Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties
Bron: The Age, submitter: Meneer Dik

Het open source-bedrijf Openwares.org heeft een patch uitgebracht voor een bug in Microsofts Internet Explorer, zo meldt The Age. De patch voorkomt dat het deel van een url dat achter het karakter 0x01 komt niet wordt weergegeven. Door deze bug is het niet altijd even duidelijk welke url nou echt bezocht wordt en dat kan gebruikt worden om mensen gevoelige informatie afhandig te maken. De bug is daarom als 'critical' bestempeld. De heren van Openwares.org hebben niet gewacht op een patch van Microsoft, maar zijn meteen zelf begonnen. Naast de patch is ook de broncode te downloaden bij Openwares.org. Om te kijken of jouw Internet Explorer gevoelig is voor dit probleem heeft Openwares.org ook twee testpagina's online gezet.

Bug freeVolgens de heren van Heise.de zorgt deze patch echter voor meer beveiligingslekken dan dat er oplost worden. De buffer waar de url in gekopieerd wordt, is maar 256B groot. Als er vervolgens een url van meer dan 256 karakters gekopieerd wordt, ontstaat er een buffer overflow. Deze buffer overflow zorgt ervoor dat delen van de system stack worden overschreven. Als er dus code in de url wordt geplaatst, komt deze code op de stack terecht en wordt deze code uitgevoerd. Een url van 500 karakters overschrijft al cruciale onderdelen en zorgt ervoor dat Internet Explorer vastloopt. Openwares.org is ondertussen bezig met een nieuwe versie zonder de buffer overflow.

Moderatie-faq Wijzig weergave

Reacties (55)

Daar gaat de betrouwbaarheid van MS Statements dat ze sneller zijn met het uitbrengen van patches als de OS community
hoezo, MS test tenminste een patch eerst een beetje voordat ze hem uitbrengen, deze patch lijkt me een gevaarlijker probleem te veroorzaken dan dat ie oplost....
Wie zegt dat Microsoft niet dezelfde fout zou hebben gemaakt als ze een soortgelijke patch zouden hebben uitgebracht?
Tja dan kan je nooit weten, feit is wel dat zij (Openwares.org) de fout maakten. Ik vind het echt onzin om dan maar te zeggen dat MS de fout ook had kunnen maken. Typisch geval van niet goed testen dit imo
Wie zegt dat? We weten dat direct omdat we de source kunnen lezen. Als MS ook deze fout gemaakt zou hebben zou het hoogstwaarschijnlijk wel iets langer geduurd hebben eer de fout erin bekend werd, maar dan zou iedereen hem wel geÔnstalleerd hebben waardoor het kwaad al geschied zou zijn.
We kunnen de IE source niet lezen en daarom is deze patch misschien nog wel gevaarlijker dan de bug die het oplost.
De source kunnen lezen en kunnen begrijpen zijn nog steeds heel verschillende dingen dingstje. We zijn dan wel allemaal tweakers maar geen programmeurs ;)
Daarvoor moet je net rekenen op de community. Iedereen mag de source lezen en er wordt verwacht van de mensen die hem gelezen hebben en er iets van begrijpen de fouten die ze eventueel gevonden hebben door te spelen aan de auteurs (niet verplicht bij de meeste licenties)
Aan de ene kant is het wel een enorme harde dis in de richting van Microsoft, zo van "als jullie het niet snel fixen, dan doen we het zelf maar"... maar aan de andere kant ook wel ongelovelijk stom van ze dat ze zelf dan zo'n enorme stomme fout maken.
Vind het overigens wel knap dat ze IE weten te patchen zonder de source code zelf te hebben, zullen aardig wat uurtjes backward engineering in hebben gezeten om uit te vogelen hoe alles in elkaar stak en op welke plekken ze de binary moesten patchen! Hulde, dat ze er toch zoveel moeite in hebben gestoken terwijl het niet eens een open source programma is.... blijkbaar stoorden ze zich dermate aan die fout in IE...
Ehh..nee. Het is niet knap. Er zitten geen uren aan reverse-engineering aan. Het is gewoon een plug-in die gebruik maakt van het plug-in framework van IE. Niets extreems moeilijks. Het is nog een extreem bugged plug-in ook. Puur rotzooi eigelijk. Volgens mij deden ze het alleen even snel voor naamsbekendheid.
MyIE2, een kloon van IE heeft dit probleem ook al gefixed, door versie v0.9.11 uit te brengen. Je kan het hier mee testen (of de bug er dus uit is):

www.secunia.com/internet_explorer_address_bar_spoofing_test/
MyIE2 e.d. (Avant, CrazyBrowser) zijn geen kloon van IE maar een schil er om heen. Ze gebruiken dezelfde rendering engine maar dan met extra features zoals bijvoorbeeld toolbars, tabbed browsing enz. :)
Okay, als eerste is het niet een patch. Het is een COM plug-in voor Internet Explorer (net zoals elke andere willekeurige andere plug-in voor IE) die gewoon elke URL inspecteerd. Dat is op zich het slimme gedeelte. Daarna is het niet slim meer.
Zoals Heisse al vermeld is de URL buffer slechts 256 bytes groot. Maar van wat ik uit de source begrijp (en ik heb er slechts even snel doorheen gescanned) is dat wanneer er een 'foute' URL wordt gevonden deze wordt doorgestuurd naar een CGI script op de site van de makers (vertlede Heisse ook al), maar het samenstellen van de URL naar dat CGI script met als parameter de 'foute' URL gebeurd ook in ene slechts 256 grote buffer. Dus als de plug-in IE niet laat crahsen omdat de 'foute' URL groter dan 256 karakters is, dan kan het daarna alsnog omdat de combinatie van CGI-URL + 'foute' URL groter dan 256 bytes is.

Daarnaast alloceerd de plug-in tot tweemaal toe 256 bytes (als je een 'foute' URL krijgt), maar geeft deze helemaal niet vrij, dus je hebt ook nog extra memory leaks.
Ik denk niet dat microsoft dit ongemerkt voorbij laat gaan.
Volgens mij staat zelfs ergens in de EULA dat je de software niet mag aanpassen/veranderen.
MS zal denk ik geen ondersteuning meer op je IE geven, als je deze bug hebt. Ook zal de echte patch wel niet meer werken, als je deze alternatieve patch installeert. Kortom, als je nu kiest voor de open-source patches, zul je daar aan vast blijven zitten. Aangezien ze daar de hele IE source niet hebben, zullen ze nooit alle patches snel en goed kunnen maken. Ik denk dat deze patch daarom ook niet zo'n goed idee is.
En MS geeft je nu wel support op je IE?
En hoevaak heb jij al support van mickysoft gehad als je weer eens een een vastgelopen IE hebt???

Leuk hoor dat support van microsoft, maar ik wordt er niet koud of warm van, ik denk dat ze niet begrijpen wat het woord betekend.
met aan passen bedoelen ze de exe aanpassen en distribueren, dit is zeg maar remote aanpassen, wat de gebruiker zijn verantwoordlijkheid is en onmogelijk verboden kan worden mits het voor legale doeleinden dient
Een EULA is nog steeds niet geldig in Nederland en Duitsland. Dus als openwares hun server hier neerzet, is er niks aan het handje.
Ik denk het wel. Er zijn wel vaker Third Party patches voor Microsoft producten verschenen (met een andere overflow in IE geloof ik).
Microsoft heeft dit genegeerd en (iets later) gewoon een eigen patch uitgebracht. Wat verwacht jij dan?
Dat je een patch schrijft is nuttig en handig, maar schrijf dan wel een patch die meer oplost dan creeert aan fouten.. |:(
Het mooie is wel dat je nu ook de nieuwe fouten in de source kan zien, als je een officiele patch gebruikt kan je dat niet weten.

Ik vind het zelf heel goed, al probeert MS de laatste tijd zo snel mogelijk patches te schrijven het duurt meestal toch nog redelijk lang.

Ik zou trouwens liever zien dat MS ze gaat uitbrengen.
MS zal hier toch wel van balen, itt. tot wat de mensen hier denken.

Het probleem van dit soort 'patches' is dat MS er geen zicht meer op heeft, en -terecht- er de verantwoordelijkheid niet voor wil dragen.

Nu al is gebleken dat deze 'patch' je systeem onveiliger maakt dan veiliger. Stel dat men dat verbetert en een nieuwe versie uitbrengt. Wie zegt mij dat deze patch, i.c.m. de nog door MS uit te brengen patches, niet voor problemen zal blijven zorgen?

En wie krijgt de schuld als dit gebeurd? Juist.. dan is het weer 'klote MS dit en klote MS dat'.

Gewoon wachten op de patch van MS, en dit soort broddelwerk (nofi) gewoon links laten liggen. Het verhaaltje 'zie je wel dat ze sneller zijn' is al helemaal pure onzin. Ik kan ook een .bat uitbrengen waar alleen maar in staat 'REM dit is een patch' en dan zeggen dat ik sneller een patch heb, maar zo werkt het niet.

Windows wordt juist instabiel door dit soort 3rd party add-ins. Dit hoort thuis in het rijtje waar bv. ook Norton's systemworks in thuis hoort. Het zou problemen moeten oplossen, maar veroorzaakt ze alleen maar...
n wie krijgt de schuld als dit gebeurd? Juist.. dan is het weer 'klote MS dit en klote MS dat'.
Dan moet Microsoft zelf maar wat sneller reageren waardoor dit soort oplossingen niet nodig zijn. Ik lees hier regelmatig dat de support van MS op IE erg slecht is, dan vind ik het juist goed en grappig dat OS-groepen een patch gaan maken waardoor ze MS alleen maar stangen. Moet MS maar sneller en beter werken.
Dan moet Microsoft zelf maar wat sneller reageren waardoor dit soort oplossingen niet nodig zijn.
quats.

A) deze oplossing is niet nodig; je browser werkt foutloos zonder, je moet alleen als eindgebruiker goed opletten dat je je wel op de site bevind waarvan men beweerd dat je je er bevindt..

B) ik heb liever dat men een goede patch een week later uitbrengen, dan een patch welke je systeem ineens kwetsbaar maakt voor hack-aanvallen. Let op: het beveiligingsgat wat deze open-source 'patch' veroorzaakt is veel ernstiger dan het gat wat het 'oplost'.
Ik lees hier regelmatig dat de support van MS op IE erg slecht is,
nofi, maar de reacties op t.net zijn nou niet bepaald een objectieve bron te noemen waar het MS betreft, laten we wel reŽel zijn...
dan vind ik het juist goed en grappig dat OS-groepen een patch gaan maken waardoor ze MS alleen maar stangen. Moet MS maar sneller en beter werken.
Ik vind het niet grappig. Resultaat is een totaal onbeheersbaar systeem; MS kan fouten in deze rotzooi niet patchen omdat het niet hun rotzooi is. Je krijgt dan de situatie dat je, naast windowsupdate, tientallen sites moet gaan bezoeken om je IE up-to-date te krijgen, en dan moet je maar hopen dat de samenvoeging van al die patches niet voor meer problemen zorgt dan het oplost. Gevolg: duizenden thuisgebruikers met uiterst hackbare computers welke ingezet worden voor DDOS attacks enzovoort. Je ziet, er is niets grappigs aan..

Laat de open-source community zich alsjeblieft bezig houden met datgene waar ze goed in zijn: vervangende software schrijven, ipv. patches.
Het probleem wat er volgens Heise.de bij komt vind ik wel eens tuk serieuzer. Dan update ik liever nog maar even niet.

Ik ben wel benieuwd wat de reactie van Microsoft zal zijn. Vinden zij het wel prettig dat een ander bedrijf (dat nog open source is ook) een patch voor hun software maakt? Ik kan me niet herinneren dat dit eerder is gebeurd voor een security leak.
LOL.

Okay maar serieus, wat is het nut hiervan? De gemiddelde consument installeert updates van Microsoft nog niet eens, laat staan iets van een wazige derde source, bedrijven gaan dit ook echt niet deployen, die wachten op de patch van Microsoft, en open source freaks gebruiken toch al geen IE..... Blijft over een zooitje Tweakers, die na zo'n blunder die patch natuurlijk ook niet meer gaan installeren.... :Z
Ik heb eens de source code gedownload, enige nuttige file lijkt te zijn IETray.cpp

Hierin lijkt het mij dat ze de url die wordt meegegeven gaan rewriten door de fake url eraf te knippen.

Wat het in weze is, is niet eens een patch, maar gewoon een wrapper die calls naar een Navigate functie van IE afvangt, bekijkt wat de url is...... en de juiste boel door laat, alleen met 0,0 bounds checking.

Zeer knullig.

ze gebruiken gewoon een strcpy (!!!! MORONS!!!!) om de urls van de ene buffer naar de andere te kopieren.

NEe goed, het is trouwens niet echt Open Source... de source is wel beschikbaar, maar je mag er bijna niks mee zonder hun toestemming... ndus.. erg limited licence.

Maar wel moedig dat ze de boel beschikbaar stellen hoor! De patch moet niet zo moeilijk zijn, strncpy gebruiken.

void __stdcall CIETray::BeforeNavigateEvent <- dat is de "offending" call die ze gebruiken om in het IE proces te hooken.

Anyways, ik ben geen windows programmeur dus weet er verder ook niet veel vanaf, maar het lijkt mij dus GEEN binary patch maar gewoon een wrapper om een NavigateEvent van Internet Explorer....

<dit stukje weg>

edit:

de-trolliffication
no offense hoor, maar wie haalt het in z'n hoofd om hier -1 overbodig te modereren?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True