GreyMagic publiceert negen lekken in Internet Explorer

ZDNet bericht over een aantal nieuwe beveiligingsproblemen in Internet Explorer. Deze browser, met een marktaandeel dat richting de honderd procent loopt de absolute marktleider, blijkt last te hebben van een stel bugs die het mogelijk maken om de schijfinhoud van gebruikers te lezen. De ontdekker van deze problemen is het beveiligingsbedrijf GreyMagic, dat op zijn site een nadere uitleg geeft van elk van de bugs en de mogelijkheid biedt om te testen of je kwetsbaar bent. Van de negen gaten zijn er overigens slechts twee die in de laatste versie van Internet Explorer problemen geven, de rest is al opgelost in updates die de afgelopen tijd zijn uitgegeven. Alle problemen hebben hun oorzaak in Active Scripting en kunnen worden voorkomen door die feature uit te schakelen.

Windows security Opvallend is de manier die GreyMagic gebruikt om de securitybugs aan het licht te brengen. In de meeste gevallen wordt eerst de producent van het stuk software gewaarschuwd, waarna die een patch gereedmaakt en het probleem wereldkundig maakt. GrayMagic heeft er echter voor gekozen om Microsoft niet van tevoren in te lichten: het bedrijf zette de problemen op internet en maakte pas op dat moment melding bij de softwaregigant. Er is geen wereldwijd erkende procedure voor het melden van beveiligingsproblemen, maar zogeheten 'full disclosure' zonder eerst de fabrikant te waarschuwen is aan discussie onderhevig. Het bedrijf geeft aan voor deze methode gekozen te hebben omdat Microsoft zonder de extra druk niet snel genoeg met oplossingen zou komen:

GreyMagic heeft Microsoft niet vantevoren op de hoogte gebracht, maar gelijktijdig met de openbaarmaking van het veiligheidsprobleem. Ze vindt dat Microsoft in het verleden te traag heeft gereageerd op dit soort lekken, en dat het de nieuw ontdekte daarom onmiddellijk in de openbaarheid moest brengen.

Microsoft gaat inhoudelijk niet in op de fouten, wel heeft men kritiek op de manier waarop het beveiligingsbedrijf de lekken naar buiten heeft gebracht. Het softwarebedrijf is van mening dat zij in alle gevallen als eerste moet worden ingelicht. Microsoft vindt dat GreyMagic hackers nu het gereedschap in handen geeft om waarmee zij computergebruikers kunnen aanvallen.

Reacties (41)

baviaan 11 november 2002 17:54

Wat een onzin. Alsof Mozilla bugvrij is. Elk stuk software heeft bugs, grotere of kleinere. IE wordt veel gebruikt en veel getest vandaar dat er veel bugs gevonden worden. Lijkt me alleen maar goed voor de eindgebruiker.

GraveR @baviaan • 11 november 2002 18:01

De grap met IE is dat het dusdanig geintegreerd is met het OS dat een eventuele bug een grotere impact kan hebben dan een 'losse' browser.

pstalman @GraveR • 12 november 2002 17:09

de grap van mozzila is dat je niet alleen je browser start, maar ook je mail/news etc...

Crazy D @baviaan • 11 november 2002 18:59

Mozilla heeft idd ook niet te klagen over het aantal bugs, al moet ik zeggen dat ik de IE bugs toch wel wat serieuzer vind. En buiten dat, het is met IE wel zo ontzettend vaak raak, dat je binnenkort dagelijks een nieuwe IE moet downloaden om up to date te blijven (bij wijze van dan

). Maar tuurlijk, geen enkel stuk software is bugvrij, en het is ook goed voor de gebruikers, die krijgen er uiteindelijk een beter produkt door. Tis alleen jammer dat het tot die tijd nog zo lek als een mandje is

NiGeLaToR

@baviaan • 11 november 2002 19:31

Njah, marktaandeel IE is 98% oid. Dus op zich zijn die 2 procent Mozillianen en NetSchapen niet echt interessant voor mensen die misbruik van die lekken willen maken.

Tis in ieder geval leuk om te lezen dat M$ de gaten grotendeels al dicht had voordat er weer iemand dacht het ei van columbus gevonden te hebben.

* 786562 NiGeLaToR

servies @NiGeLaToR • 11 november 2002 19:54

Het marktaandeel van IE bedraagt geen 98% maar waarschijnlijk zo'n 85 a 90%. Veel andere browsers doen zich voor als IE omdat anders de website zegt dat de browser niet goed genoeg is, wat in 99,999999999999% van de gevallen onzin is.
Zelf gebruikt ik sinds een tijdje geen IE meer vanwege de instabiliteit die het veroorzaakt in Windows zelf. Als Mozilla of Phoenix op z'n muil gaat, dan gaat tenminste niet half windows mee... wat mij al vaak zat is overkomen met IE.
Ik word een beetje moe van al die kinders die continue met het nonargument aankomen dat IE het meest gebruikt is en dat daarom de meeste fouten worden gevonden.
Er is maar 1 reden waarom in IE te veel fouten worden gevonden: commercieele druk. In Mozilla zitten veel minder fouten omdat niemand van de 'verkoop' na een maand al begint te zeuren dat er een commercieele versie uit moet komen ondanks alle problemen die er dan nog zijn.

Crazy D @servies • 12 november 2002 09:23

Ik word een beetje moe van al die kinders die continue met het nonargument aankomen dat IE het meest gebruikt is en dat daarom de meeste fouten worden gevonden.

Gedeeltelijk klopt dat ook. Als je 1000 gebruikers hebt, is de kans groter dat er fouten worden gevonden, dan wanneer je 10 gebruikers hebt. Da's niet meer dan logisch denk ik. Mozilla bevat ook een hoop bugs, zie bugzilla op de mozilla site, alleen zoals iemand al zei, tis niet zo heel intressant om een bug te exploiten waar maar een paar mensen last van hebben. Dat is hetzelfde als virussen: waarom zou je gaan proberen iets te verspreiden voor een mail programma met 1% martkaandeel, Outlook (Exp) is dan een stuk intressanter. En dat is met dit soort bugs niet anders.

En omdat het dan ook nog eens meteen een heel groot marktaandeel is (of het nou 85 of 95 % is boeit niet, het is gewoon een gigantisch groot aandeel) is de kans ook automatisch groter dat er meer ongepatchte versies draaien. Dus wordt het eigenlijk nog intressanter...

Maar ik denk dat je wel gelijk hebt dat de commerciele druk zeker wel meehelpt om "nog meer" bugs te introduceren. Hoewel ik denk dat als Mozilla 90% marktaandeel zou hebben, de druk ook groter zou zijn, ook al is die druk dan niet direct commercieel (hoewel ie dat bij IE ook niet echt is, IE is tenslotte gratis te downloaden).

PatMan @servies • 12 november 2002 10:35

Gedeeltelijk klopt dat ook. Als je 1000 gebruikers hebt, is de kans groter dat er fouten worden gevonden, dan wanneer je 10 gebruikers hebt.

Ik moet dan altijd meteen aan het voorbeeld van Apache vs. IIS denken: Apache heeft verreweg het grootste marktaandeel, terwijl er vaker/ernstigere bugs in IIS gevonden worden.

Omgekeerd redenerend: zou dit betekenen als IIS populairder zou worden, het een nog grotere gatenkaas zou worden?

Bobco @servies • 12 november 2002 13:52

Gedeeltelijk klopt dat ook. Als je 1000 gebruikers hebt, is de kans groter dat er fouten worden gevonden, dan wanneer je 10 gebruikers hebt. Da's niet meer dan logisch denk ik.

Wat natuurlijk ook meespeelt is het kennisnivo van de gebruiker. Iemand die al jaren werkt als netwerkbeheerder zal anders tegen applicaties aankijken dan ieman die net een beginnerscursus Outlook heeft gehad....

cablepokerface 11 november 2002 17:37

Van de negen gaten zijn er overigens slechts twee die in de laatste versie van Internet Explorer problemen geven, de rest is al opgelost in updates die de afgelopen tijd zijn uitgegeven. Alle problemen hebben hun oorzaak in Active Scripting en kunnen worden voorkomen door die feature uit te schakelen.

Er is dus eigenlijk heel erg weinig aan de hand ? De andere 2 zijn probleempjes die je erg vergezocht kan uitbuiten en als je dat hebt gedaan levert het maar weinig op.

GrayMagic wil met zoiets waarschijnlijk ff lekker in de publiciteit komen ... maar het is een beetje een storm in een glas water ...

kvdveer @cablepokerface • 12 november 2002 17:36

Je hebt de volgorde van geheurtenissen niet helemaal door.
Deze lekken zijn ontdekt door GrayMagic, gemeld aan MS, Gepatcht door MS, en vervolgens gepubliceerd door GrayMagic... Ze hebben deze zaken dus ècht zelf gevonden (en ook gemeld op bugtraq trouwens)

Verwijderd @kvdveer • 12 november 2002 18:01

Ik bedoel...
Vroeger bestond DMCA nog niet, toen was het de gewoonte dat bugs/lekken/gaten direct het internet opgegooid word.
Maar sinds DMCA is dat verboden: foutenpubliceren. Dus de bugs/lekker/gaten worden heel voorzichtig gepubliceerd.

Verwijderd @cablepokerface • 11 november 2002 22:32

Het is duidelijk dat DMCA actief is, anders zijn ze bezig met "om ter eerste bugs/lekken/gaten melden".

Verwijderd 11 november 2002 17:55

Vreemd, ik mis de exploit die het mogelijk maakt om programmaas te starten met parameters.

Dat is een stuk ernstiger.
Ik heb een link van iemand die op usenet deze discussie startte en die zal zonder meer je a: floppie formatteren.

e-safe heeft daarom users aangeraden om 'mk:@MSITStore' in hun script filter te zetten.

Het enige wat Greymagic wel goed doet is het aanraden scripting uit te zetten.

Maar ja, deze site bevat ook javascript, dus wat moet je?

Q 11 november 2002 18:07

Het lijkt er op dat dit inderdaad allemaal niet zo ernstig is. Echter, in het verleden zijn er al heel wat problemen geweest met deze browser en daarom surf ik nu regelmatig met mozzila. Dat bevalt echt prima. Sterker nog, ik kom er achter dat mozzila grappige features ondersteund (zoals streaming jpeg?!) die in ie niet zit. (althans 5.5, wat ik ook heb).

Ook al is dit een storm in een glas water, de wijze waarop MS met bugs omgaat zie ik weer als een advertentie om mozzila te gaan gebruiken. Niet dat mozzila nu heilig is. maar naar mijn idee een beter alternatief.

deadinspace 11 november 2002 23:27

Van de negen gaten zijn er overigens slechts twee die in de laatste versie van Internet Explorer problemen geven, de rest is al opgelost in updates die de afgelopen tijd zijn uitgegeven.

Geweldig. Nu de overige 29 nog.

Het feit dat 13 van die vulnerabilitiets al meer dan 3 maanden oud zijn geeft overigens aan dat Microsoft niet bepaald haast heeft met het fixen van die dingen...

Verwijderd @deadinspace • 12 november 2002 01:06

Het zijn er in totaal 31. Er staan er overigens ook in van Greymagic. Data zijn:

September 9 2002
April 2nd 2002
March 27th 2002
March 22nd 2002

Verklaart voor mij wel waarom ze hun vertrouwen in MS hebben verloren.

Sommige patches zijn niet voor elke MSIE maar alleen voor de 6.x versie. Dat betekend dus dat ze de 5.x versies niet supporten? En daarmee OSen als W2k out of box niet supporten?

pstalman @Verwijderd • 12 november 2002 17:15

ja die moete update naar ie6....

Verwijderd 11 november 2002 19:24

voor de gene die zie geinteresseerd zijn in beveiliging en ook op de bugtraq lijst staan:

OUD NIEUWS...

inderdaad een bedrijfje dat alleen maar aandacht wilt
...

shifter @Verwijderd • 11 november 2002 19:54

Nou nou...

Dit is door zdnet bericht, wat betekent dat nu niet alleen de mensen die de (NT)bugtraq mailinglist ontvangen over dit probleem te horen krijgen. Dit heeft niets met aandachttrekkerij van Greymagic te maken.

Als je bovendien wat meer had gelet op de mailinglist, had je misschien kunnen zien dat in het verleden Greymagic -en zij niet alleen- inderdaad erg lakse reacties kregen van Micrsoft als ze met potentieel gevaarlijke bugs/exploits kwamen.

Het verbaast me geen seconde dat ze het deze keer eerst bekend maken. De kans dat Microsoft er wat eerder iets aan doet is weer wat groter geworden, zeker als een algemeen bekende site als zdnet er over rept.

Gaarne niet zo neerbuigend doen over Greymagic, ze hebben nuttig werk verricht.

bitflusher @Verwijderd • 11 november 2002 19:44

dat heeft dan geweldig gewerkt, ze krijgen meteen 10x zoveel hit's

overigens vind ik ook niet bugs te melden (aan ms of de rest van de wereld) waar al fixes voor zijn of ben ik nou een

??

oh ik heb er ook nog een met veel nieuwswaarde netbios is levensgevaarlijk

knopper 11 november 2002 17:38

Wel een duidelijke reden in ieder geval

Ze hebben misschien nog wel gelijk ook!

Olaf van der Spek @knopper • 11 november 2002 17:53

Ik vind dat ze toch beter 24 uur kunnen wachten. Dan heeft MS tijd om het lek te dichten, maar staat er toch genoeg druk achter.

Verwijderd @Olaf van der Spek • 11 november 2002 18:02

24 uur wachten? Er zit geen tijd aan gebonden maar het is wel waar dat je de makers van de software de tijd moet gunnen om het te fixen.

Recent ging deze procedure ook enigzins fout met OpenSSH toen IIS zich niet aan hun afspraak hield en ineens hun advisory eerder uitbracht dan afgesproken.

Apache is ook wel 'ns het slachtoffer hiervan geweest.

By GreyMagic Software, Israel.
22 Oct 2002.

*Kuch* oud nieuws (ik had dit ook al een tijdje geleden gesubmit). Maar ja als Zdnet.nl met iets komt dan moet het wel interessant zijn..

florisje 11 november 2002 19:13

krijgen ze nu geen enorme problemen? volgens die nieuwe DMCA wet mag je toch geen lekken meer publiceren van amerikaanse bedrijven?

Verwijderd @florisje • 11 november 2002 21:05

Nee. De DMCA zegt dat het verboden is om kopieerbeveiliging op digitale apparaten te omzeilen, of zelfs om de mogelijkheid te creeren om dit te doen. DMCA staat voor Digital Millenium Copyright Act; het gaat over copyrights in het digitale tijdperk. Disclosure van bugs valt niet onder copyright dus heeft hier niets mee te maken.

florisje @Verwijderd • 12 november 2002 11:24

ik had even deze nieuws post in m'n hoofd:

http://www.tweakers.net/nieuws/23828

klinkt ongeveer hetzelfde toch?

mesothelioom @florisje • 11 november 2002 21:37

waarom zou het verboden zijn om lekken te publiceren? Als een auto een ontwerpfout heeft maken ze dat toch ook bekent

Verwijderd @mesothelioom • 12 november 2002 10:55

Dat klopt niet.

Toen men erachter kwam dat die baby Benz niet goed tegen de elandentest kon, waren er geen mensen die elanden op de weg gingen zetten. (hopelijk)

Bij fouten in computerprogramma's zijn er wel mensen die van die fouten gebruik gaan maken.

Verwijderd @florisje • 11 november 2002 20:42

Die DMCA is een Amerikaanse wet, geldt dus voor Amerikaanse bedrijven.Laatst was er een ander bedrijf dat daarom zijn gevonde feiten via een buitenlandse site bekend maakte. GreyMagic is aan z'n site te zien Israëlisch.

Miesjel 11 november 2002 18:53

Ik blijk geen gaten te hebben. Tenminste ik kreeg netjes een error melding dat er iets tegen gehouden werd. Trouwens niet van mijn virusscanner. Klopt die test niet of heb ik een engeltje in mijn IE?

AlterEgo @Miesjel • 11 november 2002 22:01

Ik blijk geen gaten te hebben.

Says who

de tandarts

Dan heb je goed gepoetst

Praetorian 11 november 2002 18:03

Dit was een week of 2/3 geleden toch ook al door bedrijf gepbliceerd... ik zweer het je, dit is een complete rip-off van die site..

Kan iemand me vertellen dat dit een echt deja-vu is?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (41)

Sorteer op:

Weergave: