatos • 9 augustus 2002 21:00

De ervaren internetgebruiker gebruikt meestal niet de google toolbar, en als hij dat doet heeft hij wel de nieuwste versie.

* 786562 MrHuge

Roelant @Dricus • 9 augustus 2002 21:06

De toobar heeft inderdaad ook leuke features voor de ervaren internetter, bijv. wordhighlighting, pagerank of verder zoeken binnen een bepaalde website.

Een dergelijke toolbar is dus wat mij betreft een aanwinst voor zowel beginnende als gevorderde internetters.

KMK @Dricus • 9 augustus 2002 21:07

Me too MrHuge

Toolbar save time and is nti rsi..

Slashdotter @aatos • 10 augustus 2002 01:41

Daar ben ik het weer niet mee eens.

Als je een ervaren gebruiker bent dan gebruik je juist wel de Google Toolbar. Deze biedt meer geavanceerde mogelijkheden zoals "similar pages", "related to" en "backward links". Allemaal opties die een onervaren gebruiker juist niet gebruikt

Verwijderd 9 augustus 2002 20:54

dit lijkt meer op een cross-site scripting bug in MSIE dan een directe bug in de google toolbar.

BTW, netjes dat ze het zo snel gefixed hebben

[ti] @Verwijderd • 10 augustus 2002 00:29

Zeer zeker niet, bij cross site scripting wordt de (meestal) javascript code nog altijd uitgevoert in de "Internet Zone". In het geval van de google toolbar wordt de (Javascript) code uitgevoerdt in de "Local Zone" ofwel, geen restricties. Hiermee wordt het dus mogelijk om lokale bestanden uit te lezen en andere vuile truukjes uit te halen. Een erg belangrijk verschil!

Verwijderd 9 augustus 2002 21:22

Deze url bijvoorbeeld: www.dedigitalerevolutie.nl/redirect.asp?pagina=software/google-toolbar .htm
spyware zit er dus wel in ik ga nu de toolbar installeeren en adware runnen, komt dus nog een update..

21.35

Ik heb de toolbar geinstaleerd en heb jawel spyware kunnen ondekken met ADware, zie mijn link:: www.moppentap.nl/moppentap/plaatjes/nieuw1/nspyware2.JPG
Tevens hoeft google niet eens echt de spyware gebruiken de zoekopdrachten hebben ze toch al maar het moet duidelijk zijn dat het niet helemaal pluis is !
Zoek maar eens bij google onder : spyware google. dan vind je genoeg verhalen die mijn gelijk bevestigen.

Roelant @Verwijderd • 9 augustus 2002 21:28

Je hebt de tekst duidelijk maar half gelezen, want zelfs op de website zelf wordt al uitgelegd hoe de vork in de steel zit:

Er bestaan twee versies een uitgebreide versie die bovenstaande mogelijkheden heeft en een beperkte versie. Het grote verschil zit hem erin dat voor het gebruik van sommige functies de bezochte url's naar moeten worden doorgestuurd naar Google. Hoewel deze niet voor commerciële doeleinden worden geregistreerd wil Google iedere schijn van spyware vermijden en biedt ook een uitgeklede versie aan die geen surfgegevens naar Google doorstuurt maar daardoor wel enkele functionaliteiten zoals de PageRank mist.

Ook Google zelf legt duidelijk uit hoe de vork in de steel steekt met betreft het versturen van gegevens, wat benodigd is voor bepaalde functies. Als je dat niet wil kun je een stripped versie van de Toolbar installeren, en je hebt wat dat betreft volledig zelf de keuze.

Linkje: http://toolbar.google.com/intl/nl/prdlg.html

Wat dat betreft is het kenmerk van spyware volgends mij altijd nog wel dat het stiekem geïnstalleerd wordt en gegevens worden verzonden zónder dat je ervan op de hoogte wordt gesteld.

Edit: El_Muerte_[TDS] was me voor

Verwijderd @Verwijderd • 9 augustus 2002 21:27

het is niet zo zeer spyware omdat je ervan op de hoogte gesteld word dat die informatie naar google gestuurt word, hoe moet je anders de pageranke info binnen halen,
je kan die feature btw gewoon uitzetten.

Verwijderd 9 augustus 2002 21:00

Waar ik zo ziek van word zijn die scripts (en ik heb geen idee hoe ze het doen) die van die dial-up programma's op je computer installeren, d'r shortcuts van op je desktop en in je startmenu zetten en metteen beginnen in te bellen voor 70 ct/min...

Hoewel ik er niet direct last van heb (mn modem is niet aangesloten), vind ik het wel zeer kwalijk dat het uberhaupt kan.

Misschien kan iemand commentaar geven over hoe ze dat doen (en hoe ik het kan voorkomen...)

Zpottr @Verwijderd • 9 augustus 2002 21:03

U bent wel erg ver off-topic. Maar goed:

Misschien kan iemand commentaar geven over hoe ze dat doen (en hoe ik het kan voorkomen...)

1) zorg dat je IE volledig up-to-date is
2) zet in Internet Options alles uit waar het woord "automatisch" in voorkomt, of wat lijkt op eht ongevraagd uitvoeren van scripts
3) klik nooit "yes" in een venster dat te voorschijn popt op een dubieuze site
4) Echte oplossing: dump IE en installeer Opera, Mozilla, Netscape, etc.

nIghtorius @Zpottr • 9 augustus 2002 21:09

Kom op zeg.. Mozilla en netscape??

dat zijn
wel de 2 laatste browsers die ik ga gebruiken.

duren vreselijk lang om te starten en hebben vaak
problemen met weergeven van sommige sites.

Vette browsers zijn:

MSIE, Opera, Konquerer (Die starten snel en geven
veel mééér sites goed weer).

Roelant @nIghtorius • 9 augustus 2002 21:17

De enige rede dat MSIE zo ontzettend snel start is dat het grootste deel van de DLL's en andere bijbehorende prut in Windows zit ingebakken, en bij het starten van Windows al worden geladen.

Mozilla heeft een zelfde soort optie, de Quicklaunch, en dan staat de browser tien keer sneller dan Internet Explorer op het scherm. En wat dat betreft, als je Opera zo vet vind: Mozilla en Opera zijn op dezelfde engine gebasseerd. Qua weergave van de "bepaalde sites" zullen ze dus niet zo gek veel verschillen.

Netscape zit een boel troep bij, dat zal ik niet ontkennen, maar Mozilla en Netscape over één kam scheren kan gewoon niet (meer).

nIghtorius @nIghtorius • 9 augustus 2002 21:27

De versie van Mozilla die ik ken was een Linux versie
en was standaard gebundeld met RH7.2. toen ik
'm startte leek ie en gedroeg ie zich verdacht veel
op Netscape Communicator 4.xx.

dus daarom mozilla=netscape.

en btw. Opera geeft sites goed weer die Netscape
niet goed weergeeft. Mozilla kan ik niet meer zeker
zijn. of daar is een behoorlijke (r)evolutie aan de gang
als men beweert dat ie helemaal niet meer netscapisch is.

Verwijderd @Zpottr • 9 augustus 2002 21:10

3) klik nooit "yes" in een venster dat te voorschijn popt op een dubieuze site

Dat doe ik ook nooit, maar het lullige aan die dial-up proggies is dat het gebeurt zonder dat je ergens op geklikt hebt. Gebeurt dus gewoon vanuit de "onload" ofzo.

Magoed, de beveiliging iets hoger instellen is idd wel een goed id.

(sorry voor de off-topic)

Verwijderd @Verwijderd • 9 augustus 2002 21:06

In MSIE kan je dat gewoon uitzetten, voor zover dat al niet standaard uitstaat. Je kan dus wel gewoon MSIE gebruiken, B_Muerte_[TDS].

edit:
Dump alleen IE, als je een andere browser prettiger vindt werken. Dat is een persoonlijke keus en hangt af van je eigen voorkeuren. Het is allemaal wel weer off-topic, maar een aantal mensen grijpen altijd ieder bericht aan om programma's die ze niet mogen en/of gebruiken af te kraken en andere programma's aan te bevelen. Terwijl de berichtgeving helemaal niet over de discussie gaat of een programma 'goed' of 'slecht' is.

Roelant @Verwijderd • 9 augustus 2002 21:09

voor zover dat al niet standaard uitstaat

Zal je nog verbazen hoe veel er standaard aan staat bij microsoft, hoe lang heeft het niet geduurd voor anonymous account in IIS en gastaccounts standaard gedisabled stonden?

Edit: best grappig hoe de discussie verzand in een browseroorlog inderdaad, als je bedenkt dat de Google toolbaar alleen beschikbaar is voor Internet Explorer

Verwijderd @Roelant • 9 augustus 2002 22:04

mijn mozilla heeft ook gewoon een google search tab hoor, het is alleen net iets anders, en in mozilla kan je niet cross site scripten.

Verwijderd @Verwijderd • 9 augustus 2002 21:02

het is feature in MSIE
gebruik geen MSIE en er word eerst gevraagd of je het wil downloaden

nIghtorius @Verwijderd • 9 augustus 2002 21:07

En weer direct die MSIE afbekken.

bij mij wordt er in iedergeval WEL gevraagd
om zoiets te downloaden en te installeren (MET MSIE!!)

je kent 't wel.. die schermpjes van

Wilt u <bla-bla-dailer> installeren van <bla-bla-softwarefabrikant> bla bla + <heel verhaal> <Ja, Nee>

nIghtorius @nIghtorius • 9 augustus 2002 21:17

een betere en netter antwoord was:..

als je MSIE gebruikt ga naar extra/i-net opties/beveiliging tab/aangepast knop en
stel de gewenste beveiliging instelling in.

en nee. ik start geen flamewar.. want heb geen
waterstof/zuurstof gasflessen bij me..

Verwijderd @nIghtorius • 9 augustus 2002 21:12

blaat...

Het enige wat ik duidelijk wil maken is dat er in MSIE heel veel geautomatiseerde features zitten die de leek en niet zo leek niet kunnen vinden.
Bijv. de design gallery van microsoft, daar kan je cliparts downloaden, als je gewoon op de link clickt download hij de cliparts en installeert ze meteen zonder jou iets te vragen. Als microsoft dit kan doen, waarom zou een ander iemand dat niet kunnen.
Jij begint meteen weer met een flamewar over browsers, ik niet. Ok mijn reply was misschien wat kortaf. Misschien had de laatste zin moeten zijn:
"Let op bij gebruik van MSIE, er zijn veel verborgen feature die ongewild dingen downloaden en uitvoeren, deze kan je vast wel ergens uitzetten maar dat is vaak ver te zoeken"

GA!S @nIghtorius • 9 augustus 2002 22:04

Het enige wat ik duidelijk wil maken is dat er in MSIE heel veel geautomatiseerde features zitten die de leek en niet zo leek niet kunnen vinden.

...en alles standaard AAN staat zonder dat de gebruiker het door heeft. Ook wordt je gek van de confirmation-boxes als je IE op hogere security instelt.

Verwijderd 10 augustus 2002 00:45

Het is mij niet helemaal duidelijk, maar wat ik eruit op maak is, dat de toolbar voor IE is en de in Opera geintegreerde "Google-search" anders werkt.

Is Opera nu buiten schot gebleven?

Zarc.oh @Verwijderd • 10 augustus 2002 13:23

Ik gebruik mooi Mozilla; in de locationbar een text intikken, pijltje naar boven en enter en hij gaat zoeken

Verwijderd @Zarc.oh • 11 augustus 2002 21:24

Op google? Dan is de situatie vergelijkbaar met Opera....

bobsh 9 augustus 2002 21:28

Traag was het snelst om dit nieuws door te geven.

lol

AJ 9 augustus 2002 21:51

maar prettige en snelle samenwerking greymagic-google, maar hoe is het nu opgelost, heeft de nieuwe versie geen pageranking meer of wel en hoe doen ze dat nu dan, alleen hun eigen script werkt nog ofzow?

Op dit item kan niet meer gereageerd worden.

Bestanden lezen via lek in Google toolbar

Lees meer

IT-banen

Reacties (48)

Sorteer op:

Weergave: