Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 45 reacties
Bron: The Register

Het is nog niet zo lang geleden dat er een flinke fout in de implementatie van de Secure Socket Layer (SSL) van Microsoft's Internet Explorer naar voren kwam. Dat moet de interesse van een aantal mensen moeten hebben opgewekt, aangezien er nu rapporten naar buiten komen waarin beweerd wordt dat niet alleen IE, maar ook KDE browser Konqueror van een dergelijk insectje last heeft.

Security bugje In het geval van Konqueror werkt de bug op dezelfde manier als die in Internet Explorer: elk certificaat met een digitale handtekening wordt als legitiem gezien, ondanks het feit dat het helemaal niet van de correcte site hoeft te komen. Hierdoor kunnen als veilig aangenomen transacties toch afgeluisterd worden. Mike Benham, die de bug ontdekte, heeft een test bij Amazon.com uitgevoerd; Internet Explorer liet zich volledig in de kaart kijken, net als Konqueror. Mozilla weigerde echter dienst zodra de hackpoging gestart werd:

The browser, Benham says, "should verify that the CN [Common Name] field of the leaf certificate matches the domain it just connected to, that it's signed by the intermediate CA [Certificate Authority], and that the intermediate CA is signed by a known CA certificate. Finally, the Web browser should check that all intermediate certificates have valid CA basic constraints."

And it's here that IE fails. There's no checking of basic constraints. Thus an attacker can obtain a legitimate SSL cert for his domain and use it to sign a dummy cert for a second site. IE fails to check whether the dummy is in fact valid for the second site, but merely assumes that it is.

RoBBeR948 bedankt voor de tip.

Moderatie-faq Wijzig weergave

Reacties (45)

KDE in cvs is alweer bugvrij volgens een stukje op The register. (als ik me niet vergis)
<EDIT> Ja dus: http://www.theregister.co.uk/content/4/26653.html
""Hierdoor kunnen als veilig aangenomen transacties toch afgeluisterd worden"'

Kletskoek!
Dit soort opmerkingen komt voort uit een totaal onbegrip van de werking van ssl certificaten!

He tis theoretisch mogelijk dat een site zich voordoet als bijvoorbeeld de Amrobank site en dan je sessie kan bekijken.
Jij moet dan zo dom zijn naar de verkeerde site te gaan en daar moet dan de ssl actie gestart worden.

Spijkers zoeken op laag water.

Ook in IE is de bug alweer opgelost, De werking was niet kwaadaardig maar onwenselijk.
Als je de techniek combineert met bestaande man in the middel attacks, kan je alle data keurig dorogeven aan bijvoorbeeld amazon, maar toch stiekem je eigen adres opgeven als shipmentaddress.

Zou helemaal niet moeilijk zijn.

Je moet alleen ergens redelijk hoog in de netwerkstructuur je bakkie ergens tussen drukken.
Then I generate a certificate for any domain I want, and sign it using my
run-of-the-mill joe-blow CA-signed certificate:

[CERT - Issuer: VeriSign / Subject: VeriSign]
-> [CERT - Issuer: VeriSign / Subject: www.thoughtcrime.org]
-> [CERT - Issuer: www.thoughtcrime.org / Subject: www.amazon.com]

Since IE doesn't check the Basic Constraints on the www.thoughtcrime.org
certificate, it accepts this certificate chain as valid for
www.amazon.com.

[...]

Anyone with any CA-signed certificate (and the corresponding private
key) can spoof anyone else.
De werking kan, wanneer misbruikt dus zeker kwaadaardig zijn. Vertrouwlijke gegevens die leesbaar zijn, worden over het algemeen wel als behoorlijk onwenselijk gezien, ja :+.

Lees mijn vorige post over deze bug eens. Lees vervolgens dit verhaal eens en bedenk eens na wat voor gegevens er allemaal wel niet verzonden worden via SSL....

Ik zou mijn credit-card nummer niet graag langs zien komen terwijl er iemand zit te luisteren....
Volgens mij is het zeker niet opgelost in IE, althans er is nog geen fix publiek beschikbaar. Of heb je een linkje voor me?

"Er zijn op dit moment geen essentiŽle updates beschikbaar." heet het, als ik op mijn windowsbak naar windowsupdate ga. Dus waar haal je die wijsheid vandaan?
IS die fix voor IE al gepublished btw? Heb er niks meer van gehoord en dat is toch iets waar'k graag veilig in ben aangezien je het gebruikt voor o.a. betalingen .
MS vond het niet belangrijk genoeg, dus komt er niet eerder een patch dan met de volgende release of SP van IE6.

cvs co kdebase
cd kdebase
debian/rules binary
cd ..
dpkg-scanpackages . file | gzip > ./Packages.gz
apt-get update
apt-get upgrade

* 786562 Jan
Bugvrij? Dat geloof je toch zeker zelf niet. Elke software (ja, ook onder linux ;)) bevat bugs. Er worden niet voor niks steeds nieuwe linux kernels en programmaversies ontwikkeld.
Bugvrij? Dat geloof je toch zeker zelf niet.
LOL: Bugvrij zeg ik, met een post-alpha/pre-beta versie van een nieuwe KDE API... :P
Ene crash na de andere, maar bugvrij is ie :P
emerge kde-5
Meer heb je niet nodig in Gentoo om aan de CVS versie te komen }> (okee enig geduld)
Je zou bijna denken dat er iemand bij de ander gespiekt heeft... :)
Micorsoft IE = closed source
Konqueror = GNU GPL :)

Zou MS het zo moeilijk hebben dat ze nu ook al aan schending van de GPL doen?
Zou MS het zo moeilijk hebben dat ze nu ook al aan schending van de GPL doen?
Nee, die SSL implementatie-fout zit al 5 jaar in Internet Explorer. Toen bestond Konqueror nog lang niet :) (De eerste final versie van Konquer, die bij KDE 2.0 hoort, kwam eind 2000 uit, IE is al veel ouder, en die SSL-fout ook)
Nee, alleen de BSD license
Nee, alleen de BSD license
wat dus helemaal geen schending van de licentie is. :)

(daarom vind MS *BSD zo lief, je mag de code gebruiken (deden ze eerder al met de TCP/IP stack van FreeBSD) zonder die terug te MOETEN geven)
wat dus helemaal geen schending van de licentie is.
Copieeren van source niet, maar je kunt de BSD licentie wel degelijk schenden, door de bron niet te vermelden - hetgeen tamelijk asociaal is. En dat heeft microsoft dan ook gedaan.
Zo zie je maar weer: Fouten maken is menselijk.
Of het nou van Microsoft komt, of van de open source community: Het is en blijft mensenwerk. Dit bericht is daar een prachtig bewijs van.
De reden daarvan is dat Microsoft de SSL implementatie-fout totaal niet zwaar problematisch of risicovol is.

Een nieuwsartikel over de fout in Microsoft Internet Explorer staat hier: http://nu.nl/document?n=60881

Een quote waaruit blijkt dat Microsoft de fout lichtzinnig opvat:
Het lek zit al vijf jaar in de Internet Explorer, maar is nu pas aan het licht gekomen. Microsoft zegt hard te werken aan een oplossing, maar vindt de commotie rond het lek een beetje overdreven.

Volgens het bedrijf moeten kwaadwillenden eerst een valse website maken en dan via een legale website mensen lokken die dan gaan inloggen op de valse website. Experts zeggen echter dat dit met een simpel programma'tje zo gepiept is.
Het is dus het woord van de experts tegen het woord van Microsoft. Maar aangezien Microsoft de commotie rond het lek overdreven vindt, zal het dichten er van een lage prioriteit krijgen, dus wel even duren.

Bij de open-source community is het zo dat elke fout gelijk gedicht wordt. Dat komt door de grote hoeveelheid ontwikkelaars. Er zijn altijd wel een paar hobbyisten die het leuk vinden om dat SSL-lek te dichten, hoe belangrijk of onbelangrijk deze fout ook mag wezen.
De reden daarvan is dat Microsoft de SSL implementatie-fout totaal niet zwaar problematisch of risicovol is.
De reden is uiteraard gewoon dat microsoft het te duur vind om de beveiligingsfouten te verhelpen.

Hoeveel winst had het bedrijf ookalweer? Raar dat ze dan hun klanten niet dat kleine beetje support geven dat in ieder geval veilig met hun software te werken valt.

Kom maar weer op met die troll :'( :?
Voor de Linux gebruikers is het maar weer iets positiefs dat beveiligingslekken in software erg snel verholpen worden. Dat kan niet altijd van M$ gezegd worden. Maar M$ is ook niet traag met het uitbrengen van fixes voor lekken...........gelukkig voor de meeste onder ons :D
Ik geloof dat er een tijd terug een vergelijking is geweest, en daar kwam uit dat Linux en Microsoft fixes ongeveer even snel en even goed uit kwamen.

(of heb ik het nu echt helemaal fout onthouden??)
Er was in 48 minuten een patch voor Konqueror iig,. Dat vind ik wel verdraaid snel, ik heb Microsoft nog noit zo snel gezien...
kan natuurlijk zijn dat de bug in Konqueror al eerder ontdekt was, maar dat dat niet bekend gemaakt was.
Lijkt me niet waarschijnlijk, dat is eerder een kunstje
dat MS zou flikken (hebben ze per slot van rekening al vaker
gedaan)
Juist heel waarschijnlijk, bekend maken dat er een bug is, en geen patch hebben is helemaal niet goed.
Dan komen er juist allerlei mensen op af die de bugs gebruiken om je te hacken of andere dingen te doen.
Op deze manier wordt de bug bekend, maar is de patch er ook gelijk. Zo kan de meeste schade worden tegen gehouden.
inderdaad, het is juist de standaardmethode om te zeggen: "bedankt voor het melden van het lek, we gaan nu een patch maken, hou het ajb. nog even stil tot we de patch hebben"

alleen gaat d'r bij MS wel eens een forse tijd overheen voor die patch er is, waardoor soms het lek eerder bekend wordt gemaakt. (pressiemiddel naar MS toe)
Is ook logisch dat ze dat al eerder gedaan hebben. Maar er zijn nu eenmaal mensen, die zich niet verplicht voelen om een bug aan microsoft te melden, maar de info over de bug wel direct on-line te gooien.

Het kan dus zijn, dat direct na de melding dat deze bug in SSL zat, iemand dit heeft getest op Konqueror, en heeft geconcludeerd dat konqueror er ook last van heeft. Vervolgens heet hij dit niet direct on-line gegooid, maar eerst gemeld aan de juiste personen, zodat een fix gemaakt kon worden.

Dit is natuurlijk de juiste manier, maar vanwege de aversie van sommige mensen tegen Microsoft, gooien deze mensen bugs in microsoft software direct online ipv van melding daarvan te maken aan Microsoft zelf
Dit is bij serieuze systemen toch echt de norm
typisch voor bijvoorbeeld SGI en SUN is dat ze onmiddelijk een
waarschuwing uitstuiren op hun security mailing list, met
een lijst van betrokken software versies. plus vaak een suggestie voor een tijdelijke work-around (of het advies bepaalde services/software uit te schakelen voor kritische machines)
De patch/update volgt pas uren of dagen later.
Misschien is het wel de moeite waard om bij dit artikel te vermelden dat er al een geupdate versie van Konqueror is (en nog geen nieuwe IE).

http://newsvac.newsforge.com/newsvac/02/08/13/0212235.shtml?tid=2
Waar en niet helemaal waar

De update is verwerkt in de sources. Deze sources zijn mbv. CVS te downloaden. Als je ze compileert, krijg je een Konqueror waar de patch in verwerkt zit. Dit is dan echter wel een alpha/beta-versie. De patch zit nog niet in een final/stable versie van Konqueror, daarvoor moet je nog ff geduld hebben :)
Ook dat is niet helemaal waar. Er zijn verschillende versies van Konqueror (en KDE) in CVS te vinden, waaronder een ontwikkelversie (die de naam HEAD draagt). De stabiele versies van Konqueror bevinden zich echter ook gewoon in CVS en deze trees zijn niet minder stabiel dan de packages - stabieler zelfs, aangezien alle fixes sinds het aanmaken van de packages er ook al in zitten. Ik verwacht overigens dat het verschijnen van nieuwe packages niet lang op zich laat wachten: gisteren kreeg ik al mail (via de development-mailinglist) dat er een fix in zowel HEAD, de 3.0-branch als de 2.2-branch zit en dat packagers dus voor alle releases die kwetsbaar zijn nieuwe packages kunnen compileren. Updates voor KDE1 komen er niet, simpelweg omdat er ten tijde van die release nog helemaal geen SSL-checks in de code bestonden :).
stel....iemand heeft een trojan in zijn computer
iemand anders kan dan in zijn of haar computer rondsnuffelen.
en ziet bij de favorieten....www.abnamro.nl staan
en verandert de hyperlink zodat ie doorverwijst naar een malafide site die er hetzelfde uitziet als www.abnamro.nl.

zou dat mogelijk zijn?

grz
joetje
Helemaal correct, en dat is hier het grootste risico. Ik kan me daarom ook wel voorstellen dat MS hier niet de hoogste prioriteit aan geeft zolang er nog geen trojan over het web zweeft die 'handig' van deze bug gebruik maakt.
Daar hoef je geen trojan voor op je PC te hebben. Er zitten nog genoeg andere ongepatchte veiligheidslekken in internetexplorer die in combinatie met deze misbruikt kunnen worden. In principe hoef je maar 1 keer langs een verkeerde site te gaan met de micrfosoft browser en je bent de klos.

edit, url:
http://www.pivx.com/larholm/unpatched/
Dat moet de interesse van een aantal mensen moeten hebben opgewekt.
offtopic:
is dat je goeiste nederlands ?? ;)


hmzzz ... voorlopig dan toch maar weer acceptgiro's invullen :(
KDE 3.0.3 final zit al in de CVS, heb em net gecompileerd, ziet er hetzelfde uit als 3.0.2, maar loopt wederom iets soepeler. Waarschijnlijk zit die Konqueror bug er ook al niet meer in.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True