Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties
Bron: The Inquirer

De Inquirer heeft een bug in Internet Explorer aan de grote klok gehangen. De door SEC-Consult ontdekte fout in het javaprxy.dll-bestand maakt gebruik van zogenaamde embedded objects. Het bedrijf ontdekte 'minstens twintig' COM-objecten op een gewone XP-machine die, wanneer ze in een <object>-element in een HTML-document worden opgenomen, tot geheugencorruptie kunnen leiden. Daardoor zou het mogelijk zijn om willekeurige, mogelijk kwaadaardige code uit te voeren; reden genoeg voor Secunia om de bug van het label 'highly critical' te voorzien.

Bugje In een security advisory raadt Microsoft gebruikers aan om 'voorzichtig' met linkjes in e-mail om te gaan en om te zorgen dat XP eerst toestemming vraagt alvorens ActiveX-objecten uit te voeren. De eenvoudigste manier om dat voor elkaar te krijgen is door de Internet- en Local Intranet Security Zone-instelling op 'hoog' te zetten. Verder wordt de bug 'aggressively' door de softwarebakker onderzocht. Indien noodzakelijk wordt een update uitgebracht, maar er zouden nog geen exploits in het wild zijn aangetroffen.

Lees meer over

Gerelateerde content

Alle gerelateerde content (34)
Moderatie-faq Wijzig weergave

Reacties (58)

maar er zouden nog geen exploits in het wild zijn aangetroffen.
Die moeten ze toch juist voor zijn met een update, en niet wachten tot het te laat is |:(
microsoft komt zelden met fixes voor het een probleem is geworden. daarom moeten beveiligingsbedrijven het lek publiekelijk bekend maken, want ze hebben vaak al lang aan microsoft laten weten dat er een probleem is, maar die doet er niets aan zolang er geen virussen zijn. door het publiekelijk te maken kunnen scriptkiddy's virussen gaan bakken, en moet microsoft er wel wat aan doen...

tja, triest. maar waar.
Ergens is die redenering niet helemaal logisch...

Ik ben het ermee eens dat Microsoft het heel moeilijk vind om iets te patchen (ze zeggen zelf omdat er zoveel software rondhuppelt dat gebruik maakt van mogelijkheden van functies die eigenlijk een bij-effect zijn, en die moeten ook blijven draaien).
Maar om nou aan de grote klok te hangen hoe je moet inbreken? Terwijl de boefjes meelezen? Nee, niet logisch.
Proof of concept trouwens wel ok maar alleen in zeeeer beperkte kring.
Als jij een foutje in je programma hebt, dan verbeter je het, compile je het en release je het.
De stapjes zijn bij Microsoft wel wat groter.
Sorry hoor, maar hoe kan een simpele one-liner als dit nu als informatief worden beoordeeld?

Snap je toch echt niks van...
Tsja, ik zou ook eerder 'inzichtvol' zeggen, of wellicht 'overbodig' (iedereen weet het al), danwel 'dubbelpost'. Overigens zou ik dit antwoord van mezelf als 'overbodig' modden ;)
Het is dit stukje code dat IE doet crashen, try it!

<html><body>
<object classid="CLSID:03D9F3F2-B0E3-11D2-B081-006008039BF0"></object>
</body>
<script>location.reload();</script>
</html>
Hier crashed IE niet, maar wordt het netjes afgevangen door Internet Explorer. Ik moet het activeX applet eerst toestemming geven om te mogen starten.
Daarna crashed IE inderdaad
Eerst vraagt IE of ik het wil installeren, daarna krijg ik de waarschuwing dat de inhoud mogelijk gevaarlijk kan zijn, vervolgens krijg ik een wit IE-scherm dat telkens ververst, en IE noch mijn PC crasht.
Totaal niets aan de hand dus (XP SP2, gebruiker is administrator, P2 366 MHz, 256 MB).
die location.reload(); zorgt voor de ellende.
Kan dit niet met elke classid, of moeten ze echt uit het genoemde dll bestand komen. Waarschijnlijk zijn er dan veel leukere te vinden.
uhm, me IE crasht niet =(.
Hij blijft gewoon reloaden, als ik het zonder die object tag probeer geeft het zelfde effect.

Je kan welliswaar weinig met het scherm en het duurt ff voordat ie weer stopt als je op stop drukt maar hij crasht nog net niet. Mgoed, het is tot geheugencorruptie kunnen leiden.

Standaard xp home SP2 installatie met limited user account gebruikt.
ActiveX lijkt de bron te zijn van de meeste ellende die in IE misbruikt wordt. misschien toch raadzaam om het hele idee overboord te gooien.
Ik hoop dat je die opmerking niet serieus bedoelt...

Weet je hoeveel ActiveX gebruikt wordt in corporate environments?
ActiveX is namelijk nog steeds een van de belangrijkste redenen van grote bedrijven om IE te blijven gebruiken ipv FireFox omdat ze anders bijvoorbeeld geen Citrix Services kunnen launchen.
Goed.. wat ik maar niet snap: waarom laat je in vredesnaam een <object> tag toe in een e-mail? Ik snap deze houding van Microsoft niet, niemand heeft behoefte aan ActiveX in e-mail.

Doordat Outlook de HTML rechtstreeks zonder restricties door Internet Explorer haalt, krijg je alle bugs van Internet Explorer cadeau erbij in Outlook.
bon, weeral een "lek" waarbij de gebruiker expliciet toestemming moet geven, tenzij ze hun explorer zelf ingesteld hebben om doodleuk ongevraagd activeX componenten uit te voeren. Wat een gevaarlijke wereld leven we toch in zeg :o
Volgens mij is het precies andersom. Je moet zelf je beveiligingsniveau op hoog zetten, anders ben je makkelijker doelwit. Aangezien men over het algemeen niet weet wat ActiveX is, zal men zelf op zo'n waarschuwing nog 'ja' antwoorden. De waarschuwing zelf stelt namelijk wel heel weinig voor: "Een of meerdere ActiveX objecten hebben toestemming nodig om uitgevoerd te worden. Wilt U deze objecten toestaan?" of iets in die trant was het.
Nee, als je SP2 hebt geinstalleerd (iets wat iedere enigsinds verantwoorde gebruiker gedaan zou moeten hebben) dan wordt er netjes gevraagt of een activeX control uitgevoerd moet worden. Je weet wel dat popup block geluidje met boven in je browser zo'n balkje waar je dan op moet klikken om het te installeren/uit te voeren.
Jullie hebben het allemaal over nieuwe active-x controls die geinstalleerd willen worden, hier gaat het om active-x controls die reeds zijn geinstalleerd. Jij krijgt toch ook niet telkens een vraag als een site flash wil gebruiken toch?
Jij krijgt toch ook niet telkens een vraag als een site flash wil gebruiken toch?
Ik wel :Y)
tjah, je wil niet weten hoeveel mensen er op "ja" drukken zodra ze een dialoog zien....

mn ouders, of eerder, onervaren gebruikers doen dat nogal vaak, omdat ze er vanuit gaan dat het "toch wel veilig" is,, en "wat kan er gebeuren"

dus... tjah.
alle lekken moeten gewoon opgelost worden.
ja, idd gevaarlijk... ik begrijp dit ook niet, eindverandwoordelijkheid ligt dus bij de surfer... dit is bijna hetzelfde als naar een spywaresite gaan en spyware downloaden en installeren...
Het vervelende van ActiveX is dat het volledige toegang tot je computer heeft. Dus om ook maar íéts met ActiveX te kunnen doen moet je het gelijk toegang tot je hele systeem geven. Java, bijvoorbeeld, werkt in een Sandbox: het mag alleen in een beperkt deel van het systeem komen. Daarom is ActiveX zo verschrikkelijk gevaarlijk; je kan op een site een spelletje spelen, terwijl het op de achtergrond je hele computer om zeep helpt. Dat kan met Java nooit gebeuren...
ja, idd gevaarlijk... ik begrijp dit ook niet, eindverandwoordelijkheid ligt dus bij de surfer... dit is bijna hetzelfde als naar een spywaresite gaan en spyware downloaden en installeren...
Nee, het is als een electricien bellen en die niet alleen de sleutels van je meterkast geven, maar ook die van je Mercedes, kluis en de kuisheidsgordel van je vriendin.

reacties op onderstaande
Zou maar niet te vlug roepen dat dit in Java niet mogelijk is/was door het sandbox principe. In vorige JVM versies waren er ook exploits hoor
Exploits zul je altijd hebben, maar exploits worden opgelost (als het goed is). ActiveX is unsafe by design.
Zou maar niet te vlug roepen dat dit in Java niet mogelijk is/was door het sandbox principe. In vorige JVM versies waren er ook exploits hoor, die mogelijk werden via applets indien de ontwikkelaar code op zo een bepaalde manier schreef dat hij om het even wat kon uitvoeren op de client. Heb dit gezien op de JavaPolis voorstelling dit jaar, wel erbij vermelden dat die vooral bij de JVM implementatie van MS mogelijk was B-)
Is dat omzeep helpen niet alleen het geval als je ingelogd bent als Administrator?

Als je inlogt met limited account of zelf rechten instelt moet dat toch niet het geval zijn? Of runt ie activeX componenten niet onder de ingelogde user?

Ik kan inzien dat overal waar de gebruiker op dat moment schrijf/delrechten voor heeft dat dat omzeep geholpen kan worden of dat er via deze ingang en een andere exploit wat gedaan kan worden. Maar alleen met deze exploit en een fatsoenlijk ingestelde machine niet.

Hierbij Windows98/ME even uitgesloten uiteraard, dat is voor dit soort zaken een ramp.
Indien noodzakelijk wordt een update uitgebracht, maar er zouden nog geen exploits in het wild zijn aangetroffen.
Ow gelukkig maar, dus als er iemand getroffen word dan sturen ze me wel een patch. :r
dat vind ik een beetje flauw. Er wordt simpelweg gemeld dat er nog gevallen bekend zijn van misbruik van deze fout in IE. Met de patch zullen ze ongetwijfeld bezig zijn of hij is al klaar.
Met de patch zullen ze ongetwijfeld bezig zijn of hij is al klaar.
Code name: Long Horn
Final Release Name : XP SP3
Release Date : november 2006
En dat noemen ze dan "highly critical". Ik zou deze term eigenlijk bewaren als ze bijvoorbeeld ineens bestanden die je encrypted in je eigen profiel bewaard remote kunnen binnenhalen.

Ik bedoel, wat voor een melding kun je nog verzinnen als er echt zo'n erge security breach is?

Bovendien denk ik echt dat mensen onderschatten hoeveel tijd en moeite het kost om een product als dit vrij te maken van dergelijke bugs.

Vergeet overigens niet dat Internet Explorer in principe een gratis product is.
Jij koopt overduidelijk je Windows licentie's niet.....
IE is een onderdeel van het Windows OS een deel van die kosten zijn verwerkt in het bedrag dat jij betaald voor je Windows licentie...
ok, laat mij maar zien waar ik mijn gratis internet explorer voorl linux kan downloaden dan :+
Gratis is gratis. Denk dat ze verder als iets gratis aangeboden wordt weinig platform verplichtingen hebben.

En het is gewoon een rare opmerking. Het is gratis beschikbaar voor windows ja....heeft verder niets met deze discussie te maken.
Dus ik kan hieruit opmaken dat mijn geheugen op afstand kan worden vernield ofzo :?
ik denk dat men in het artikel over geheugen-corruptie bedoeld dat kwaadwillende door middel van die bug iets in het geheugen kan zetten, een programma kan draaien/starten en iets kwaads met je computer kan doen.
Dit is dan toch gewoon een bufferoverflow techniek die wordt afgevangen door XP SP2+NX command van moderne CPU?
Waarschijnlijk niet eens.

Je hebt goede kans dat die gedeeltes van het geheugen die het ActiveX object bevatten niet als NX gelabeld zijn, er moet namelijk iets uitgevoerd worden (het ActiveX script/programmaatje).

That is, als ik het NX gedeelte een beetje goed begrepen heb... ;)
Dit is dan toch gewoon een bufferoverflow techniek die wordt afgevangen door XP SP2+NX command van moderne CPU?
Zelfs al is dat zo, het aantal CPU's zonder NX-attribute is nog altijd veel hoger als het aantal met...
Nee. Je zou een stuk geheugen waar al uitvoerbare code in staat kunnen overschrijven met je eigen code. Het OS vond al dat code uit dat stuk uitgevoerd mag worden, en ziet geen probleem.
Nee maar wel de inhoud van je geheugen
oke ik heb hem even getest op verschillende "versies" van win xp ( d.w.z. verschillende mate van patches )
pas toen ik sp2 installeerde craschte hij niet meer. dus voor iedereen die geen sp2 erop heeft zitten kan deze bug een serieus doelwit zijn voor exploits
Dat script laat mijn explorer niet crashen hoor... :o
Gelukkig hebben we Firefox... :+
Lollig hoor, firefix is lekker bugvrij
|:( |:( |:( |:( |:( |:( |:( |:( |:( |:( |:( |:( |:( |:(
Nee gelukkig hebben we Maxthon welke niet zomaar ActiveX laat instaleren.
Het is dan nog maar in de begin ontwikkeling maar het werkt al wel.
Dit alles wordt veroorzaakt door het businessmodel van MickeySoft: produkten verkopen. En als je produkt dan niet goed blijkt te zijn, dan kost reparatie alleen maar geld. De opensource hoek verkoopt service en support op de produkten, niet de produkten zelf. Zij hebben er dus belang bij dat de software zo goed mogelijk werkt en er dus niet veel support geleverd hoeft te worden..
Buiten het onzinnige karakter van je post om, wil ik toch even ingaan op je laatste argument.
Je stelt dat OpenSource geld "verdiend" dmv support en service en vervolgens concludeer je dat open source er belang bij heeft dat het product goed werkt (dus: er hoeft dan geen support en service verleend te worden).
Maar goed op zich past deze verkeerde conclusie in jouw manier van posten.

Ontopic:
op zich worden er vrij veel "bugs" ontdekt, maar hoeveel dan deze bugs worden daadwerkelijk misbruikt en zijn schadelijk voor de "normale" consument?
Er wordt meer prioriteit aan toegekend dan in de praktijk het geval is naar mijn mening.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True