Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties
Bron: C|Net

Virus - groene doodskop (kleiner dan kleiner)Microsoft heeft gisteren een patch vrijgegeven voor Internet Explorer waarmee een lek gedicht wordt dat al negen maanden bekend is. De flaw zit in ActiveX en is afgelopen maand gebruikt door een groot aantal sites om onder meer een keylogger te installeren bij de gebruiker; dit lek staat bekend als Download.Ject. Microsoft heeft nu besloten om dit lek te dichten door ActiveX de mogelijkheid te ontnemen om gegevens weg te schrijven naar het besturingssysteem. Dit komt er op neer dat het ADODB.Stream-ActiveX-component niet meer naar de harde schijf van de pc kan schrijven. Het is de bedoeling dat deze wijziging de standaardconfiguratie gaat worden voor Windows. Dat is echter niet in één keer te bereiken en deze patch is dan ook slechts een stap in de goede richting, aldus de verantwoordelijke manager van Microsoft.

Moderatie-faq Wijzig weergave

Reacties (60)

Indien deze bestanden op je pc staan:
- kk32.dll
- surf.dat

(doe in dos: dir /a /s /b %systemdrive%\kk32.dll en dir /a /s /b %systemdrive%\surf.dat)

Heb je kwaadaardige code (keyloggers) op je pc staan die door dit lek naar binnen zijn gekomen.
dos???

Bedoel je wellicht de command prompt?
Ik snap niet dat een stuk code als ActiveX niet in een Sandbox draait, je hoeft de code nog niet eens veilig te schrijven zolang het maar aan 1 simple regel voldoet. Als iemand er doorheen komt, komt het in een omgeving die niks kan.
In Linux is dat bv een chroot jail, wat over het algemeen alleen toegepast wordt als het echt extreem secure moet zijn, dus zelfs als je een prog kraakt, dan nog kan je alleen maar in die jail bewegen. En dat is meestal zeer beperkte ruimte. Een chroot jail zit zo dicht dat je alle programma's die noodzakelijk zijn ( dat is totaan het programma om een directory te bekijke toe ) erin gekopieeerd moet worden.
Als ActiveX nu geschreven was door een 3e rangs bedrijf die snel een oplossing nodig had, maar dit is MS, een groot bedrijf dat weet dat ActiveX een mooi maar riskante onderneming is, en dat het dus heel verstandig was geweest om de boel goed dicht te timmeren, java vraagt mij wel netjes om toestemming zodra er iets gestart wordt dat meer doet dan een spelletje of menu. ( cq gegevens opslaan op disk, server poort open zetten, programma's uitvoeren ).
Helaas weer een patch die ontoerijkend is zoals deze demo bewijst :

http://62.131.86.111/security/idiots/malware2k/installer.htm

(voert cmd.exe /c pause uit)
Dit ziet er inderdaad niet lekker uit:
var obj=new ActiveXObject("Shell.Application");obj.ShellExecute("cmd.exe","/c pause")
Als met zo'n simpele code al een programma kan worden opgestart... Maak er ff van cmd en dan iets met format en er kunnen hele verkeerde dingen gebeuren.

Er zijn natuurlijk wat oplossing voor behalve niet Internetten of alleen op links klikken die je vertrouwt:

Firefox
Mozilla
Opera

Reactie op rewan:
Als je cmd hebt opgestart, kan je natuurlijk ook het commando ftp opstart, daar kan je natuurlijk wel wat mee doen.
:D

Ik gebruik Kaspersky personal op m'n PC en die sloeg meteen alarm bij het openen van deze link in IE. Bij m'n vriendin op haar PC staat nog Norton en die gaf geen kik :P
CA doet het nog mooier. Ik krijg mooi een melding maar de cmd.exe wordt evengoed gestart |:(
LOL Volgens mij is het zo dat sinds Schouw @ GoT Moddie is dat iedere Tweaker zowat Kaspersky draait ?? :D

* 786562 nero355
Ik draai Kaspersky meer sinds we op mijn werk ook hierop zijn overgestapt. Het is gewoon een stuk stabieler en betrouwbaarder dan Norton, en je merkt minder performance verlies
Met versie 5 is dit helaas anders.
Vooral de real time scanner.
Op e.e.a. manier voert de scanner ontzetten veel checks uit waardoor bij een tragere PC het 5 minuten langer duurt voordat ie is opgestart.
AntiVir meldt het ook :P

@ eymey
lijkt me erg onwaarschijnlijk dat Norton het niet meldt en freeware scanners wel. weet je zeker dat ie up2date is?

@nero355
welke Schouw @ GoT Moddie? :?
Als ik de pagina open, zie ik een popup verschijnen. Als ik het laat doorgaan zie ik inderdaad de cmd verschijnen met een pauze. Dit op XP Pro SP1 met alle updates tot en met 3 juli 2004 + IE 6.0.28 SP1.

Als ik het voor de tweede keer doe en de popup meteen afsluit met kruisje, krijgt de eerste pagina een error en gaat het feest niet door.

Zou een popup killer werken?
gegevens weg te schrijven
Volgens mij schrijft "cmd.exe /c pause" nix naar je hd?? |:(

Dat neemt niet weg dat het idd schadelijk is dat ze zomaar programma's kunnen uitvoeren, lang leve Opera ;) ( no flame intended )
tja en als t nu eens cmd.exe /c del c:\windows was ? :) of een ftp aanroep om een bestandje op je schijf te zetten

dit is alleen maar een onschuldig demotje maar ga er maar gerust vanuit dat je hiermee alles op je pc kan doen

die patch van microsoft is een lachertje
Krijg daar alleen maar een melding van McAfee (JS/Exploit-DialogArg.b) te zien. ;)
virus scanners zijn vrij nutteloos in de regel, een paar letters aanpassen in de programmacode en hij herkent hem niet meer, dus daarop vertrouwen moet je absoluut niet
werkt niet in ie6 :(
Hier ook niet. Mozilla 1.7, Suse 9 ;)
In de tekst staat: "Dat is echter niet in één keer te bereiken en deze patch is dan ook slechts een stap in de goede richting, aldus de verantwoordelijke manager van Microsoft."
Mcafee slaat ook alarm
@darkraver8
Norton ziet hem dus echt niet... (2002 helemaal geupdate)
Niet dat je NAV2002 echt up-to-date kan noemen naar 2004 doet 't ook niet. ;)
Daarom,

hiero NAV2004. Geeft geen sjoege, totally up to date :P
Gek, maar bij mij zonder patch (Windows 2000 SP4 en IE6) wordt helemaal niks opgestart. Norton grijpt overigens ook niet in...
bij mij geeft Sophos een alert dat het Win32/Psyme-AA virus geinstalleerd wordt op bovengenoemde site..
9 maanden |:(

Zelfs het Amerikaanse Department of Homeland Security raadt het gebruik van Internet Explorer af:
'The Department of Homeland Security's U.S. Computer Emergency Readiness Team touched off a storm this week when it recommended for security reasons using browsers other than Microsoft's Internet Explorer.'"
Het is daarom des te verbazingwekkender dat ditzelfde Homeland Security een exclusief contract heeft met Microsoft voor de software.
Het is ADODB.Stream, niet ADODB.screen.
Zie Microsoft KB870669.
Hmm, ik heb even op die link in het artikel naar de MS-site geklikt, maar daar staat dat er geen patch is, maar een "configuration change", wat dat ook moge zijn.

Sterker nog: als je goed leest (dat doet dus blijkbaar niemand), staat er zelfs dat het lek helemaal niet gedicht is, maar dat deze wijziging beschermt tegen deze specifieke aanval: "...that improves system resiliency to protect against the Download.Ject attack."

Er staat ook dat ze de komende weken een serie patches gaan uitbrengen die "additional protections" bieden (klinkt vertrouwenwekkend als je zoiets leest op de MS-site, niet?), later deze zomer komt WinXP SP2, die onder andere "unwanted downloads" moet "reducen" (elimineren lijkt mij een beter streven), en daarnaast hebben ze het er nog over dat er ooit een "comprehensive update" van IE komt die nog meer problemen oplost of zo (er staat gewoon niet wat die update moet gaan opleveren, alleen maar dat ze hem eerst goed zullen testen).

Met andere woorden: dit lek is helemaal niet gedicht, maar ze beloven dat het ooit goed komt.

Gelukkig hebben tweakers weer nergens last van want die gebruiken gewoon geen internet explorer ;-)
Het werd tijd dat Microsoft eens wat aan active-x ging doen want dat is zo lek als een mandje. Het lijkt tegenwoordig wel of er steeds sneller gaten worden gevonden in producten van MS terwijl je toch zou mogen verwachten dat ze de meeste gaten inmiddels wel gedicht hebben.
Dat is echter niet in één keer te bereiken en deze patch is dan ook slechts een stap in de goede richting, aldus de verantwoordelijke manager van Microsoft.
Het ziet er ook naar uit dat ze heel wat gaten te stoppen hebben. Straks hebben ze active-x zo gepatched dat er ook eigenlijk niets meer mee te doen valt.
beveiliging stond voor het inet tijdperk (dus alle win9x) niet als belangrijk op het lijstje
het is echt maar sinds een jaar dat men er actief iets probeerd aan te doen

die dingen zoals active-x zijn heus niet op 1 dag ontwikkelt hoor, achteraf blijkt gewoon dat er een backdoor in zit voor misbruik
win9x en windows xp zijn totaal verschillend
win9x is duidelijk voor de users
terwijl winxp een afstammeling is van win2k wat weer een NT product is. hierin staat 'veiligheid' voor alles. de grote fout naar mijn idee zit 'm er dan ook in dat in windows alles teveel wordt geintegreerd waardoor je exploits als dit wel erg vergemakkelijkt.

kun je het direct een troll noemen.. maar onder andere browsers komt deze fout niet voor omdat deze los van het systeem staan.

wat ik trouwens ook wel leuk vind aan deze fout is altijd dat windows een doel is omdat het de meerderheid gebruikt. echter deze exploit komt in combinatie met een fout in IIS. IIS is niet het meest vertegenwoordigd op het internet maar apache. hieruit valt dan ook maar 1 ding te concluderen en dat is dat windows tegenover andere producten van lagere kwaliteit gegrammeerd is. ik ben dan ook van mening dat microsoft hetgeen waar ze nu al meer dan een jaar druk over doen (veiligheid voor de rest te stellen) ook eens daadwerkelijk doet en niet na 9 maanden met een patch aankomt
FYI:
In de write-up bij deze regkey (want dat is de fix eigenlijk) staat ook dat het potentieel intranet apps die de functionaliteit gebruiken kan breken.

Een stap nemen die een functionaliteit breekt (net zoals SP2 voor XP een aantal software leveranciers problemen gaat bezorgen) doe je niet in één keer.

En voor wat betreft je IIS "argument"...
Alleen IIS5/6 (windows2000/2003) servers die niet in april gepatched zijn met ms04-011 en misconfigured zijn konden misbruikt worden als delivery mechanisme voor de backdoor.
En voor wat betreft je IIS "argument"...
Alleen IIS5/6 (windows2000/2003) servers die niet in april gepatched zijn met ms04-011 en misconfigured zijn konden misbruikt worden als delivery mechanisme voor de backdoor.


Je beseft toch wel dat je met dit feit zijn argument juist versterkt?
het is echt maar sinds een jaar dat men er actief iets probeerd aan te doen
dat MS er actief wat aan probeerd te doen,
bij solaris, unix, en later linux, stond veiligheid al veel eerder op de prioriteiten lijstje.
Uiteraard, maar daar werden al veel eerder multi-user systemen gebruikt, met belangrijke data. Dat wil je natuurlijk wat beter beveiligen dan een home-pc\\\\\\\'tje om wat spelletjes te doen en briefjes te typen (win95 computer) :)
die dingen zoals active-x zijn heus niet op 1 dag ontwikkelt hoor, achteraf blijkt gewoon dat er een backdoor in zit voor misbruik
je zou je bijna dingen gaan afvragen...
'windowsupdate stuurt geen gegevens naar microsoft'
Men "doet" helemaal niks aan ActiveX. Als je het artikel leest kun je zien dat Microsoft alleen dit Active-X component iets wijzigd.

Wat nou niet bepaald het enige Active-X component is wat standaard op je windows PC staat en schrijfrechten heeft op je hardeschijf.
Dit is inderdaad een verstandige zet van Microsoft. Ik vraag mij alleen toch nog steeds af waarom kwaadwillige code zo gemakkelijk kan 'inbreken' met de deuren open; daar moeten de programmeurs toch eerder aan gedacht hebben. De ActiveX technologie opzich (buiten de lekken ;) ) vind ik wel goed en handig.
Als de programmeurs op al die kleine details (ik weet het sommige zijn gigantisch) moet letten, geraakt zo'n active-X-component nooit af. Je kan als programmeur nu eenmaal geen waterdicht programma/script schrijven. Neem het hen niet kwalijk (kijk naar mezelf die het moeilijk vind alle lekken te dichten in zijn site :D)

Als je dan toch "iets" de schuld wil geven, steek het dan op het feit dat men 9 maanden heeft gewacht om de patch uit te geven. Zo heeft men nu eenmaal de kans gegeven om al die keyloggers en andere spyware zich te laten installeren. Hieraan kan men integendeel wel iets doen. *kuch*sneller uitgeven*kuch* ;)
Wat een enorme onzin. Als programmeur moet je beginnen met een VEILIG ONTWERP. Als je ontwerp niet veilig is (toestaan schrijfacties naar disk / OS / etc) wordt je software nooit veilig. Ik wil het al helemaal niet hebben over de tijd die het gekost heeft dit te patchen, terwijl Bill beweert dat ze binnen 48 uur een oplossing voor security problemen hebben.
Ik vind jouw verhaaltje over lekdichte ontwerpen wel héél mooi, maar beveiligingslekken kunnen nu eenmaal in jouw verwezenlijking van dat ontwerp insluipen.
Ik denk ook niet dat Felix ontkent dat een goed ontwerp een garantie is voor foutloze software, alleen zei je in je post daarvoor heel wat anders. Je zegt dat je als programmeur niet op de details hoeft te letten, en dat is absoluut niet juist om verschillende redenen. Om eens wat te noemen gaat dat van de veronderstelling uit dat dit soort lekjes details zijn: als je echter een gedegen beveiligingsmodel had ontworpen was dat niet zo geweest.

(om maar eens een heel simpel voorbeeld te noemen: in een model waarin software voor elke handeling specifieke toestemming moet krijgen (van de security manager, gebruiker, wat dan ook) is de kans op een component dat per ongeluk te veel mag doen erg veel kleiner dan in een model waarin je dingen die niet mogen specifiek moet verbieden; in het eerste geval kan je component nog zo buggy geschreven zijn, maar als je security manager geen expliciete toestemming verleent kan ie niks schadelijks doen)
Ik vind jouw verhaaltje over lekdichte ontwerpen wel héél mooi, maar beveiligingslekken kunnen nu eenmaal in jouw verwezenlijking van dat ontwerp insluipen. Het ontwerp van mijn software/webapplicaties is ook waterdicht, ook al vind ik in mijn code regelmatig lekken!
Hetgener hieraan wel te verhelpen is om zo snel mogelijk een patch uit te brengen die jouw codeerfout oplost! En dit liefst zo snel mogelijk.
vanaf dag 1 dat microsoft met activeX uitkwam, hoorde je al van alle kanten dat dit misbruikt zou kunnen worden. en dat gebeurt ook om de haverklap.
het idee is leuk, maar de gekozen oplossing lijkt wel op dweilen met de kraan open.
Huh ,

een beetje fatsoenlijk programmeur , zeker als je iets bouwt waarvan je weet dat het enorm veel security risks met zoch mee kan brengen (code om via internet naar eimands harde schijf schrijven schreeuwt gewoon om extra aandacht), schrijft met zijn code ook de nodige test-cases .

Die code zal echt niet ff'tjes in elkaar worden geflanst . (althans, dat zou niet mogen gebeuren)
Deze fix heeft niets met de mogelijkheden van ActiveX te maken. Het zorgt er alleen voor dat het component ADODB.Stream niet meer vanuit IE aangemaakt kan worden. Das compleet iets anders.
ActiveX=disabled= No problemos

Ik zet bij klanten die erop staan dat ze IE willen blijven gebruiken, sowieso ActiveX uit.

Wat heb je nou aan die blurry shit

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True