Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties
Bron: Infoworld

Eergisteren raakte bekend dat het door een lek in de avatar-functie van MSN Messenger mogelijk was een computer van een gebruiker over te nemen. De eerste exploit die gebruikmaakt van deze bug is nu op het internet verschenen. De auteur van de software om het lek te misbruiken publiceerde bovendien niet alleen het uitvoerbare bestand, maar ook de broncode, zodat verwacht mag worden dat er binnenkort varianten zullen opduiken. Om de computer van het slachtoffer over te nemen wordt gebruik gemaakt van een fout in de libpng-codebibliotheek, die onder andere gebruikt wordt om de smileys of emotions weer te geven, evenals de gebruikersafbeeldingen. Met de verschillende codevoorbeelden die gepubliceerd werden kan men de Messenger-software van het slachtoffer laten crashen of software op het systeem draaien zonder dat het slachtoffer zich hiervan bewust is.

MSN-vlinderIn de maandelijkse patchronde leverde Microsoft verschillende patches en updates die fouten in de libpng-bibliotheek herstellen. Veel gebruikers hebben echter de automatische update-functie uitgeschakeld, waardoor kwaadwilligen die gebruikmaken van reeds gepatchte fouten toch nog heel wat systemen kunnen infecteren. Volgens program manager Stephen Toulouse is de bètaversie van MSN Messenger 6.2.7 niet vatbaar voor misbruik. In afwachting van de lancering van deze versie, worden gebruikers aangeraden zo snel mogelijk de MS05-009-patch te installeren om het png-lek te herstellen.

Moderatie-faq Wijzig weergave

Reacties (40)

Spannend zo'n lek....altijd weer een nieuwe uitdaging.

Op naar SP3 waarin het niet meer mogelijk zal zijn een optie te verkiezen om de updates NIET binnen te halen.

edit: á la HalfLife 2 moet je i-net hebben om het te kunnen gebruiken
Wat wou je anders met MSN doen, offline met jezelf chatten?
Nee, maar misschien wel met mijn ouders of broertje/zusje op het netwerk. Dan heb je geen internet nodig, maar kan iets als msn wel handig zijn. (lanchat bijv)
Jez*s wat sneu, als je zelfs al met je huisgenoten gaat msnnen. Kan er niemand meer praten dan ofzo? Handig, kun je broadcasten dat je kunt eten...
Mijn moeder belde mij pas op mijn GSM. (terwijl ik op zolder zat en zij beneden)
Ze wilde wat vragen over de pc, maar wist niet hoe ze MSN moest opstarten, want die had ze daarvoor uitgezet :+
moet je niet zelf zo'n PNG als afbeelding kiezen :+
Deze versie is in dat kader ook niet vatbaar :)

http://members.home.nl/kox/
á la HalfLife 2 moet je i-net hebben om het te kunnen gebruiken
Denk niet dat er zonder i-net veel ge-exploit wordt }:O
beetje offtopic maar ik speel HL2 zonder internet hoor
Op naar SP3 waarin het niet meer mogelijk zal zijn een optie te verkiezen om de updates NIET binnen te halen.
Lijkt me handig. Tot er een patch komt waardoor een belangrijke bedrijfsapplicatie niet meer werkt... Hoewel het natuurlijk altijd de vraag blijft hoe verstandig het is om belangrijke bedrijfsapplicaties op Windows te draaien.
En als je een andere cliënt gebruikt (à la Trillian) is die dan ook gevoelig voor dit lek?
Denk het niet, want MSN 7 is er wel beschermd tegen.
Ik heb ergens gelezen dat 7 ook lekken bevat?
wat is nu dan wel en niet waar dan?
Ligt aan de versie van libpng waar het tegen gelinked is, maar 1 op 1 is er een kleine kans dat het werkt omdat de code natuurlijk iets verschilt waardoor de buffer overflow niet vanzelfsprekend uitgevoerd kan worden.
Volgens program manager Stephen Toulouse is de bètaversie van MSN Messenger 6.2.7 niet vatbaar voor misbruik.
:?

Volgens mij bedoelt die man of de bèta van 7.0 of versie 6.2 build 0205, versie 6.2.7 heb ik nog nooit van gehoord :P
Is die dat png-lek waar ik een half jaar geleden al een linux-update voor kreeg, of is dit een andere? Anders lopen ze wel heel erg achter......

*Vraag is dus: Was dit png-lek eigenlijk al bekend, of is het een nieuw png-lek wat in combo met MSN misbruikt kan worden?*
En hoe zit het dan met groepsgesprekken??

Hierbij kun je ook chatten met mensen die niet in je lijst staan!
Hoe zit het met gebruikers van de oude windowsversies (Me en 98), is daar ook een patch voor?
Of zijn die niet vatbaar voor die exploit?
Die zijn vatbaar voor honderden andere exploits. Dus 1 meer of minder maakt dan ook niet uit...
Wel handig om even de linkjes erbij te zetten:

Directe link patch voor Nederlandse MSN messenger 6.1 of 6.2:
http://download.microsoft.com/download/2/8/1/2817ceaf-2de7-48bc-b33c-5 ad924ae93e7/NL/SetupDL.EXE

Directe link patch voor Engelse MSN messenger 6.1 of 6.2:
http://download.microsoft.com/download/2/8/1/2817ceaf-2de7-48bc-b33c-5 ad924ae93e7/EN/SetupDL.exe


Het betreffende Microsoft Security Bulletin MS05-009:
http://www.microsoft.com/technet/security/bulletin/MS05-009.mspx
edit:
net telaat, was in ieder geval goed bedoeld


Link naar de MS05-009-patch
http://www.microsoft.com/technet/security/bulletin/ms05-009.mspx
@rtgo:
Are Windows 98, Windows 98 Second Edition or Windows Millennium Edition critically affected by this vulnerability?
Yes. Customers running an affected version of MSN Messenger should install the updated version of MSN Messenger.
Omdat sommige mensen nog enige controle willen houden over wat er wel en niet op hun systeem komt. En zeg nou niet dat je bij automatische updates kan aangeven wat je wel en niet wil installeren, want dan is het natuurlijk niet automatisch mee :P
Een slim alternatief lijkt mij dan het gebruik van webmsn

http://webmessenger.msn.com

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True