Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 117 reacties
Bron: Net-Security

Core Technologies heeft vandaag een lek ontdekt in de Messenger-software van Microsofts MSN, waarmee met behulp van een buffer overflow een computer overgenomen zou kunnen worden. Het lek bevindt zich in de mogelijkheid om een gebruikersafbeelding weer te geven. Door een specifieke afbeelding te kiezen kan een kwaadwillige een buffer overflow veroorzaken en zo de computer van de chatpartner onder zijn controle krijgen. Doordat de indringer zich toegang verschaft via het gesprek, zou deze aanval onopgemerkt blijven door firewalls, intrusiedetectiesystemen of antivirussoftware. Volgens het bedrijf dat de fout ontdekte zijn meer dan 130 miljoen gebruikers vatbaar voor dit lek. De fout zou zich bovendien niet alleen in MSN Messenger bevinden, maar ook aanwezig zijn in Windows Media Player.

MSN-vlinderOok gebruikers die uitgerust zijn met Service Pack 2 voor Windows XP zijn vatbaar voor dit probleem. Doordat de Windows Messenger geen gebruikersafbeeldingen weergeeft, is deze niet vatbaar voor het probleem. Neowin meldde al dat eerdere problemen met het MSN Messenger-netwerk veroorzaakt werden door hardwaredefecten. Het lijkt waarschijnlijk dat dit ook momenteel het geval is en de problemen met het netwerk zouden naar verluidt niet met het door Core Technologies ontdekte lek te maken hebben. Volgens een MSN-woordvoerder werd een probleem ontdekt in het datacenter en wordt er momenteel aan een oplossing gewerkt om het netwerk weer operationeel te maken.

Moderatie-faq Wijzig weergave

Reacties (117)

1 2 3 ... 6
Gebruik gewoon een andere client. Zelf heb ik hier het heerlijk sombere Miranda IM in gebruik, als iemand echter een alternatieve client weet waar filesharing en webcam wl werkt mag ie dat gerust zeggen :+.
In Gaim werkt filesharing. Webcam werkt helaas voor zover ik weet bij geen enkel alternatief.
Bij mercury zijn ze nu druk bezig om webcam werkend te maken. http://www.mercury.to
Filesharing werkt hier btw ook erg goed imo
Trillian.
werkt webcam en filesharing ook.

+ je kunt ook irc, icq, aim etc gebruiken
amsn, heeft goeie filesharing, en heeft het plaatje ook
Dus waarschijnlijk ook het lek
Filesharing werkt gewoon met Miranda IM. Zie <a href="\"http://www.miranda-im.org/help/doc/faq.php?display=faq&faqnr=9&catnr=2&prog=1&lang=en&onlynewfaq=0\"" target="_blank">dit</a> artikel in de FAQ en <a href="\"http://miranda-im.org/help/doc/kb.php?mode=display&kbnr=13&lang=en&prog=1&backurl=%2Fhelp%2Fdoc%2Fkb.php%3Fmode%3Dlistall%26lang%3Den%26prog%3D1\"" target="_blank">dit</a> artikel in de Knowledge Base.
Je linkjes doen het niet.

* 786562 JayR
Idd, de links werken niet... Misschien moet ik er toch eens op Googlen of zo.

Als iemand wel valide links heeft, je roept maar :).
Tja, bij mij ook. Je moet misschien even naar je firewall kijken.
bij trillian werkt filesharing

\[ok, jij was eerder :)]
webbased doet het ook niet :(
Goed nieuws voor MSN Messenger 7 gebruikers... de beta client blijkt niet vatbaar voor dit lek te zijn. :)
Dat zou dan ook wel het enige goede aan msn 7.0 bta zijn wat ik tot nu toe heb kunnen ontdekken :P
Ik zou stellen dat 't slecht nieuws is voor iedereen die OF:

- MSN Messenger <7 gebruikt
- Windows Media Player gebruikt
- Windows XP SP2 gebruikt

dat komt neer op nagenoeg alle windowsgebruikers. Met name mensen die niet de computerhandigheid hebben om d'r iets aan te doen. Ik voorspel hierbij dan ook maar vast een dik virusje dat via msn verstuurd wordt en over contactlists verstuurd wordt...

* ben zelf onaantastbaar (jk), gebruik miranda voor msn, winamp en mplayer (www.mplayerhq.hu) voor media en win2k voor windowstroep.
Hmm volgens mij klopt dit bericht niet hoor, der zit ook een lek in windows messenger.

Als je nu op windows update kijkt zie je dat er zinds 8 uur 13 windows XP hotfixes en wat andere zaken zijn uit gegeven waaronder:

KB887472: Beveiligingsupdate voor Windows Messenger

waar een link bij zit naar dit security bulletin:

http://www.microsoft.com/technet/security/bulletin/ms05-009.mspx

en daar staat:

Microsoft Security Bulletin MS05-009
Vulnerability in PNG Processing Could Allow Remote Code Execution (890261)

Affected software:

Microsoft Windows Media Player 9 Series (when running on Windows 2000, Windows XP Service Pack 1 and Windows Server 2003)

- Microsoft Windows Messenger version 5.0 (standalone version that can be installed on all supported operating systems)

- Microsoft MSN Messenger 6.1

- Microsoft MSN Messenger 6.2

Affected Components:

Microsoft Windows Messenger version 4.7.0.2009 (when running on Windows XP Service Pack 1)

Microsoft Windows Messenger version 4.7.0.3000 (when running on Windows XP Service Pack 2)

dus ook windows messenger dus dit bericht klopt niet (er staat trouwens ook links bij naar updates voor MSN 6.1 en 6.2 maar voor als nog doen die het nog niet)
Al die frutsels (plaatjes, kleuren, emoticons, etc) vond ik al een beetje overdreven, maar als het dan k nog eens zo slecht is gemplementeerd dat het een gevaar vormt voor de veiligheid, mogen ze al die zooi er wel uitslopen van mij.
Je formuleert het wel erg dramatisch voor een waarschijnlijk heel simpel op te lossen buffer overflow. Dat je iets tegen al die features hebt ok, maar er is geen structureel probleem gevonden, dus verwijderen is een erg overdreven suggestie.
Helemaal mee eens. Smilie's vind ik nog wel functioneel, maar die winks en nudges ofzo...

Persoonlijk zou het aardig zijn van Microsoft als ze in MSN Messenger een optie in zouden bouwen voor het weergeven van een 'kale' en een "normale" versie.
Dan stellen ze in en keer al die breezah mensen teleur enzo. En vast ook wel veel andere mensen. Het is gewoon bijna niet meer weg te denken. Het is gewoon wat extra's, om het "alleen maar saaie plain chatten" imago te vermijden. Natuurlijk helpen niet alleen de plaatjes hieraan mee, kijk naar de webcams, audio-mogelijkheden, fonts, honderden(custom)-smileys, etc! Maar dat hoort er nou (jmmr genoeg) eenmaal bij
tsja, dat valt wel wat mee.. zolang ze maar stoppen met nieuwe dingen. MSN 7 ziet er welliswaar leuker uit dan 6 en is in dat opzicht zeker een vooruitgang.. maar die winks en schuddingen (hoe heten die ook maar weer) zijn toch dikke onzin.. gelukkig kan je ze uitzetten..
Die schuddingen heten buzzers.

Niet dat ik het nodig vind dat ze er inzitten. Maar ach... Een mooie functie van MSN M 7 is de intergratie met MSN Space. En dat je als afwezig, etc, kan aanmelden.

Eigenlijk zouden ze MSN zo moeten maken dat je alleen gebruikt wat je wilt gebruiken en dat de overige dingen verborgen blijven...
Inloggen onder een andere status kan al heel lang met trillian. Verder ondersteunt trillian nu het msn protocol ook officieel sinds de makers ervan een licentie hebben gekocht :).
Vergeet niet de tweakers die er van genieten om die Breezah vrouwtjes online te zien ;)

Al die extra's vind ik niet erg in MSN, maar Microsoft moet wel onthouden dat het succes van MSN is begonnen toen chatten populair werdt, en ICQ te ingewikkeld bleek voor de vele nieuwelingen. Door opties bij te blijven voegen wordt MSN ook steeds wat ingewikkelder...

Misschien zou het een idee voor Microsoft zijn om een oude ( simpele/kale) MSN versie de beveiliging van de nieuwe versies te geven, zodat je een soort van MSN Lite krijgt, speciaal voor de mensen die er geen troep in willen ;)
Die simpele kale versie van MSN Messenger heet Windows Messenger. En zoals hierboven te lezen is, is die ook niet vulnerable voor dit probleem.
Ja, maar die kan je alleen onder Windows XP gebruiken.. Het is een meegeleverd component van Windows XP, hij draait niet onder 2000 ;(
Toch is Windows Messenger meer dan alleen een uitgeklede MSN Messenger. Denk bijvoorbeeld aan de ingebouwde SIP ondersteuning.
Het is gewoon bijna niet meer weg te denken.
En zo ging Microsoft aan zijn eigen onzin features ten onder. Ben ook bijzonder benieuwd naar dat Avalon enzo.. :D
Tja wat moet je hierop zeggen. Open-source clients gaan geen extra security bieden want doe bevatten ook fouten.

Moesten die 130 miljoen mensen echter gebruik maken van tientallen verschillende IM clients (bv. gebaseerd op een open IM standaard) zou de impact vele malen kleiner zijn.

Tijd dat Microsoft, AOL en Jabber de handen in elkaar slaan dus :)

@ Goofy666 hiervboven: Miranda IM is ook mijn favoriet, hoewel de 0.4 beta's me wat tegenvallen...
Tijd dat Microsoft, AOL en Jabber de handen in elkaar slaan dus
Volgens jouw eigen idee moeten ze dat dus niet. Want dan werken ze samen en krijg je hetzelfde ding met dezelfde fouten. Die open standaard kan nl ook fouten bevatten die er voor zorgen dat, wat je ook doet, je client altijd het probleem krijgt. Er loopt op dit moment een discussie over browsers.

http://www.tweakers.net/nieuws/36123

Juist de 'alternatieve' browsers hebben last van een bepaald veiligheidsprobleem. En dat probleem zit hem in de standaard, niet in de brouwsers. IE heeft daar geen last van. Waarom niet? Omdat ze zich botweg niet aan de standaard hielden.
een gezamelijke standaard is iets anders dan een gezamelijk programma. Een protocol leg je vast op papier zeg maar, hoe je het implementeert kiest iedereen zelf :)

De fouten in MSN Messenger (buffer underruns) hebben ook niets met het protocol te maken, het is MSN Messenger die slecht omgaat met foutieve data. Andere MSN Clients hebben hier dus geen last van (in dit specifiek geval).
een gezamelijke standaard is iets anders dan een gezamelijk programma. Een protocol leg je vast op papier zeg maar, hoe je het implementeert kiest iedereen zelf
Je hebt helemaal gelijk. En dat is dus precies wat er mis ging bij de browsers. Hoe ze het ook implementeerden, ze zijn allemaal kwetsbaar. Het protocol is nl het probleem. Ook protocollen kunnen fouten of onveiligheden hebben. Lees de het newsitem maar eens wat ik in de link gaf. De enige die geen last heeft is degene die zich dus niet aan het protocol hield.
Grote kans dat OSS clients de avatar anders implementeren en daardoor niet vatbaar zijn voor deze lek. Sowieso zijn OSS clients minder geintegreerd in het hele systeem - MSN Messenger is zowat volledig geintegreerd na de installatie.
Dan is het hele nut van 1 open standaard toch weg.
1 standaard wil zeggen dat iedereen het op dezelfde manier afhandeld.

En MSN messenger zit niet ingebakken in windows. Ik kan tijdens installatie netjes zeggen dat ik die niet wil installeren.
@ WhiteDog

Gebruik gewoon v3.3.1, die's hier altijd al heel stabiel geweest. Of zijn er nieuwe features die de beta waard zijn? :D

* 786562 Goofy666
Ik ga er vanuit dat het nu wel verstandig is om het vinkje "O Aleen persoonen in mijn lijst Geacepteerd kunnen mijn status zien en mij berichten sturen" van het tab blad Privacy van het optiets venster aan te vinken.
Is het niet zo dat de plaatjes van mensen die niet in je lijst staan niet geladen worden?
Is het niet zo dat de plaatjes van mensen die niet in je lijst staan niet geladen worden?
Die worden wel geladen, duurt gewoon iets langer, kep ongeveer 300 verwijderde contacts en 150 online contacts, dus ik kan het weten :P

word dr btw gek van dat er nie meer als 150 in me lijstje passen, oplossing iemand?
haha lol probeer met je PDA in te loggen dat gaat wel goed, alleen is er verder niemand online om mee te lullen :+
gelukkig hebben we nog progies als skype (heeft ook chatfunctie), ICQ, IRC en dan ook altijd nog de ouderwetse telefoon :Y)
Wat dacht je van het jabber protocol en de vele clients? :)
Als mijn andere kennissen en vrienden deze nu ook hadden...
In mijn klas is Irc nog lang niet ingeburgerd hoor, laat staan skype :'(
of een goed boek natuurlijk :o
Die 130 miljoen is een beetje overdreven, aangezien alleen mensen in je contactlijst de mogelijkheid hebben om in te breken.
Maak een virus dat zich verspreid via je msn contactlijst. Dan gaat het hard hoor!
Bestaat al, of in iedergeval een soort van scriptje die automatisch alle contact personen in je msn lijstje het scriptje toe stuurt zonder dat jij het door hebt.
* 786562 Dr.Z
Lijkt me vervelend werk om te moeten werken aan het operationeel krijgen van messenger.

Er zitten dan toch aardig wat mensen op je te wachten opeens.

Ik heb het al nooit zo gehad op die plaatjes, achtergronden enzovoorts. Sommige mensen zijn zo opdringerig ermee.

Hopen dat t snel weer werkt want iedereen opeens gaan bellen is ook geen optie. :z
Hopen dat t snel weer werkt want iedereen opeens gaan bellen is ook geen optie.
Je zou ook een boek kunnen gaan lezen tot het over is. Je weet wel zo'n stapel print out
f lekker carnaval vieren :+

:r
binnen en buiten ja ;)
Hoezo.. die mensen betalen niet voor de MSN Messenger dient, dus ik zou ze lekker laten wachten :)
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True