Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 76 reacties
Bron: CERT, submitter: MandersOnline

Het CERT heeft eerder deze week gewaarschuwd voor een kritieke fout in Internet Explorer. Als feature voor HTML Help ondersteunt de browser ITS-links, waarmee het mogelijk is om een alternatieve lokatie op te geven voor het geval de eerste niet beschikbaar is. De fout die Internet Explorer maakt is dat aangenomen wordt dat de alternatieve link zich in dezelfde beveiligszone bevindt als de primaire. Door expres naar een niet-bestaand bestand op C:\ te verwijzen en als alternatief een pagina ergens op internet op te geven, zal die internetpagina dus worden behandeld alsof deze zich in de Local Machine-beveiligingsring bevindt. Scripts of ActiveX-componenten die op de pagina draaien krijgen op die manier evenveel rechten als de gebruiker van de browser. Alle versies van IE sinds 5.01 zijn kwetsbaar, op alle versies van Windows van 95 tot Server 2003.

Internet Explorer logo Er zijn al verschillende virussen verschenen (Ibiza, BloodHound, BugBear.E) die misbruik maken van de fout, maar Microsoft heeft vooralsnog geen patch beschikbaar gesteld om het lek te dichten, en er is op dit moment dan ook nog geen echte oplossing voor. Het CERT raadt iedereen aan om geen verdachte links te volgen, anti-virussoftware scherp te houden of een andere browser te gebruiken. Tweakers.net-bezoeker MandersOnline stuurde ons een hulpmiddel voor de laatste tijdelijke oplossing; het aanpassen van het register om het afhandelen van ITS-links uit te schakelen. Het RAR-bestand bevat zowel een .reg met de oplossing als een .reg om de aanpassing ongedaan te maken, voor het geval er problemen ontstaan door het ontbreken van deze functionaliteit in IE. Op deze site kan getest worden op kwetsbaarheid. Wanneer doorgeklinkt wordt naar "proceed to demo" zal op systemen die last hebben van de bug Windows Media Player worden opgestart.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (76)

Hehe grappig, ik heb ook een fix gevonden :).
Als je Getright hebt geinstalleerd onderschept deze exploit.exe :P. Dus ipv dat ie uitgevoerd wordt, krijg je een downloadscherm van Getright, en daarna een script error in IE.
Eerste spotting van malware die gebruik maakte hiervan ITW: 27 maart.

Bloodhound is geen virus, maar een heuristics detection van NAV voor(in dit geval)een bepaalde soort exploit.
BugBear.E is door zo goed als alle vendors gerenamed naar BugBear.C.

De demo is _erg_ misleidend..
De demo gebruikt JS, wat lang niet in alle gevallen gebruikt wordt, de JS gevallen zijn zelfs in de minderheid.
Mensen die hun JS settings aangepast hebben in IE, kunnen nu dus denken dat ze hiervoor veilig zijn, terwijl dat dus zeker niet het geval is.

Ditzelfde geldt voor de mensen die SP2 beta draaien..
Dit staat ook compleet los van (Sun) Java.

Mensen die regelmatig in BV kijken op GoT, weten dat er al een hele zwik IRC-Worms gebruik heeft gemaakt van deze vulnerability...

Dit is waarschijnlijk de meest gebruikte exploit atm.
ik heb ie en bij mij word er ook niets gestart.
misschien komt het omdat ik sp2 beta draai
Ik draai geen SP2 beta en ik zie alleen maar scriptfouten voorbij komen.. er wordt niks gestart..

XP/SP1 met alle patches
Okee, als er in het rood bijstaat dat je eerst mediaplayer moet backuppen, kan je dat het beste ook doen :+

Mijne was weg :Y)
Dat weet ik nu ook jah :+
Dan maar systeemherstel weer eens gebruiken :'(
Moeten ze die exploit op de eu-site plaatsen, is t probleem ook weer opgelost :+
Oplossing van Microsoft: niet meer op links klikken :+
Lol, Iedereen zit wel vol te houden dat alternative browsers niet veilig zijn, maar bij mij met Firefox werkt het toch echt niet, ik heb het net getest, er word helemaal niks gestart, en niks vervangen ik krijg gewoon een wit scherm.

Net nog ff getest met IE6, daarmee word windows media player wel gestart, ben ik blij dat ik Firefox gebruik. :P

[edit]
Zou goed kunnen, maar als er een Mozilla/Firefox variant komt, hoe groot is de kans dan dat je een IE6 of een Firefox variant tegen komt?
Denk dat de kans op de IE6 variant 100x groter is, en laat je daar dan nou net beschermt tegen zijn als je Firefox gebruikt.
niet bij deze proof-of-concept.
Maar je kan er rustig vanuit gaan dat je een variant krijgt die dat wel doet.
Het lijkt erop dat de bug is verholpen in Sp2 voor XP. Net ff die site bezocht en er wordt geen media player opgestart.

Blijkbaar is er dus wel een bugfix, maar da's dus een release candidate (xp sp2).

Edit:
Laat star-saber me net een minuutje voor zijn :-)
/Edit
Ik heb er zelf nooit last van gehad , kan het komen omdat ik Sun Java draai ?

Er moet iets geinstalleerd zijn dat het tegenhoudt , maar ik ben er nog niet 100% achter wat :)

(krijg ook zoals Superstudent een script error , draai alleen geen Getright of andere download manager).

--edit

Mocht iemand een voorbeeld hebben zonder JS zou ik de link wel willen hebben :)
Permanente oplossing voor lek in Internet Explorer :

http://www.mozilla.org :P
of je leest de write-up beter en komt erachter dat ook dat geen oplossing is aangezien je nog steeds die handlers kan aanroepen ook al gebruik je een andere browser....
Use a different web browser

There are a number of significant vulnerabilities in technologies relating to the IE domain/zone security model, the DHTML object model, MIME type determination, and ActiveX. It is possible to reduce exposure to these vulnerabilities by using a different web browser. Such a decision may, however, reduce the functionality of sites that require IE-specific features such as DHTML, VBScript, and ActiveX. Note that using a different web browser will not remove IE from a Windows system, and other programs may invoke IE, the WebBrowser ActiveX control, or the HTML rendering engine (MSHTML). It is possible for a different browser on a Windows system to invoke IE to handle ITS protocol URLs.
Inderdaad. Als je goed leest staat er het volgende: voor gewoon surfen is het weldegelijk een goede oplossing. Echter, sites die gebruik maken van ie-specifieke technieken zijn niet te bezoeken.

De eerste nuttige site die niet werkt in mozilla moet ik nog tegenkomen.

Het andere probleem is het feit dat sommige software ie rechtstreeks aanroept of api gebruikt(?) en dan heb je nogsteeds een probleem.

Maar voor gewoon surfen is firefox denk ik een prima bugfix

@Kris: tja, 99 van de 100x betreft het dan een niet-standaard compliant site en ligt het dus aan de site.

@Jeroen87: okee, windows update. Daar komt dan het gezond verstand om de hoek kijken: welke sites vertrouw je wel en niet? .<div class=r>[Reactie gewijzigd door [Q]]</div><!-- end -->
Het is niet moeilijk om een site te zoeken waar Mozilla niet werkt.

Ga maar eens naar de site van Windows Update, krijg je en leuke mededeling.
Windows Update is de on line uitbreiding van Windows die nog meer mogelijkheden binnen handbereik brengt.

Voor Windows Update is Internet Explorer 5 of hoger vereist.
MS moet ook maar eens aan comptabiliteit gaan werken
De site van mijn school werkt goed in Mozilla tot je gaat inloggen. Dan krijg je een scherm vol her en der verstrooide vensters waar niks mee aan te vangen is.
Boze mails naar de admin leveren op : "is het niet mogelijk voor die site IE te gebruiken?"
Ja zo komen we er dus niet uit.
MS gebruikt een ActiveX control voor Windows Update. Zo gek is het imho ook niet dat je die fout krijgt: met elke niet-IE browser zou er toch niets gebeuren op die pagina.

Je zou natuurlijk eens kunnen proberen hoever je komt met ActiveX voor Mozilla en eventueel een aangepaste useragent string.
ff voor de duidelijkheid:

richtlijn van de RIJKSOVERHEID:

Informatie (van de rijksoverheid, provincies, gemeenten, (openbare)scholen etc.) op het internet dient toegankelijk te zijn voor iedereen.

Dit impliceert dus dat een website ook te gebruiken moet zijn voor iemand die bijvoorbeeld Konqueror (of opera/safari/mozilla) gebruikt.

Het slechte nieuws: het is een richtlijn, het is dus (helaas) niet bindend.

* 786562 Adm.Spock
[quote]
@[Q]
Hij zei een nuttige site!

Een permanente oplossing tegen gelijk welk virus:

http://www.linux.org
[/quote]

<off-topic>
Dom, dom, dom.

Denken dat Linux virusvrij is.... TSSSSS...

Er zijn gewoon nog te weinig mensen die Linux op de desktop gebruiken om bij een Linux virus de noodklok te moeten slaan.
Wanneer Linux ipv Windows op 99% van de desktops had gedraaid, was het verhaaltje omgekeerd geweest.
</off-topic>
als je *iets* meer zou weten van linux, zou je weten dat dit gewoon niet waar is.

Linux is gewoon veiliger dan windoos. en daar zijn een heleboel redenen voor, qua geschiedenis (linux = gebaseerd op unix, wat altijd multi-user is geweest, dus sowieso een hogere focus had op veiligheid als een single-user, single-program systeem als dos/windoos), qua prioriteiten (tegenwoordig ligt bij microsoft de focus ook op veiligheid, maar dat is nog maar kort, bij linux is dat altijd al een issue geweest), en qua ontwikkelingsmodel (bij microsoft worden de mensen betaald om features toe te voegen, en /gevonden/ fouten eruit te halen. bij linux bestende veel vrijwilligers hun tijd aan het *vinden* van fouten en optimalisaties, en er worden regelmatig hele stukken code herschreven omdat ze niet "mooi" genoeg zijn - iets wat bij het commerciele microsoft natuurlijk never gebeurt - vandaar dat ze nu internet explorer van de grond af aan opnieuw moeten gaan maken...).

en dan heb je nog de diversiteit (die bij linux gewoon veel groter is als bij windoos, door de vele aanbieders, en vele forks van bestaande code, die bij windoos nooit zouden kunnen gebeuren omdat die code simpelweg proprietary is)

moraal: inbreken zal altijd kunnen, of je nu linux of windoos gebruikt, maar die virussen zijn echt te wijten aan fundamentele blunders bij de bouw van windoos, en als iedereen linux gebruikte zouden virussen nooit zover gekomen zijn als nu.
indeed. ik heb net op het systeem van mijn vader firefox gezet. ik heb geen administrator rechten, en het bedrijf waar hij werkt heeft gezorgd (zo goed als mogelijk is, kennelijk) om het systeem zo te maken dat er nix te vernielen valt. niet gelukt, dus - als dat met windoos uberhaupt kan: ik zou zo de hele map program files kunnen verwijderen. ongelofelijk. en een of ander virus of wat dan ook zorgt steeds weer det de homepage van inet exploder een of andere pron site is, dus vandaar dat pappie een andere browser krijgt... en die kan ik gewoon installeren door niet de setup te nemen, maar het zip bestand uit te pakken in program files!!! hoe is het in godsnaam mogelijk - dat zou je in linux dus echt niet voor elkaar krijgen, he, in systeem mappen gaan klooien als gewone user!!! schaam je, microsoft!
Als je er niks van weet, moet je je mond houden. Ik raad iedereen aan dit artikel te lezen: www.theregister.co.uk/2003/10/06/linux_vs_windows_viruses/
Nee dat impliceert helemaal niet dat het beschikbaar moet zijn voor die andere browsers. Het impliceert wel dat de gebruiker in ieder geval EEN manier heeft om er bij te komen. En dat is mogelijk, met IE.

Voor iedereen betekent niet voor iedere browser. Het betekent dat mensen met handicaps en allerlei andere verschillende gebruikers de informatie moeten kunnen verkrijgen.

Oh en Jeroen_91. Leuk artikel, maar wel HEEL erg makkelijk en open deuren. Ze spreken zichzelf tegen in dat artikel. Eerst zeggen ze dat als Linux veel meer gebruikt zou worden door de "gewone" gebruiker dit niet virussen zou opleveren. Later in het document halen ze juist aan dat Windows gebruikers bijna allemaal met Outlook of Outlook Express werken en daardoor erg kwetsbaar zijn. Dat zou in Linux wereld ook kunnen gebeuren, waarmee ze zichzelf op meerdere maniere tegenspreken. Ok Er zit zeker waarheid in het verhaal, maar ze gaan ook wel erg makkelijk voorbij aan een aantal zaken en zijn wel HEEL erg Pro linux.
@cyberdeck:
Nee dat impliceert helemaal niet dat het beschikbaar moet zijn voor die andere browsers. Het impliceert wel dat de gebruiker in ieder geval EEN manier heeft om er bij te komen. En dat is mogelijk, met IE.
En wat nou als IE niet beschikbaar is voor jouw platform? (Linux, FreeBSD, etc)
Dus als het zou gaan om een IE only site, dan zou het niet in alle gevallen beschikbaar zijn.
Sinds de Rabobank VORIGE MAAND zijn telebankieren Mozilla compatible heeft gemaakt ben ik het met je eens......
Ehmmm thegve, ik telebankier al twee jaar met Mozilla bij de Rabobank :?.
Maar dat is natuurlijk logisch ;) Zij willen dat je ie gebruikt. En btw gebruikt windowsupdate allerlei meuk om in je systeem te kijken wat gelukkig niet met moz kan :)
Tsssssssssssssss, het is zeer dom om te denken dat de Linux desktop dezelfde naieviteit heeft als de Windows desktop.

Linux is zowiezo anders op gebouwd, hierbij heeft een gebruiker standaard uit de installatie alleen rechten in zijn gebruikersomgeving (/home/gebruiker) en niet over het hele systeem.

Tevens als je als randdebiel een gebruiker aanmaakt zal die geen "administrator" rechten krijgen, dit in tegenstelling tot wat ik in mijn omgeving zie, 4 administrators voor 4 gebruikers.

Het gaat om de opbouw van het OS om dit zowiezo te verminderen en/of te ontmoedigen.

Executeerd iemand dan toch de "virus": als administrator", dan ligt het aan de gebruiker, niet aan het OS !!!!
...IE-specific feautures such as DHTML, ...
Sinds wanneer is DHTML een specifieke IE-feature? De laatste keer dat ik checkte kon Mozilla prima overweg met HTML, CSS en javascript - zelfs nog beter dan IE ;)
Dat er inderdaad nog idioten rondlopen die scripten met het document.all model zegt meer iets over gebrek aan kennis dan over de DHTML-mogelijkheden van andere browsers.
Crisp : De Verdediger van DHTML :+ :Y)
xHTML is zeker van Mozilla dan :P

IE verkloot elke wc3 correcte site maar dan hebben we het nog niet over het PNG(opvolger van gif) verhaal gehad.
Dat werkt al helemaal niet fatsoenlijk onder IE(transparantie dan he).
It is possible to reduce exposure to these vulnerabilities by using a different web browser.
Mozilla gebruiken is dus in ieder geval beter dan IE blijven gebruiken, maar helemaal veilig is het niet.
Note that using a different web browser will not remove IE from a Windows system,
Het heeft te maken met dat IE toch op het windows systeem staat. De oplossing is dus IE volledig van je systeem te verwijderen.

Gelukkig heb ik IE niet op mijn systeem.

* 786562 Flipz
Helaas helpt dat in dit specifieke geval geen ene moer. Het gaat in dit geval om het help-systeem in Windows en ook als je een andere browser als default instelt, zul je IE blijven krijgen als je in een app de help-functie gebruikt. Dat kun je niet omzeilen, met dank aan de diepe integratie van IE in Windows.
Permanente oplossing voor lek in Internet Explorer :
http://www.mozilla.org
Zorg dan ook dat je firewall MsIE voor alle protocollen en adressen blokeert.

Deze "kritieke fout" lijkt verdomd veel op een probleem dat dat reeds in MsIE 4.0 zat!

Met een foute URL wordt shdoclc.dll op lokaal nivo aangesproken en vervolgens met deze lage beveiliging krijg je een druiper.

res://C:\WINNT\system32\shdoclc.dll/pagerror.gif of res://mshtml.dll/repost.htm
\[sukkel-mode]
Ik verbaasde me als dat de test bij mij niet werkte |:( :+
Even vergeten dat ik altijd met Mozilla werk.
\[/sukkel-mode]
Het is nog vroeg vandaag. :P
en als je batterij van de wagen plat is ga je ook een andere kopen, omdat er momenteel geen in voorraad zijn in de garage ?

ik snap niet dat mensen hier een inzichtvol voor durven geven

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True