Lek in MSN Messenger kan 130 miljoen gebruikers treffen

Core Technologies heeft vandaag een lek ontdekt in de Messenger-software van Microsofts MSN, waarmee met behulp van een buffer overflow een computer overgenomen zou kunnen worden. Het lek bevindt zich in de mogelijkheid om een gebruikersafbeelding weer te geven. Door een specifieke afbeelding te kiezen kan een kwaadwillige een buffer overflow veroorzaken en zo de computer van de chatpartner onder zijn controle krijgen. Doordat de indringer zich toegang verschaft via het gesprek, zou deze aanval onopgemerkt blijven door firewalls, intrusiedetectiesystemen of antivirussoftware. Volgens het bedrijf dat de fout ontdekte zijn meer dan 130 miljoen gebruikers vatbaar voor dit lek. De fout zou zich bovendien niet alleen in MSN Messenger bevinden, maar ook aanwezig zijn in Windows Media Player.

MSN-vlinder Ook gebruikers die uitgerust zijn met Service Pack 2 voor Windows XP zijn vatbaar voor dit probleem. Doordat de Windows Messenger geen gebruikersafbeeldingen weergeeft, is deze niet vatbaar voor het probleem. Neowin meldde al dat eerdere problemen met het MSN Messenger-netwerk veroorzaakt werden door hardwaredefecten. Het lijkt waarschijnlijk dat dit ook momenteel het geval is en de problemen met het netwerk zouden naar verluidt niet met het door Core Technologies ontdekte lek te maken hebben. Volgens een MSN-woordvoerder werd een probleem ontdekt in het datacenter en wordt er momenteel aan een oplossing gewerkt om het netwerk weer operationeel te maken.

IT-banen

Reacties (117)

Goofy 8 februari 2005 20:29

Gebruik gewoon een andere client. Zelf heb ik hier het heerlijk sombere Miranda IM in gebruik, als iemand echter een alternatieve client weet waar filesharing en webcam wél werkt mag ie dat gerust zeggen

Anoniem: 69437 @Goofy • 8 februari 2005 20:38

In Gaim werkt filesharing. Webcam werkt helaas voor zover ik weet bij geen enkel alternatief.

denickm @Anoniem: 69437 • 8 februari 2005 21:06

Bij mercury zijn ze nu druk bezig om webcam werkend te maken. http://www.mercury.to
Filesharing werkt hier btw ook erg goed imo

PuckStar @Goofy • 8 februari 2005 21:15

Trillian.
werkt webcam en filesharing ook.

+ je kunt ook irc, icq, aim etc gebruiken

Anoniem: 92314 @Goofy • 9 februari 2005 02:22

amsn, heeft goeie filesharing, en heeft het plaatje ook

90710 @Anoniem: 92314 • 9 februari 2005 08:01

Dus waarschijnlijk ook het lek

CmdrKeen @Goofy • 8 februari 2005 21:44

Filesharing werkt gewoon met Miranda IM. Zie <a href="\"http://www.miranda-im.org/help/doc/faq.php?display=faq&faqnr=9&catnr=2&prog=1&lang=en&onlynewfaq=0\"" target="_blank">dit</a> artikel in de FAQ en <a href="\"http://miranda-im.org/help/doc/kb.php?mode=display&kbnr=13&lang=en&prog=1&backurl=%2Fhelp%2Fdoc%2Fkb.php%3Fmode%3Dlistall%26lang%3Den%26prog%3D1\"" target="_blank">dit</a> artikel in de Knowledge Base.

Anoniem: 35978 @CmdrKeen • 8 februari 2005 22:41

Je linkjes doen het niet.

* 786562 JayR

Goofy @Anoniem: 35978 • 9 februari 2005 05:14

Idd, de links werken niet... Misschien moet ik er toch eens op Googlen of zo.

Als iemand wel valide links heeft, je roept maar

jvo @CmdrKeen • 8 februari 2005 22:01

Tja, bij mij ook. Je moet misschien even naar je firewall kijken.

Ruben314 @Goofy • 8 februari 2005 21:16

bij trillian werkt filesharing

[ok, jij was eerder :)]

Ewald ! @Goofy • 8 februari 2005 21:53

webbased doet het ook niet

Norm2782 8 februari 2005 20:24

Goed nieuws voor MSN Messenger 7 gebruikers... de beta client blijkt niet vatbaar voor dit lek te zijn.

jrbuurke! @Norm2782 • 8 februari 2005 20:25

Dat zou dan ook wel het enige goede aan msn 7.0 bèta zijn wat ik tot nu toe heb kunnen ontdekken

Anoniem: 120078 @Norm2782 • 9 februari 2005 19:10

Ik zou stellen dat 't slecht nieuws is voor iedereen die OF:

- MSN Messenger <7 gebruikt
- Windows Media Player gebruikt
- Windows XP SP2 gebruikt

dat komt neer op nagenoeg alle windowsgebruikers. Met name mensen die niet de computerhandigheid hebben om d'r iets aan te doen. Ik voorspel hierbij dan ook maar vast een dik virusje dat via msn verstuurd wordt en over contactlists verstuurd wordt...

* ben zelf onaantastbaar (jk), gebruik miranda voor msn, winamp en mplayer (www.mplayerhq.hu) voor media en win2k voor windowstroep.

SithWarrior 8 februari 2005 21:32

Hmm volgens mij klopt dit bericht niet hoor, der zit ook een lek in windows messenger.

Als je nu op windows update kijkt zie je dat er zinds 8 uur 13 windows XP hotfixes en wat andere zaken zijn uit gegeven waaronder:

KB887472: Beveiligingsupdate voor Windows Messenger

waar een link bij zit naar dit security bulletin:

http://www.microsoft.com/technet/security/bulletin/ms05-009.mspx

en daar staat:

Microsoft Security Bulletin MS05-009
Vulnerability in PNG Processing Could Allow Remote Code Execution (890261)

Affected software:

Microsoft Windows Media Player 9 Series (when running on Windows 2000, Windows XP Service Pack 1 and Windows Server 2003)

- Microsoft Windows Messenger version 5.0 (standalone version that can be installed on all supported operating systems)

- Microsoft MSN Messenger 6.1

- Microsoft MSN Messenger 6.2

Affected Components:

Microsoft Windows Messenger version 4.7.0.2009 (when running on Windows XP Service Pack 1)

Microsoft Windows Messenger version 4.7.0.3000 (when running on Windows XP Service Pack 2)

dus ook windows messenger dus dit bericht klopt niet (er staat trouwens ook links bij naar updates voor MSN 6.1 en 6.2 maar voor als nog doen die het nog niet)

Thanatos 8 februari 2005 20:25

Al die frutsels (plaatjes, kleuren, emoticons, etc) vond ik al een beetje overdreven, maar als het dan óók nog eens zo slecht is geïmplementeerd dat het een gevaar vormt voor de veiligheid, mogen ze al die zooi er wel uitslopen van mij.

neh @Thanatos • 8 februari 2005 21:58

Je formuleert het wel erg dramatisch voor een waarschijnlijk heel simpel op te lossen buffer overflow. Dat je iets tegen al die features hebt ok, maar er is geen structureel probleem gevonden, dus verwijderen is een erg overdreven suggestie.

Anoniem: 109954 @Thanatos • 8 februari 2005 22:28

Helemaal mee eens. Smilie's vind ik nog wel functioneel, maar die winks en nudges ofzo...

Persoonlijk zou het aardig zijn van Microsoft als ze in MSN Messenger een optie in zouden bouwen voor het weergeven van een 'kale' en een "normale" versie.

johnneman @Thanatos • 8 februari 2005 20:39

Dan stellen ze in éen keer al die breezah mensen teleur enzo. En vast ook wel veel andere mensen. Het is gewoon bijna niet meer weg te denken. Het is gewoon wat extra's, om het "alleen maar saaie plain chatten" imago te vermijden. Natuurlijk helpen niet alleen de plaatjes hieraan mee, kijk naar de webcams, audio-mogelijkheden, fonts, honderden(custom)-smileys, etc! Maar dat hoort er nou (jmmr genoeg) eenmaal bij

t-h @johnneman • 8 februari 2005 20:49

tsja, dat valt wel wat mee.. zolang ze maar stoppen met nieuwe dingen. MSN 7 ziet er welliswaar leuker uit dan 6 en is in dat opzicht zeker een vooruitgang.. maar die winks en schuddingen (hoe heten die ook maar weer) zijn toch dikke onzin.. gelukkig kan je ze uitzetten..

90710 @t-h • 9 februari 2005 07:58

Die schuddingen heten buzzers.

Niet dat ik het nodig vind dat ze er inzitten. Maar ach... Een mooie functie van MSN M 7 is de intergratie met MSN Space. En dat je als afwezig, etc, kan aanmelden.

Eigenlijk zouden ze MSN zo moeten maken dat je alleen gebruikt wat je wilt gebruiken en dat de overige dingen verborgen blijven...

Anoniem: 55563 @t-h • 9 februari 2005 09:15

Inloggen onder een andere status kan al heel lang met trillian. Verder ondersteunt trillian nu het msn protocol ook officieel sinds de makers ervan een licentie hebben gekocht

XyritZz @johnneman • 8 februari 2005 20:52

Vergeet niet de tweakers die er van genieten om die Breezah vrouwtjes online te zien

Al die extra's vind ik niet erg in MSN, maar Microsoft moet wel onthouden dat het succes van MSN is begonnen toen chatten populair werdt, en ICQ te ingewikkeld bleek voor de vele nieuwelingen. Door opties bij te blijven voegen wordt MSN ook steeds wat ingewikkelder...

Misschien zou het een idee voor Microsoft zijn om een oude ( simpele/kale) MSN versie de beveiliging van de nieuwe versies te geven, zodat je een soort van MSN Lite krijgt, speciaal voor de mensen die er geen troep in willen

DennisBoom @XyritZz • 8 februari 2005 20:58

Die simpele kale versie van MSN Messenger heet Windows Messenger. En zoals hierboven te lezen is, is die ook niet vulnerable voor dit probleem.

GekkePrutser @XyritZz • 9 februari 2005 10:11

Ja, maar die kan je alleen onder Windows XP gebruiken.. Het is een meegeleverd component van Windows XP, hij draait niet onder 2000

Anoniem: 119196 @XyritZz • 9 februari 2005 12:38

Toch is Windows Messenger meer dan alleen een uitgeklede MSN Messenger. Denk bijvoorbeeld aan de ingebouwde SIP ondersteuning.

Anoniem: 75364 @johnneman • 8 februari 2005 23:56

Het is gewoon bijna niet meer weg te denken.

En zo ging Microsoft aan zijn eigen onzin features ten onder. Ben ook bijzonder benieuwd naar dat Avalon enzo..

WhiteDog 8 februari 2005 20:31

Tja wat moet je hierop zeggen. Open-source clients gaan geen extra security bieden want doe bevatten ook fouten.

Moesten die 130 miljoen mensen echter gebruik maken van tientallen verschillende IM clients (bv. gebaseerd op een open IM standaard) zou de impact vele malen kleiner zijn.

Tijd dat Microsoft, AOL en Jabber de handen in elkaar slaan dus

@ Goofy666 hiervboven: Miranda IM is ook mijn favoriet, hoewel de 0.4 beta's me wat tegenvallen...

Ortep

@WhiteDog • 8 februari 2005 20:37

Tijd dat Microsoft, AOL en Jabber de handen in elkaar slaan dus

Volgens jouw eigen idee moeten ze dat dus niet. Want dan werken ze samen en krijg je hetzelfde ding met dezelfde fouten. Die open standaard kan nl ook fouten bevatten die er voor zorgen dat, wat je ook doet, je client altijd het probleem krijgt. Er loopt op dit moment een discussie over browsers.

http://www.tweakers.net/nieuws/36123

Juist de 'alternatieve' browsers hebben last van een bepaald veiligheidsprobleem. En dat probleem zit hem in de standaard, niet in de brouwsers. IE heeft daar geen last van. Waarom niet? Omdat ze zich botweg niet aan de standaard hielden.

WhiteDog @Ortep • 8 februari 2005 20:53

een gezamelijke standaard is iets anders dan een gezamelijk programma. Een protocol leg je vast op papier zeg maar, hoe je het implementeert kiest iedereen zelf

De fouten in MSN Messenger (buffer underruns) hebben ook niets met het protocol te maken, het is MSN Messenger die slecht omgaat met foutieve data. Andere MSN Clients hebben hier dus geen last van (in dit specifiek geval).

Ortep

@WhiteDog • 8 februari 2005 21:16

een gezamelijke standaard is iets anders dan een gezamelijk programma. Een protocol leg je vast op papier zeg maar, hoe je het implementeert kiest iedereen zelf

Je hebt helemaal gelijk. En dat is dus precies wat er mis ging bij de browsers. Hoe ze het ook implementeerden, ze zijn allemaal kwetsbaar. Het protocol is nl het probleem. Ook protocollen kunnen fouten of onveiligheden hebben. Lees de het newsitem maar eens wat ik in de link gaf. De enige die geen last heeft is degene die zich dus niet aan het protocol hield.

Anoniem: 60146 @WhiteDog • 8 februari 2005 20:38

Grote kans dat OSS clients de avatar anders implementeren en daardoor niet vatbaar zijn voor deze lek. Sowieso zijn OSS clients minder geintegreerd in het hele systeem - MSN Messenger is zowat volledig geintegreerd na de installatie.

Websmurf @Anoniem: 60146 • 8 februari 2005 20:45

Dan is het hele nut van 1 open standaard toch weg.
1 standaard wil zeggen dat iedereen het op dezelfde manier afhandeld.

En MSN messenger zit niet ingebakken in windows. Ik kan tijdens installatie netjes zeggen dat ik die niet wil installeren.

Goofy @WhiteDog • 9 februari 2005 05:17

@ WhiteDog

Gebruik gewoon v3.3.1, die's hier altijd al heel stabiel geweest. Of zijn er nieuwe features die de beta waard zijn?

* 786562 Goofy666

Dwar 8 februari 2005 20:41

Ik ga er vanuit dat het nu wel verstandig is om het vinkje "O Aleen persoonen in mijn lijst Geacepteerd kunnen mijn status zien en mij berichten sturen" van het tab blad Privacy van het optiets venster aan te vinken.

R_W @Dwar • 9 februari 2005 16:40

Is het niet zo dat de plaatjes van mensen die niet in je lijst staan niet geladen worden?

Diggie9 @R_W • 10 februari 2005 04:01

Is het niet zo dat de plaatjes van mensen die niet in je lijst staan niet geladen worden?

Die worden wel geladen, duurt gewoon iets langer, kep ongeveer 300 verwijderde contacts en 150 online contacts, dus ik kan het weten

word dr btw gek van dat er nie meer als 150 in me lijstje passen, oplossing iemand?

hellboy123

8 februari 2005 21:56

haha lol probeer met je PDA in te loggen dat gaat wel goed, alleen is er verder niemand online om mee te lullen

Anoniem: 89596 8 februari 2005 20:34

gelukkig hebben we nog progies als skype (heeft ook chatfunctie), ICQ, IRC en dan ook altijd nog de ouderwetse telefoon

Anoniem: 60146 @Anoniem: 89596 • 8 februari 2005 20:42

Wat dacht je van het jabber protocol en de vele clients?

Choxo @Anoniem: 89596 • 8 februari 2005 20:43

Als mijn andere kennissen en vrienden deze nu ook hadden...
In mijn klas is Irc nog lang niet ingeburgerd hoor, laat staan skype

Oebele Drijfhout @Anoniem: 89596 • 8 februari 2005 20:38

of een goed boek natuurlijk

El Cid 8 februari 2005 20:23

Die 130 miljoen is een beetje overdreven, aangezien alleen mensen in je contactlijst de mogelijkheid hebben om in te breken.

Dijkhuis @El Cid • 8 februari 2005 20:27

Maak een virus dat zich verspreid via je msn contactlijst. Dan gaat het hard hoor!

Gutteguttegut @Dijkhuis • 8 februari 2005 20:41

Bestaat al, of in iedergeval een soort van scriptje die automatisch alle contact personen in je msn lijstje het scriptje toe stuurt zonder dat jij het door hebt.
* 786562 Dr.Z

Anoniem: 55022 8 februari 2005 20:25

Lijkt me vervelend werk om te moeten werken aan het operationeel krijgen van messenger.

Er zitten dan toch aardig wat mensen op je te wachten opeens.

Ik heb het al nooit zo gehad op die plaatjes, achtergronden enzovoorts. Sommige mensen zijn zo opdringerig ermee.

Hopen dat t snel weer werkt want iedereen opeens gaan bellen is ook geen optie.