Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Bron: eWeek

Onderzoekers van Secunia hebben een aantal securitylekken gevonden in Microsofts Internet Explorer (IE) en in de verschillende Mozilla-browsers. Deze flaws in 's werelds meest gebruikte browser maken het mogelijk dat kwaadwillenden een computer kunnen overnemen, cross-site en cross-zone scripting kunnen uitvoeren. De lekken zijn al sinds 20 oktober 2004 bekend, maar gisteren heeft Secunia ervoor gekozen om de risicorating te veranderen in 'extremely critical'. Microsoft heeft de lekken gedeeltelijk erkend en aangegeven te werken aan een oplossing, een workaround kan gevonden worden in de Knowledge Base van het softwarebedrijf. In ieder geval Internet Explorer 6 is kwetsbaar voor deze lekken.

Virus - groene doodskop (kleiner dan kleiner)Ook voor de Mozilla-browsers zijn enkele kwetsbaarheden gevonden. Het eerste lek is te vinden in de manier waarop de software met NNTP-url's omgaat. Verder is ontdekt dat de Mozilla-browsers in sommige gevallen tijdelijke bestanden zo opsloegen dat ze voor iedereen te bekijken waren. Deze bugs bevinden zich in de versies vóór Mozilla 1.7.5 en Firefox 1.0. Verder is er een manier gevonden om de bronlocatie in het 'What should Firefox do with this file'-dialoogvenster in Mozilla Firefox te spoofen. Deze bug is nog niet opgelost.

Moderatie-faq Wijzig weergave

Reacties (51)

Op die pagina staan FireFox 1.0 en Mozilla 1.7.5 op het unaffected lijstje(en zijn in tegenstelling tot wat er in deze nieuwsposting staat niet vulnerable) en zit de bug alleen in de voorgaande versies. Met andere woorden: er is wel degelijk een fix voor, de nieuwste versies van FireFox en Mozilla gebruiken.

EDIT:Het artikel is inmiddels aangepast, er stond eerst dat er geen fix voor was en er stond expliciet bij dat FireFox 1.0 en Mozilla 1.7.x vulnerable waren, wat niet overeenkomt met de waarheid.
inderdaad:
Various vulnerabilities were found and fixed in Mozilla-based products,
ranging from a potential buffer overflow and temporary files disclosure
to anti-spoofing issues.

Affected packages
=================

-------------------------------------------------------------------
Package / Vulnerable / Unaffected
-------------------------------------------------------------------
1 mozilla < 1.7.5 >= 1.7.5
2 mozilla-bin < 1.7.5 >= 1.7.5
3 mozilla-firefox < 1.0 >= 1.0
4 mozilla-firefox-bin < 1.0 >= 1.0
5 mozilla-thunderbird < 0.9 >= 0.9
6 mozilla-thunderbird-bin < 0.9 >= 0.9
-------------------------------------------------------------------
6 affected packages on all of their supported architectures.
-------------------------------------------------------------------
De nntp bug is inderdaad allang gemaakt:
http://www.securityfocus.com/archive/1/386070/2005-01-04/2005-01-10/0

de download spoofing is wel een bug, maar wordt als niet zo kritisch gemarkeerd:
http://secunia.com/advisories/13599/

[edit]
mm.. spuitelf :'(
Idd. Nieuwspostings zoals dit hier op Tweakers zijn dan wel heel erg misleidend en brengen schade toe aan Mozilla IMHO. Zou Secunia ook een lijstje bijhouden met security flaws in IE 4.0?
Nieuwspostings zoals dit hier op Tweakers zijn dan wel heel erg misleidend en brengen schade toe aan Mozilla IMHO
Lezen is inderdaad een kunst, zoals terecht opgemerkt door Sikalot.
Als de titel zou zijn, dat alleen Mozilla lek is, dan zou je gelijk hebben. Maar volgens mij staat er toch duidelijk:
"Opnieuw kwetsbaarheden gevonden in IE en Mozilla".

Kortom: gezeur om het gezeur, of posten om je eigen geblaat maar weer eens te kunnen horen?
Lezen is ook een kunst:
Deze bugs bevinden zich in de versies vr Mozilla 1.7.5 en Firefox 1.0
Voor wie denkt dat die IE bug niet ernstig is:
http://freehost19.websamba.com/shreddersub7/cmdexe.htm (van de ontdekker van de bug zelf).
Werkt hier dus ook, op mijn Windows XP Pro mt SP2 ook :(
hehe, doet op mijn xp pro (no sp'z) en IE6 sp1 nochtans nix hoor... (8>

krijg wel beveiligingswaarschuwing, dat vreemd script dreigt uitgevoerd te worden....

conclusie: achterwege laten die SP's ;)
Hmm... kijk eens op zijn infopagina, er staat dat het ook werkt met XP Sp1 als je die waarschuwing accepteert: http://freehost19.websamba.com/shreddersub7/cmdexe-d.htm

Ik vind dit in ieder geval totaal niet kunnen. Ze hadden het gezegd, dat vroeg of laat een "ultieme" bug voor XP SP2 zou uitkomen, en kijk daar heb je het al. Als men n nog niet overgestapt is op een andere browser zoals FireFox, dan vraagt men gewoon om problemen!
Mijn idee :) Ik draai Firefox 1.x en bijna iedeen die ik ken inmiddels ook. een vriend van mij wil niet want die vind het allemaal wel best zo, maar ik hoef hem ook niet horen klagen als er problemen zijn. Eigen schuld, dikke bult denk ik maar zo.
Of naast je windows al dan niet met SP's ook een virusscanner (en firewall) draaien. Mijn AVG blockt netjes de exploit.
en als AVG dan weer een lek heeft dan kun je altijd nog wel weer een programma installeren dat AVG in de gaten houdt. :)
Op OSX 10.3.7 met zuper brakke Microsoft Internet Explorer 5.2.3 werkt de exploit iig niet :7

Misschien toch nog niet zo brak :+
Bij mij: winxp sp2, ie6sp2 en kaspersky av blokkeert kaspersky av 'm :)

Kortom, als je een goede virusscanner hebt draaien hoef je je met ie6 geen zorgen te maken.
Voor Firefox geld het alleen voor oudere versies en voor Internet Explorer werkt het ook niet als je SP2 draait.

Schade lijkt me mee te vallen.

[edit]

Oeps, niet goed gelezen, de IE bug werkt dus wel onder SP 2.
Je zult dit altijd houden :) Mensen realiseren zich tegenwoordig niet hoe complex software is, en uit hoeveel code, componenten, en requirements een browser tegenwoordig bestaat. Mensen zien alleen de internetpagina.

Er bestaat altijd de kans dat er tussen de 100.000 gebruikte functies, mogelijkheden, een stuk code zit dat niet helemaal veilig is.

Microsoft is overigens wel op de goede weg op het gebied van kwaliteitsbewaking. Elke stuk code wordt intern aan een developer gehangen en getracked, dus je bent echt het haasje als je ernstige fouten maakt. Windows 2003 is een project waar ze het hebben geintroduceerd, en het resultaat mag duidelijk zijn.

En Mozilla, ik hoop echt dat de developers zich daar ontdoen van hun grootheidswaanzin/machtsstrijd (ik bepaal zus, ik bepaal zo .... ), anders zie ik bij een significant marktaandeel de problemen bij Mozilla heel groot worden, de bugs zijn er echt wel, ze moeten alleen nog ontdekt worden. Mozilla kan niet verantwoordelijk worden gehouden, Microsoft wel, dus ik hoop dat ze op termijn weten om te gaan met de verantwoordelijkheden.

Microsoft heeft het ook ontdekt, deze dingen kosten ze bakken met geld. Die security programma's en verschuivingen van releasedates van andere software om aan patches te werken, kost ze echt enorme bedragen met geld.
En Mozilla, ik hoop echt dat de developers zich daar ontdoen van hun grootheidswaanzin/machtsstrijd (ik bepaal zus, ik bepaal zo .... ), anders zie ik bij een significant marktaandeel de problemen bij Mozilla heel groot worden, de bugs zijn er echt wel, ze moeten alleen nog ontdekt worden.
Ik heb echt geen idee wat je probeert duidelijk te maken, maar wat ik wel weet is dat Mozilla mensen die bugs rapporteren met geld beloont. Ik zie niet in wat daar zo negatief aan is.
Selectief lezen is ook een kunst. De Mozilla emoties schijnen hier weer naar boven te komen, als je ook maar iets van kritiek hebt.

Ik zou zeggen terabyte, bekijk eens wat comments in de bugtracker van Mozilla, oa onderwerpen als xmlHttp en ModelessDialogs, en dan is dat geld geven een leuke facade waarmij ze oa jou ook voor de gek houden.
Selectief lezen is ook een kunst. De Mozilla emoties schijnen hier weer naar boven te komen, als je ook maar iets van kritiek hebt.
Ik vind alleen dat je in eerste instantie wat duidelijker had moeten zijn met je kritiek.

Het is bovendien erg makkelijk om een stok te vinden om de hond mee te slaan: MS hangt z'n vuile was niet buiten. Mozilla wel.

Om dan meteen te beginnen over (vermeende) Mozilla emoties? Ik gebruik niet eens Mozilla...
Ik zou zeggen terabyte, bekijk eens wat comments in de bugtracker van Mozilla, oa onderwerpen als xmlHttp en ModelessDialogs, en dan is dat geld geven een leuke facade waarmij ze oa jou ook voor de gek houden.
Ach, ze hebben tenminste een openbare bugtracker...

Ik bedoel, er zijn meer redenen om IE links te laten liggen dan Mozilla of een andere moderne browser:
- IE & PNG alphakanaal?
- IE & XHTML?
- IE & een volledige en standardscompliant implementatie van CSS?
Er bestaat altijd de kans dat er tussen de 100.000 gebruikte functies, mogelijkheden, een stuk code zit dat niet helemaal veilig is.

Microsoft is overigens wel op de goede weg op het gebied van kwaliteitsbewaking. Elke stuk code wordt intern aan een developer gehangen en getracked, dus je bent echt het haasje als je ernstige fouten maakt. Windows 2003 is een project waar ze het hebben geintroduceerd, en het resultaat mag duidelijk zijn.
Dus het bedreigen van je werknemers is volgens jou een goede methode om het aantal fouten omlaag te brengen? Kom nou, dat is bedrijfsvoering van het jaar nul. Elke manager weet dat de beste manier om kwaliteit te bewaking beloningen, opleiding en het onder de aandacht houden van het doel is.

Het doel van wat jij noemt is simpelweg om de zwartste programmeurs d'r uit te pikken en bij herhaling over te plaatsen naar een andere groep waar ze beter op hun plek zijn.
Wat hij schrijft slaat ook nrgens op, tuurlijk wordt een programmeur verantwoordleijk gehouden voor de kwaliteit van z'n werk (net als de vuilnisman, de bakker, de acocuntant, de tweakers.net redacteur en de busschauffeur) maar ik geloof dat als je OOIT een keer goed gekeken hebt hoe het er bij MS intern aan toe gaat dat je weet dat MS misschien voor buitenstaanders een beetje arrogant te keer gaat maar voor het eigen personeel ontzettend goed is, met hoge salarissen, goede voorzieningen, geweldige secundaire voorwaarden, ronduit charitatieve bonussen en vooral uitingen van lof en waardering voor wie iets goeds maakt en constructieve kritiek voor wie fouten laat liggen.
Dus wat Gordijnstok allemaal loopt te verkondigen, ik weet het niet, maar ergens op slaan doet het niet.
En trouwens:
Note If you have set your Internet Security zone settings to High, this security issue does not affect you. For additional information about how to increase your browsing and e-mail safety, visit the following Microsoft Web site:
http://www.microsoft.com/security/incident/settings.mspx
Dus als je niet veilig wilt surfen, ja dan heb je er last van ;)
Dat is IMHO deels een gevolg van OOP. Je blijft maar bouwen op componenten en je breidt ze meer en meer uit voortbouwende op oude functies.

Als er dan ergens een fout zit kan dit soms heel verstrekkende gevolgen hebben in allerlei onderdelen, simpelweg omdat hoe langer hoe meer onderdelen afhangen van elkaar.

Soms is het absoluut geen luxe om bepaalde dingen eens terug van scratch op te bouwen.
Wat een onzin, OOP is hier juist een groot voordeel, alles maakt gebruik van dezelfde componenten, als er een bug is gevonden dan hoeft alleen het foute component aangepast te worden en alles wat er gebruik van maakt is weer up-to-date.

Als je altijd alles vanaf scratch bouwt heb je net zo veel kans op bugs, je hebt alleen veel meer code, omdat je steeds opnieuw het wiel opnieuw uitvind, en dus in totaal veel meer bugs.
Wat een onzin, OOP is hier juist een groot voordeel, alles maakt gebruik van dezelfde componenten, als er een bug is gevonden dan hoeft alleen het foute component aangepast te worden en alles wat er gebruik van maakt is weer up-to-date.
Klopt ook... het voordeel is dat als je een bug fixed, dat hij ineens overal gefixed is.

Het nadeel blijft echter dat zolang de bug NIET gefixed is, ALLE code die gebruik maakt van die fucntie of dat onderdeel problemen kan geven.

Zo kan je met 1 bugfix bijvoorbeeld 1000 applicaties herstellen, maar die applicaties bevatte in eerste instantie wel eerst allemaal die fout...
Wat een onzin. Dat kun je ook van procedureel programmeeren zeggen: doordat je alles zo aan elkaar moet weven en dat je grote bestanden krijgt, wordt het zo onoverzichtelijk dat je de draad kwijt raakt, en er fouten kunnen ontstaan...

Het heeft dus echt niets met de programmeerwijze te maken.
Het is eerder te verwijten aan slechte programmeerkennis of kwaliteit.

[edit]
Blijkbaar snap je mijn punt niet. Dat in die DLL een OOP of prodecurele programmeerwijze wordt gebruikt, maakt geen worst uit. De fout kan een programmeur alleen maken door slecht te programmeren. De technologie is gewoon goed.

Om dus OOP als de boosdoener aan te wijzen is daarom ronduit onzinnig.
Als er morgen een mega bug ontdekt wordt in een Microsoft systeem dll van windows welke door quasie elke applicatie gebruikt wordt dan is er een serieus probleem.

En dat heeft niets met eventuele onkunde van de 3the party developer te maken.
maar doordat iedereen die dll gebruikt, gaan we er ook van uit dat die bewuste dll al veel gecheckt is op fouten, en dus de kans op fouten kleiner is
als elke 3th party z'n eigen manier maakt, hebben we veel kans dat die fouten maken, dus hebben we meer kans op fouten
En dat klopt omdat de 3rd party waarschijnlijk geen source van de dll heeft gekregen. :)
Wat hebben programmabibliotheken die je dynamisch kunt linken te maken met een programmeermethode (object georienteerd)??

Antwoord: Helemaal niets.

Als er een bug zit in een library die in ANSI C geschreven is (niet-OOP) en andere programma's (ook niet OOP) linken dynamisch met die library dan hebben die programma's last van de bug terwijl er geen OOP bij kwam kijken.
En dat geldt niet eens alleen voor dynamisch gelinkte libraries, voor static meegecompileerde libraries geld exact hetzelfde...
Maar je punt klopt :Y)
Als er dan ergens een fout zit kan dit soms heel verstrekkende gevolgen hebben in allerlei onderdelen, simpelweg omdat hoe langer hoe meer onderdelen afhangen van elkaar.
Wat dus helemaal niks uit maakt of je nu wel of niet OO werkt. Immers ook als je procedureel te werk gaat maak je gebruik van "oude" code die je wellicht ooit al eens hebt geschreven en ook in al jouw applicaties gebruikt. Net zoals dat dat met OO zo gaat, alleen heb je met OO wat meer structuur waardoor bugs makkelijker/sneller gevonden kunnen worden.
dit heeft denk ik meer te maken met gebrekkige code validatie door derden.. maar dat kan natuurlijk 't gevolg zijn van software "sneller" uit te willen brengen...

ik krijg wel de indruk dat deadlines in de GPL wereld in een stuk mindere mate bestaan (of gewoon niet bestaan). dat is natuurlijk ook logisch, omdat er voor de ontwikkelaars vaak weinig commerciele belangen zijn (naar mijn mening is dat in de praktijk ook meteen de basis voor stabiele en veilige software).

feit is, dat de ontwikkeling van iexplore stil ligt, dus ik denk dat microsoft de mozilla mensen niet bepaald probeert te beconcurreren. dat is iets voor na de release longhorn naar het schijnt.
Ik krijg wel de indruk dat deadlines in de GPL wereld in een stuk mindere mate bestaan (of gewoon niet bestaan).
Dit kan twee kanten op werken. Aan de ene kant zijn er geen commerciele belangen en is er dus minder druk om snel een nieuwe release uit te brengen. Maar aan de andere kant is er ook minder druk om een veilig en goed product uit te brengen - men hoeft er immers niet van te leven zoals bij een commercieel bedrijf wel het geval is.

Wel is denk ik te zien dat de fouten die gevonden worden niet veel met commercieel vs. open source te maken hebben, omdat in (grote) projecten kennelijk altijd dit soort fouten gevonden worden. Het is dus eigen aan software ontwikkeling in het algemeen (i.i.g. voor grote projecten) dat er fouten insluipen.

Voor het oplossen van problemen (snelheid, nauwkeurigheid) gelden in principe dezelfde argumenten die ik bovenaan genoemd heb. En let op dat je 'Open Source' niet tegenover het commerciele Microsoft moet zetten, maar ook met andere grote en minder grote bedrijven.
Wat moeten ze dan vinden? Alleen maar dichte stukken?

Nee, ik denk dat het vooral komt door een groter aantal bughunters. De software is de laatste tijd nl niet eerder dan gewoonlijk gereleased.
In alle software zitten dit soort fouten. Als apple de grootste softwaregigant zou zijn, zou OS X ook veel fouten bevatten. Dat doet het nu ook, alleen wordt er geen gebruik/misbruik van gemaakt. Hetzelfde geld voor IE, en firefox. Vroeger hoorde je niks over firefox, en dus al helemala niet over lekken. Nu is het een belangrijke speler, en worden er lekken gevonden/gezocht.

Verder is er nog altijd 1 ding belangrijk, sinds ik firefox gebruik heb ik op z'n hoogst wat cookies als spyware, maar niks meer. er komen dus bijna geen exploits ofzo bij. En dat gebeurd wel veel meer bij IE.
wat te doen?? aaargh
Opera :)
dat is zo ongeveer de beste oplossing.
Ja, of je leest de reacties en ziet dat het allang gefixed is in Mozilla.

:Z
Alleen de eerste bug van NNTP lijkt me echt ernstig, de rest kan ik me weinig ernstigs bij voorstellen
Deze bug is dus allang gemaakt.

Vind het erg raar dat er oude mozilla`s vergeleken worden met de nieuwe IE op T.net.
Zucht.. het is om moedeloos van te worden.
Ik wordt nu al maanden geteisterd door mywebsearch en het is gewoon niet te verwijderen. Ik heb werkelijk elk programma geprobeerd maar alleen format werkt vrees ik.
Ik wil dit echter in de toekomst voorkomen maar als er steeds lekken blijven dan schiet dat niet echt op vrees ik.
wat te doen?? aaargh
cwshredder gebruiken help misschienn ( www.spywareinfo.com/~merijn/ ).
Ik had er ook last van... alleen bij mij werkte cws niet goed..:S
dus uiteindelijk ook maar een format C: gedaan :'(
Errfijn, succes!
Ooit gehoord van CWShredder? MyWebSearch is een variant van de Coolwebsearch data miner, met CWShredder (zoeken naar nieuwste versie en zonodig updaten!) heb ik dit tot nu toe altijd kunnen verwijderen. Werkt dit niet? gebruik het icm Ad-aware, deze (mits geupdate!) kan tegenwoordig ook CoolWebSearch varianten verwijderen (oudere versies niet).

Edit: Frankenstein was me net voor... :P
Weet je zeker dat je Hijackthis hebt geprobeerd? Die haalt volgens mij zelfs de meest hardnekkige vlekken weg. Weet wel wat je doet voordat je klikt, anders weet je zeker dat je moet formatten. :P

http://www.spychecker.com/program/hijackthis.html
http://www.hitmanpro.nl/
Dat zou ik eens proberen, en hijackthis..

Daarnaast kan het ook geen kwaad images te maken, die kun je redelijk snel terugzetten op je PC.. Als je dan de folders Desktop & My Documents met TweakUI naar een andere partitie of schijf zet is het terugzetten van een frisse betrouwbare image een fluitje van een cent en kan in een kwartiertje, uiteraard afhankelijk van je hardware (grootte, snelheid).

Voorkomen is altijd beter te genezen, maar het kan nog altijd voorkomen dat je door een klein foutje (of zelf niet eens) toch weer zooi op je pc krijgt, zo'n image is dan ideaal.
Bij mij werkt de exploit prima onder:

- Win XP Home Edition SP 2
- IE 6.0
- Norton Anti Virus Professional (met script blocking aan)
- Microsoft Anti Spyware
- Spybot

Norton noem(de) ik toch een 'goede' virsusscanner. Schijnbaar werkt de exploit ook in sommige gevallen waarbij je tevens een viruscanner hebt lopen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True