Jacht op lekken en bugs in Windows XP SP2 geopend

Hoewel pas een paar dagen geleden geïntroduceerd, is de jacht op beveiligingsfouten in Service Pack 2 voor Windows XP al volop gaande, zo meldt InfoWorld. SP2 wordt beschouwd als een grote stap voorwaarts op het gebied van de veiligheid van computers, en zou moeten bewijzen hoeveel waarde Microsoft hecht aan security. Alle bestaande lekken zouden dan ook volledig gedicht moeten zijn; zo wordt de beruchte Blaster-worm geblokkeerd door de vernieuwde firewall. Analisten menen echter dat nieuwe manieren om kwaadaardige code op een systeem te installeren binnen enkele maanden zullen opduiken. Deze zullen naar verwachting gebruikmaken van e-mail, instant messaging en ander internetverkeer dat door de firewall wordt toegelaten. Vermoedelijk zullen ook bepaalde applicaties die een aanpassing aan de firewall vereisen, doelwit worden. Hierbij kan gedacht worden aan bijvoorbeeld spellen en p2p-tools als Kazaa en Bittorrent, omdat deze afhankelijk zijn van verkeer van buitenaf.

Windows logo / vlag (medium) Ook de nieuwe softwarematige geheugenbescherming zou kwetsbaar zijn. Hoewel de data execution prevention (DEP) is bedoeld om buffer overruns te voorkomen, zou de uitvoering hiervan zodanig zwak zijn dat deze eenvoudig te omzeilen is. Deze potentiële zwakheden daargelaten, vertegenwoordigt SP2 volgens velen desalniettemin de meest veilige versie van Windows tot nu toe, en laat Microsoft ermee zien dat het vastberaden is de strijd tegen ernstige beveiligingsfouten te winnen.

Reacties (73)

Sfynx 15 augustus 2004 23:34

De gemiddelde boerenlul checkt z'n mail onder een account met Administrator-rechten. Je kan het vergelijken met alle meuk draaien als root in Linux/UNIX. Bij een nieuwe installatie van Windows kan je meteen extra gebruikers opgeven, die mooi allemaal Administrator-rechten krijgen. En het werkt goed, dus laten de meesten het maar zo... terwijl een hoop malware hun werk niet kan doen zonder deze beheerdersrechten.

Als dat niet verandert, is elke simpele buffer overflow al genoeg om volledige toegang te krijgen tot het systeem, in plaats van alleen het user account van het slachtoffer.

Thomix

@Sfynx • 16 augustus 2004 07:53

Norton Antivirus wil _niet_ updaten (is zelfs een known issue) zonder admin rechten. Dus zet je je pc's als user ipv admin voor de veiligheid, werkt je virusscanner niet meer.
En RunAs is ook geen optie, daar je wil dat dat automatisch gaat.
Het is echt niet zo dat alleen brakke el goedkopie software adminrights nodig heeft.

StGermain @Thomix • 16 augustus 2004 10:24

Voor bedrijven gebruik je dan ook de corporate versie, maar daar heb je als thuisgebruiker natuurlijk niet zoveel aan...

Ids Lupo @Sfynx • 16 augustus 2004 00:02

Waarmee je eigenlijk zegt dat er ook iets aan de opvoeding van de gebruikers schort. Dit is iets wat microsoft op een of andere manier zou moeten inbouwen. Net als dat tekstje ' klik start om te beginnen'
Voorbeeldje: bij het linux systeem wat ik recent geinstalleerd heb, staat standaard als achtergrond bij de root een scherm met bommetjes erop. De andere users, die je bij installatie moest inrichten, hadden standaard een desktop met waaiend riet. En de computer start standaard niet in de root.

Sfynx @Ids Lupo • 16 augustus 2004 00:07

Dat klopt ja. De gebruiker kan zelf al veel doen om bepaalde risico's te verminderen. Omdat niet alle gebruikers evenveel ervanaf weten, zou Microsoft inderdaad enige waarschuwing moeten geven over Administrator accounts, iets wat ik eigenlijk noiot ben tegengekomen. In documentatie van UNIX en varianten is het een standaardwaarschuwing om root zo min mogelijk te gebruiken.

ajvdvegt @Sfynx • 16 augustus 2004 12:40

Is er al: met rechts klikken, en dan 'run as' kiezen.

Verwijderd @Sfynx • 16 augustus 2004 12:34

Wat microsoft dan ook moet doen is het snel toegankelijk maken van tijdelijke admin rechten, zoals 'su' in linux.

FireWood @Sfynx • 16 augustus 2004 18:58

Dan moet je ten eerste de service runnen.
Ten tweede moet je weten dat het kan
Ten derde soms is dat niet mogelijk(configuratiescherm)
Ten vierde, waarom krijg ik gewoon niet een vraag om tijdelijke rechten als ik het nodig heb?

bredend @Sfynx • 16 augustus 2004 00:31

Als admin/root kan je tenminste software installeren zonder foutmeldingen.
Kan je lekker doorklikken en zo snel mogelijk doen wat je wilde doen: het programma gebruiken.

Verwijderd @bredend • 16 augustus 2004 09:19

Kom op zeg. Of het nu onder windows of onder linux is: een applicatie installeren doe je toch met 'runas' (onder windows) of gebruik een install manager onder linux zoals bijvoorbeeld Yast (onder SuSE linux).

_werken_ met een account met admin rechten is vragen om problemen en zou door iedere systeembeheerder met alle macht uitgebannen moeten worden. Het is IMO gewoon DOM en vooral niet nodig om standaard met admin rechten op een pc in te loggen.

ppl @Verwijderd • 16 augustus 2004 12:01

Runas werkt alleen voor .exe files. INF en msi files zijn dan niet meer met runas te installeren, ook niet als je er een snelkoppeling naar maakt en die met runas gaat runnen.

Onder Windows moet je wel werken als admin om iets te kunnen installeren of iets in het systeem te kunnen instellen.
Een gewone gebruiker kan het niet en met de runas service is het veel te beperkt.
Simpel gezegt is dat hele runas dus bijna niet bruikbaar.

De variant onder unix/linux daarentegen stelt je instaat om meer dan alleen maar installatie te doen. Dat verschil is wel dermate groot dat het gewoon niet met elkaar te vergelijken valt.

Zoals iemand anders al aangeeft: je kunt de accounts een beetje afstellen door ze poweruser te maken ipv administrator of door ze bepaalde rechten toe te kunnen zoals onder unix/linux mogelijk is.

Metal Baron @Verwijderd • 16 augustus 2004 10:07

Let's face it: de meeste gebruikers hebben gewoon geen flauw idee van waar ze mee bezig zijn. Het is daarmee ook een beetje de taak van Microsoft er op wat voor manier dan ook voor te zorgen dat dit soort gebruikers niet standaard op een admin account zitten te werken.

MacOSX bijvoorbeeld regelt dat handiger: daar heeft de 'gewone' gebruiker vaak ook een admin account, maar daar richt je niet zoveel schade mee aan. De root account kan je alleen maar gebruiken als je weet hoe dat moet, en dat weten alleen de mensen met veel verstand van MacOSX of Unix. Zoals het hoort dus.

Tijger @Verwijderd • 16 augustus 2004 11:00

Huh?
Root account is hetzelfde als de NT Administrator account, verder kent NT nog Power Users en gewone Users (grofweg, NT kent er nog veel meer namelijk).

Dus wat jij zegt is dat een OSX user een root account, een administrator account en een user account heeft? Lijkt mij wat onwaarschijnlijk.
Bovendien vraagt OSX om je root password bij zaken waar dat voor nodig is, niet om je 'administrator' password, zelfde systeem als Run As dus.

wimmi @Verwijderd • 16 augustus 2004 13:10

Kom op zeg. Of het nu onder windows of onder linux is: een applicatie installeren doe je toch met 'runas' (onder windows)

Is het je wel 's opgevallen dat na een installatie van *welk* willekeurig programma/pakket de vraag komt:

Wilt u dit programma nu starten?

PAS OP!!! Je draait dan onbedoeld toch als administrator(!!!) dat leuke programmaatje en het onbekende stukje spyware dat stiekum was mee verpakt!

Verwijderd @Verwijderd • 16 augustus 2004 13:50

@ppl
Je moet je oogkleppen eens af doen. Op dit gebied kan Unix niets meer of extra's dan Windows.

In Window kun je ook bij user alles regelen met betrekking tot wat ze mogen doen.
Je kunt in XP ook gewoon een extra aminstrator sessie openen om een install te doen, als "run as" niet afdoende is.

Er is geen probleem aan de kant van het OS. Er is een probleem aan de kant van de gebruikers en applicatie software. Mensen willen simpelweg geen ' user' en 'admin' account. En veel applicatie software regelt zijn zaakje zo slecht, dat ze administrator rechten vereisen, terwijl daar geen enkele reden toe is.

ppl @Verwijderd • 16 augustus 2004 19:57

XP is maar 1 van de vele Windows versies, er zijn ook nog genoeg mensen die 2000 draaien of zelfs NT 4.0, voornamelijk bedrijven.

Maar vertel eens wat meer over die extra admin sessie openen?

Met su en sudo kom ik toch echt wel waar ik zijn moet. Het maakt niet uit wat ik run of config, ik kan dat heel simpel doen, er zit geen beperking aan de kant van het bestandstype, dat zit in Windows dus wel. Als je het in XP anders kan doen is dit dan specifiek iets voor de professional editie of voor de home edition? Voor de professional heb je er geen ruk aan aangezien men home edition draait en die is aardig beperkt in dit soort keuze mogelijkheden.

Verwijderd @bredend • 16 augustus 2004 02:17

waar is de +1 sarcastisch ?

n4m3l355 @Sfynx • 16 augustus 2004 02:31

dat is al een discussie gaande sinds windows het uberhaubt toelaat om verschillende usr lvls te hebben echter met het toevoegen van meer dan 600 usr lvls entrys zou het naar mijn idee ook verder uit het beeld te verhelpen moeten zijn
verder zoals je al aangeeft een simpele buffer overflow is voldoende om usr lvl te veranderen. is het dan ook niet zo dat deze fout te wijten valt aan de systeemopbouw van windows ipv het gebruik van windows zelf? openbsd of linux is het stukke lastiger om een bufferoverflow te creeeren en daar hoor je dit soort problemen nooit van ondanks dat veel usrs gewoon inloggen als root.
de essentie ligt naar mijn idee dan ook eerder in de kernelopbouw en de systeemopbouw van windows zelf ipv het gebruik van windows daarnaast moet software zo gemaakt zijn dat zelfs risicovol gedrag van usrs aan banden wordt gelegd door het systeem en niet dat het systeem de usrs aan banden legt

TinusH777 @Sfynx • 16 augustus 2004 09:17

Het hele probleem met Windows, maar ook *nix is:
rechten User = rechten Aplicatie
Dit zou losgetrokken moeten worden: iedere applicatie zou by default niet rechten mogen hebben om resources als netwerk, schijf etc... te mogen genaderen. Tenzij je deze rechten zelf toekent.

Verwijderd @Sfynx • 16 augustus 2004 10:49

Helaas wordt daar door sommige software ook rekening mee gehouden en werkt die domweg niet onder minder dan Administrator rechten. Om een voorbeeld te geven: MSI Corecenter wat bedoeld is om de temperatuur en fansnelheid van je moederbord en cpu te controleren en waarmee je ook eventueel wat kunt overklokken. Aan de ene kant is er gezien dat laatste wat voor te zeggen dat niet elke "Poweruser" dat kan gebruiken, maar het blijft irritant dat ik Administrator moet zijn om de temp van mijn cpu te kunnen checken.

Tijger @Verwijderd • 16 augustus 2004 11:03

Da's volkomen logisch, opvragen van temperatuur is een directe communicatie met hardware en dat is nu juist iets wat een gewone user niet zo mogen kunnen doen.

Je zou kunnen proberen om dat programmaatje met Run As te draaien maar die dingen zijn meestal zo matig geprogrammeerd dat Run As niet goed werkt.

Sfynx @Tijger • 16 augustus 2004 14:57

SpeedFan werkt prima als Power User hier.

Jace / TBL 15 augustus 2004 23:15

Hoewel de data execution prevention (DEP) is bedoeld om buffer overruns te voorkomen, zou de uitvoering hiervan zodanig zwak zijn dat

Hoe het met de uitvoering zit weet ik niet, maar het feit dat het alleen op AMD 64bit cpu's werkt lijkt me niet al te hoopgevend.

Verder vraag ik me af of MS heeft nagedacht over software die van data execution afhankelijk is, want die is er namelijk zat. Al was het maar de progs die zijn gecompressed met ASPack enzo.

twiFight @Jace / TBL • 16 augustus 2004 00:24

Het werkt alleen hardwarematig op bovengenoemde processoren. DEP wordt voor overige processoren softwarematig uitgevoerd, dat welliswaar niet zo effectief is, maar nog altijd beter dan niks.

jochemd @Jace / TBL • 15 augustus 2004 23:50

Het is ronduit teleurstellend dat DEP alleen op AMD64 en Itaniums werkt. OpenBSDs W^X technologie, die een vergelijkbaar effect heeft (sommigen beweren zelfs dat write-or-execute beter is dan no-execute), werkt namelijk ook op i386 systemen. Als een handjevol hackers dit kunnen maken, waarom heeft Windows XP SP2 dat dan niet?

Volgens mij geeft Microsoft ondanks alle ellende van de afgelopen jaren security nog steeds niet de aandacht die het verdient.

Verwijderd 16 augustus 2004 01:40

Het valt me hier op dat men microsoft overal verantwoordelijk maakt, ook in de discussie over gebruikers. Dit past typisch in the sue them cultuur die er in de vs op het ogenblik al heerst.
Ik vind nog steeds dat mensen zelf verantwoordelijk zijn voor hun computers. Mensen moeten zich maar wat meer verdiepen in de materie alvorens te gaan klagen over van alles en nog wat. PC's zijn niet gebruikersvriendelijk zoals TV's dat zijn, en ze zullen dit ook nooit worden. Natuurlijk moeten beide kanten iets doen, maar ik vind niet dat MS overal maar voor geblamed moet worden.

Het is soms zelfs storend te noemen hoe mensen antiMS zijn. Persoonlijk vind ik windows nog steeds het fijnste en makkelijkste besturingssysteem wat er in omloop is, en als je een beetje oplet wat je doet en wat je klikt gebeurt er bijna nooit iets.

Verwijderd @Verwijderd • 16 augustus 2004 02:28

volledig mee eens, ik heb in 10 jaar nog niet 1 virus of trojan gehad, simpelweg omdat ik weet wat ik doe, MS is niet het probleem maar de combinatie van digibeten die toch "willen" en ratten die daar weer misbruik van maken.

De oplossing ligt niet bij MS maar bij de overheid, namelijk het bestraffen van alles wat maar riekt naar malware,spyware,virus of trojan.... maarja, de overheid en het aanpakken van criminaliteit... het lukt ze in RL niet eens dus misschien kan MS het maar beter doen....

JR

Verwijderd @Verwijderd • 16 augustus 2004 03:51

fout,
het is net MS zijn taak wel, zowel zijn operating system te beveiligen tegen malware ....

MS heeft gekozen een operating system te schrijven met het oog op "alle", dus ja ook de digibeten, gebruikers, daarom moet het ook rekening houden met het gedrag van deze gebruikers.

Ze hebben nu al enige jaren "ervaring" met het gedrag van deze gebruikers. Dus het zou niet zo een probleem mogen zijn, deze gebruikers te dwingen zonder dat dit storend hoeft te zijn, een veiliger gebruik op te leggen.

Dit doen ze niet, ze zitten in een luxepositie (die langzaam maar zeker verandert). De anti-MS'ers hebben wel degelijk reden om "anti" te zijn (hoewel er altijd wel zijn die het gewoon stoer vinden ...).

vso @Verwijderd • 16 augustus 2004 08:10

tlammens

Fout ? hij heeft zeker wel een punt dat mensen zeker wel bewuster om moeten gaan, en dat er actief-er op pc-criminaliteit moet gehunt en gestraft moet worden.

Er zijn scanners c.q script-kiddy matriaal wat je instaat stelt om een willekeurig pc over te nemen met een paar muis klikken. Als je een scanner pakt die op poort 139 (netbios/smb) scant kan je bij veel internet gebruikers veel shares benaderen die ze voor thuis doeleinden delen. Of printers benaderen. Nee dat is goed. Firewall en dus de beschermings software is eigenlijk Vitaal !!.

Hoewel het de taak is van MS om het systeem te beveiligen ligt het ook aan de backwards compatibility tot-en met dos aan toe. Sterker nog zonder anti-virus kan je oude virussen draaien

Dat MS de tacktiek c.q code moet wijzigen staat vast.

De Anti-MS beweging c.q gevoel komt omdat het groot is maar dat is niet het voornaamste. De onveiligheid, de BSOD's niet houden aan standaard methodieken (zie verbaggering v.d HTML standaard o.a) MS probeert daarnaast veel eigen technieken te promoten c.q te verkopen zie WINS (Windows Internet Naming Service) was eigenlijk bedoelt als vervaniging van DNS, DirectX is eigenlijk nu niet meer weg te denken alleen vroeger was het bijvoorbeeld ook nog Open GL en andere software die ervoor zorgde dat je bv niet veel software nodig had om het op Mac-OS of Linux te laten draaien.
Of deze techniek van verkopen fout is laat ik ter eigenbe-oordeling.

Verwijderd @Verwijderd • 16 augustus 2004 08:46

Ook fout. Het is de verantwoordelijkheid van MS een goedwerkend systeem aan te bieden wat zo veel mogelijk gevrijwaard is van bugs. Du moment dat MS iets verzint tegen weer eens een aanval van dit soort ratten -ik meen dat ik iemand die term zag gebruiken en stem er volledig mee in- wordt de volgende aanval ingezet. Vechten tegen de bierkaai, zegt dat wat? De stelling "MS is er verantwoordlijk voor" vind ik niet opgaan. Net zo min als een autofabrikant er voor verantwoordelijk is dat een 18 jarige, die net zijn rijbewijs heeft gehaald en zich, die gebrek aan ervaring, 50 meter de lucht in lanceert omdat hij met 180 over een verkeersdrempel scheurt.

En dan de stelling "... deze gebruikers te dwingen." De pleuris breekt al uit op het moment dat MS Internet Explorer bijna dwingend oplegt. Enig idee wat er gebeurd als er op de doosjes komt te staan: "En hiermee dwingt MS dit en dat af, voor uw probleemloze Internet Ervaring en Veilige Computer Toekomst"?!

Tijger @Verwijderd • 16 augustus 2004 11:06

En als MS dat doet begint men te blaaten dat applicaties niet meer werken of dat men de rechten structuur van Windows niet begrijpt.

MS kan maar zover gaan, het onmogelijk maken van installatie van malware kan wel ja, alleen dan zou er een centrale database moeten zijn van 'malware' die bij iedere applicatie of driver installatie gechecked wordt en de gebruiker geen enkele keus meer laat. Zie de heisa al voor mij als MS dat zou doen...

Waarbij dan nog komt dat je dan het gezeur krijgt wat wel en wat geen malware is, ken zat mensen die bewust Bonzi Buddy er op zetten, kan ze geen bal schelen dat hun surfgedrag dan ook geregistreerd wordt.

RetepV @Verwijderd • 16 augustus 2004 12:44

Fout ? hij heeft zeker wel een punt dat mensen zeker wel bewuster om moeten gaan, en dat er actief-er op pc-criminaliteit moet gehunt en gestraft moet worden.

Yep. ALS Microsoft zijn OS niet duidelijker maakt voor Jan Boerelul, dan zouden ze de mensen bewuster moeten maken.

Zo lang Microsoft geen openheid van zaken geeft over zijn code (en dat is hun goed recht), hebben ze zelf de verantwoording in handen.

Niets anti-MS, maar gewoon het feit dat Microsoft hun kennis niet delegeert aan derden, zelfs niet aan hun eigen klanten.

bangkirai @Verwijderd • 17 augustus 2004 04:28

hmm vind het eigenlijk wel een verantwoording van de autofabrikant.
Want waar mag je in vredesnaam 180km/u rijden?

RetepV @Verwijderd • 16 augustus 2004 12:42

Het valt me hier op dat men microsoft overal verantwoordelijk maakt,

Hallo, Windows XP is toch voor de gewone man met een rijtjeshuis en een hond bedoeld? Dan ben je inderdaad zelf 100% verantwoordelijk als je de software zo ingewikkeld maakt dat die gewone man het niet meer snapt. Als je dan ook nog gaat roepen dat Windows XP veilig is denkt die gewone man dat het allemaal dus wel geregeld is.

Wie is er nou verantwoordelijk voor deze situatie?

Dat is toch de marketingafdeling van Microsoft, die belangrijke dingen verzwijgt omdat ze anders misschien minder zouden verkopen?

De oplossing ligt bij Microsoft, hoe je het ook wendt of keert. Zij hebben zelf toegang tot de code, zij zijn de enige die het zo kunnen maken dat het voor de gewone man te begrijpen is en ze hebben het geld om het zo te maken.

Microsoft zou in plaats van eigenwijs alleen naar hun eigen ideeen te luisteren eens moeten luisteren naar wat de Professoren en onderzoekers allemaal voor resultaten uit hun onderzoeken hebben gekregen. En aan de hand daarvan je OS weggooien en opnieuw opbouwen zodat Jan Boerelul er WEL mee om kan gaan.

Maar Microsoft is zo vreselijk bang voor zijn goede naam dat ze niks durven te veranderen. Al die onduidelijkheid rond XP SP2 is gekomen omdat Microsoft het eigenlijk niet uit durfde te geven. Al die onduidelijk komt omdat ze eigenlijk hun goede naam niet op het spel wilden zetten. Typisch voor een groot bedrijf dat alles al in zijn zak heeft zitten.

Of misschien zijn ze wel gewoon incapabel om Windows zo om te bouwen dat het wel voor Jan Boerelul te begrijpen is en durven ze dat niet toe te geven.

Firestorm666 @Verwijderd • 16 augustus 2004 02:32

Voila, je hebt groot gelijk vindt ik, en ook ik vindt dat het erg irritant is die antiMS'ers, vooral omdat het gewoonlijk MS sucks zever is, zonder ondergebouwde commentaar, En ik vindt Windows zelf een prima systeem, tis gewoon een kwestie van hoe je ermee omgaat

Ikzelf gebruik altijd windows, heb er nooit problemen mee gehad, maar ik weet m'n systeempje dan ook mooi te onderhouden, wat ook de doelstelling voor een OS is, je auto moet je ook onderhouden, doe je dat niet bolt ie ook nemeer lang, is het dan de schuld van de fabrikant? neen... voor mij zijn antiMS'ers diegene die gewoon geen verstand van pc's hebben, en waarschijnlijk zit hun pctje vol spyware & virussen, en voor de rest hun systeem gewoon verwaarloosd, tis dan natuurlijk makkelijk om MS te blamen

nogmaals: onderhouden, kijken wat je installeerd, tegoei instellen, patchen = zorgeloos windows gebruiken

Verwijderd @Verwijderd • 16 augustus 2004 09:06

Dat verhaal dat mensen voor hun pc verantwoordelijk zijn ben ik helemaal met je eens, dat is niet de volledige verantwoordelijkheid van MS, REd hat , Suse enz.

Maar dat het het meest gebruikersvriendelijk is, die mening kan ik niet met je delen. Bijvoorbrrld de laatste versies van RH en Suse zijn zeer gebruikers vriendelijk.

Werken wel iets anders, maar nog steeds gebruikersvriendelijk, je moet aleen even wennen, zelf mijn moeder kan er mee omgaan.

emgaron @Verwijderd • 16 augustus 2004 10:43

Het valt me hier op dat men microsoft overal verantwoordelijk maakt, ook in de discussie over gebruikers.

Wat is daaran opvallend? Dit is MS eigen schuld - ze hebben het immer de afgelopen 10-15 jaar voortdurend bij de gebruikers ingehamerd "ons OS is zo makkelijk, je hoeft helemaal nix van computers af te weten om het te kunnen gebruiken" (erger nog, ze hebbn dit soms zelfs m.b.t. administratie geroepen). Het mag dus nu niemand meer verbazen als de mensen precies dat verwachten: "Hoezo - ze zeiden toch dat ik niet hoef na te denken?"
MS heeft dit via hun marketing zelf gekweekt, dus is het nu ook hun verantwoording, lijkt me.

Belial_666 15 augustus 2004 23:41

een heleboel programma;s werken niet al sje niet al s Admin bent ingelogd

Sfynx @Belial_666 • 15 augustus 2004 23:49

Tja, dat zegt meer over zo'n programma dan over het operating system. Ik ken er wel 1 ja, Newsbin Pro (een binary news leecher). Zelfs als Power User werkt het nog niet. Ik weet echt niet waarom je adminrechten nodig hebt om data van een newsserver te trekken... GrabIt doet het prima als normale user.

Desnoods draai je een dergelijk slecht geschreven programma als Administrator met de Run As... optie, dan draait de rest gewoon nog onder je normale user account.
edit: Proxy was me voor

Zoetjuh @Sfynx • 16 augustus 2004 00:42

Probeer met RegEdit de rechten op de registry keys van Newbin Pro aan te passen. Werkt bij de meeste programma's perfect..

Zouden ze een tooltje voor moeten schrijven, net zoals Nero dat heeft gedaan (Nero Burning Rights)

jochemd @Belial_666 • 15 augustus 2004 23:55

Met goed geschreven programma's is het juist andersom: die weigeren onder een privileged account op te starten. PostgreSQL 8 (momenteel in beta) maakt tijdens het installeren een extra account aan speciaal zodat de database onder een unprivileged account kan starten. En als je hem toch als administrator probeert op te starten dan krijg je keihard een foutmelding. (En tenzij je erg thuis bent in C en zelf in de source gaat rotzooien kan je die beveiliging ook niet uitzetten.)

Je moet gewoon weigeren om brakke software die administrator rechten meent nodig te hebben te gebruiken.

Sfynx @jochemd • 16 augustus 2004 00:00

Inderdaad, ik zie in Linux soms vergelijkbare dingen. Een programma checkt de user id waar deze onder draait en wil dat je een extra optie meegeeft om als root te draaien, of het mag gewoon niet. Als alle software die het niet nodig heeft gewoon weigert op te starten als Administrator, is het probleem gauw genoeg opgelost.

Het zal niet alle lekken dichten, maar wel de malware die per ongeluk door de gebruiker wordt gestart.

Proxy @Belial_666 • 15 augustus 2004 23:47

Rechtsklik, uitvoeren als...

Verwijderd @Belial_666 • 15 augustus 2004 23:51

En sommige toetsenborden werken ook niet...

Verwijderd 15 augustus 2004 23:13

Logisch dat het niet 100% waterdicht is, daar is geen enkel (besturing)system imum voor, ben wel blij dat Microsoft serieus werk van maakt, hopelijk gaan ze deze pad vaak bewandelen.

n4m3l355 @Verwijderd • 16 augustus 2004 02:37

is dit dan ook niet de taak van een software ontwikkelaar dat hun product van kwaliteit bewust is? naar mijn gevoel is ms veelste lang laks geweest met de kwaliteit van hun code en de achterliggende gedachte van hun software. zeker met de afmetingen en de hoeveelheid windows gebruikers is het gewoon een must dat het van kwaliteit is. je wilt toch niet hebben dat een miljoen.. of 10 miljoen windows gebruikers zombies worden voor doss'ers.. de indirecte schade door brakke code is onmetelijk.
ik denk dat de onbewuste release van een stuk windows code dan ook indirect een stap in de goede richting voor ms is gewest om gemotiveerd te blijven om kwaliteit te blijven leveren en dat SP2 een mooi gevolg hieruit is

Verwijderd @Verwijderd • 16 augustus 2004 13:22

Nu nog een aantal ontwerp fouten in windows oplossen en mischien wordt het nog wat

Probleem:
bestandextenstie bepaald bestandstype en exe rechten. (De nr.1 exploit onder virussen)
Oplossing:
Mimetypes implementeren en afdwingen. Extensies laten voor wat ze zijn nl 3 karakters van de filename

Probleem:
Windows API heeft functies waar je een pointer naar code in kan meegeven. I.c.m Destkop = veilig messaging princiepe exploitable
Oplossing:
API aanpassen

Verwijderd 16 augustus 2004 02:32

http://support.microsoft.com/default.aspx?kbid=884130

sp2 zorgt wel voor dat veel progs niet werken, mede door die DEP zoals je kan lezen

The Third Man 15 augustus 2004 23:10

Klein detail maar werd Blaster al niet door een fix in SP1 geblokkeerd?

Arno

@The Third Man • 15 augustus 2004 23:11

Niet echt, SP1 is al wat langer uit dan het jaar dat Blaster rondzwerft. Er is alleen een post SP1 hotfix voor uitgekomen.

Fairy @The Third Man • 15 augustus 2004 23:11

Blaster is pas ná SP1 gemaakt

Olaf van der Spek @The Third Man • 16 augustus 2004 00:07

Klein detail maar werd Blaster al niet door een fix in SP1 geblokkeerd?

Ik denk dat ze "wormen zoals Blaster" bedoelen en niet specifiek alleen Blaster.

Yucko @The Third Man • 15 augustus 2004 23:31

Ik denk dat jij RU1 bedoeld ?

Verwijderd 16 augustus 2004 07:52

Deze potentiële zwakheden daargelaten, vertegenwoordigt SP2 volgens velen desalniettemin de meest veilige versie van Windows tot nu toe, en laat Microsoft ermee zien dat het vastberaden is de strijd tegen ernstige beveiligingsfouten te winnen.

vastberaden, maar incapabel? (er worden immers nu al zoveel zwakheden genoemd)

MucGhuine @Verwijderd • 16 augustus 2004 08:12

vastberaden, maar incapabel? (er worden immers nu al zoveel zwakheden genoemd)

In hoeverre is het hele Linux development team dan ook incapabel? Oftewel, lekken zullen er blijven, in ms software, in linux software, in bsd software etc.
Wat van belang is, is hoe de software-ontwikkelaars hiermee omgaan. Ik moet toch zeggen dat ik de intentie die Microsoft aangeeft uiterst positief vind.

edit:
typo verwijderd

Verwijderd @Skyclad • 16 augustus 2004 09:19

Kom nou, niet pro Linux gaan lopen blaten als je niet weet wat de wijzingen zijn maar toch graag even wilt lopen bashen

SP2 is een hele lang test procedure doorgeweest, en daarbij is met het oog op de beveiliging besloten om bepaalde vulnerabilities of functionaliteit die daar kans toe geeft in te dammen. Waarom zou je een verlengde test gaan doen als blijkt dat de software gewoon nog niet voldoet aan de kwaliteitseisen die met SP2 worden afgedwongen.

En WinXP vergelijken met Linux, heb jij de programma's al eens geteld die op beide OSén draaien? I rest my case.

Weet je wat het is, als ze dit niet hadden gedaan hadden we volgende week bij een gevonden bug weer kunnen horen "de beveiliging zuigt". Maar nee, nu horen we weer "laat die beveiliging zuigen, als de software het maar doet". Er bestaat daarin geen gulden middenweg, en mensen blijven altijd maar iets te zeiken te hebben

Kiest met optie A dan pakt men klacht B en C, kiest men optie B, dan pakt men klacht D en E.

berend_engelbrecht @Skyclad • 16 augustus 2004 10:24

Wordt er bij linux ook zo uitgebreid getest met software van derden? Microsoft heeft daar echt enorm veel werk in gestopt. Als ik b.v. Nero opstart, krijg ik dit:
Nero - Burning Rom has a known compatibility issue with this version of Windows. For an update that is compatible with this version of Windows, contact Ahead Software.

To run the program, click Continue. For more information, click Details.

Onder details vind je dan nog een linkje naar de website van de fabrikant. Ahead heeft inderdaad een update klaar ook.

Verwijderd 15 augustus 2004 23:50

De meest veilige versie van Windows, was dat niet versie 3.11 en eerder?
Oftewel more is less: Hoe meer functionaliteit, des te meer problemen.

w0ndersp00n @Verwijderd • 15 augustus 2004 23:55

In die tijd waren er ook veeeeeeeeeeeel minder problemen met hackers/wormen, etc

Ids Lupo @Verwijderd • 15 augustus 2004 23:58

Ahem. De eerste auto ooit is ook gecrashed.

En om nou te zeggen; de meest veilige versie; nee, vergeet niet dat Internet pas sinds de jaren 90 groot is geworden. Win 3.11 is van begin jaren 90. In de jaren 80 (onder dos als ik over pc's spreek) waren er ook voldoende virussen beschikbaar. De verspreiding liep echter niet via internet maar via floppys.
Dus meer functionaliteit-meer problemen gaat niet op.

Olaf van der Spek @Verwijderd • 16 augustus 2004 00:46

Oftewel more is less: Hoe meer functionaliteit, des te meer problemen.

Eh, dat geldt alleen als de overige factoren gelijk blijven. De architectuur van eigenlijk alle Windows versies die niet op NT gebaseerd zijn, is dermate brak dat je niet over een stabiel en veilig OS kunt spreken.

Fridge-RaideR 16 augustus 2004 10:29

ter informatie...
Als je de windows xp sp2 firewall uitzet (of weghaalt met nLite

) werken de helft van de programma's al die het eerst niet deden, puur omdat de poorten dicht zaten.

Tijger @Fridge-RaideR • 16 augustus 2004 11:10

Ja duh...als ik een firewall installeer dan werken diezelfde programma's ook niet, als ik hem weghaal doen ze het wel....its magic!!!!!

Op dit item kan niet meer gereageerd worden.

Jacht op lekken en bugs in Windows XP SP2 geopend

Lees meer

Reacties (73)

Sorteer op:

Weergave: