Exploitcode gepubliceerd voor 'zeer kritieke' IE-bug

Beveiligingsexperts waarschuwen gebruikers van Internet Explorer voor een als zeer kritiek bestempelde JavaScript-kwetsbaarheid. Verschillende bedrijven, waaronder het Britse ComputerTerrorism, zouden hebben aangetoond dat een in mei opgemerkte onvolkomenheid niet alleen kan leiden tot het op afstand laten crashen van een computer; het zou ook mogelijk zijn er willekeurige code op uit te voeren. ComputerTerrorism raadt gebruikers aan om active scripting uit te schakelen, in ieder geval voor onbekende sites, totdat er een patch beschikbaar is. Microsoft heeft een veiligheidsbericht gepubliceerd waarin het te kennen geeft de zaak te onderzoeken. Microsoft en ComputerTerrorism spelen elkaar ondertussen de zwarte piet toe. ComputerTerrorism bekritiseert Microsoft voor het niet patchen van een probleem waarvan het bestaan al in mei bekend was; Microsoft is op zijn beurt verbolgen over het feit dat ComputerTerrorism met de kwetsbaarheid naar buiten is getreden, wat voor onnodige risico's zou zorgen.

Reacties (90)

Verwijderd 22 november 2005 14:28

Voor de volledigheid:

De bug was inderdaad al in mei opgemerkt, maar was toen als 'low priority' aangemerkt. Dit omdat de browser wel crashte maar verder geen code kon worden uitgevoerd.

Nu blijkt via een proof of concept dat (vele maanden later) het toch mogelijk is code uit te voeren. Echter via een behoorlijke omweg, daarnaast werkt het niet consistent en zitten er behoorlijke limitaties aan.

Wat ComputerTerrorism verkeerd heeft gedaan is het direct posten van hun proof of concept welke de bug naar critical verheft. Wat ze hadden moeten doen is het eerst aan MS moeten melden zodat die met een patch hadden kunnen komen voordat ze het proof of concept gepost hadden.

Het is niet ongewoon dat low priority bugs meer als een half jaar blijven liggen, daarom heten ze low priority. Het is alleen niet netjes wanneer je een critical bug vindt je deze niet eerst even naar MS stuurt

In mijn ogen heeft MS dus niet veel verkeerd gedaan en is alle kritiek hierover onnodig.

PipoDeClown @Verwijderd • 22 november 2005 15:07

"wat niet weet wat niet deert"? of "als er niemand iets over zegt dan gaan we er ook niets aan doen"?

Verwijderd @PipoDeClown • 22 november 2005 15:31

Meer een geval van wij kunnen niet fixen wat we niet weten.

Het was eerder niet bekend dat er code uitgevoerd kon worden.

Over "Security through obscurity" is overigens behoorlijk veel geschreven. Dat het Microsofts policy is is waarschijnlijk noodgedwongen maar das een hele andere discussie.

Zie bijvoorbeeld:

http://en.wikipedia.org/wiki/Security_through_obscurity

http://slashdot.org/features/980720/0819202.shtml

Sendy @Verwijderd • 22 november 2005 15:29

Blijkbaar heeft Microsoft dan de ernstigheid van deze bug zeer verkeerd ingeschat. Is dat geen fout van MS?

Evil_Ed @Verwijderd • 22 november 2005 15:50

/* De bug was inderdaad al in mei opgemerkt, maar was toen als 'low priority' aangemerkt. Dit omdat de browser wel crashte maar verder geen code kon worden uitgevoerd.
Nu blijkt via een proof of concept dat (vele maanden later) het toch mogelijk is code uit te voeren.*/

Dit roept bij mij toch wel enkele vraagtekens op :

Een bug wordt gemeld , er wordt door microsoft (naar ik aanneem) toch serieus getest of de bug daadwerkelijk geen critical status dient te krijgen.
Er is blijkbaar geen werkende proof of concept en dus gooien ze hem op de hoop.. (totdat iemand wel met een werkend proof of concept opduikt)

Vervolgens krijgt diegene de kous op de kop omdat hij publiekelijk laat weten dat ze bij MS misschien wel laks zijn met aangeleverde bugrapporten of nog erger niet de kennis hebben zelf een proof of concept te realiseren om aan te tonen dat de bug critical is (kan worden).

Hoe je het wendt of keert ik vind MS hier toch wel in gebreke blijven, ofwel door niet afdoende kennis en kwaliteit van de materie om zelf een proof of concept te bedenken/realiseren, ofwel door het feit dat ze wachten totdat er iemand opstaat die zelf een proof of concept toont voor een bug die ze aannemen als zijnde een low profile threat.

Da's een mooie manier van werk uitbesteden en erger nog geld vangen voor werk wat je niet zelf doet maar lekker uitbesteed aan een andere partij.

Die dan vervolgens worden verheven tot een stelletje computer terroristen (phun intended).

Nee naar mijn idee is MS wel degelijk de partij die de blaam treft, als mensen de moeite doen een bug te melden zou je tenminste verwachten dat er serieus naar gekeken wordt en als je zegt 'oh er kan niks gebeuren dat hebben we getest' en vervolgens wordt je met een proof of concept (al is het met tig omwegen) om je oren geslagen dan ben je het waard om een beetje silly geslapt te worden als je het mij vraagt.

just my 3 stuivers....

kimborntobewild @Verwijderd • 23 november 2005 04:47

Als je dan tóch zo onnozel bent om erg zwáár op Security by Obscurity te leunen, pak dan op z'n minst elk denkbare bug zo snel mogelijk aan. Dat de boel al vastloopt is al niet low-priority noemen. Ze nemen instabiliteit dus gewoon op de koop toe bij MS!
Als een klein bedrijfje als Opera 't binnen één dag kan, moet MS dat ook kunnen.
Het geeft m.i. gewoon weer eens aan dat veiligheid nog steeds een véél te lage prioriteit heeft bij MS.
Eérst moet lock-in en dergelijke nog wat meer uitgemolken worden.

Verwijderd @Verwijderd • 22 november 2005 16:11

Dus het is een ander zijn schuld dat Microsoft een gemelde bug verkeerd inschat (lees : de moeite niet doet het deftig te controleren) om dan naderhand te lopen roepen dat het een schande is dat die bug zwaar exploitable is ?

Marf0rz 22 november 2005 14:19

De Proof of Concept is idd bizar, via een script opent IE mijn calc.exe! Als ik hetzelfde met Firefox probeer, crashed Firefox, hehe (1.5rc3).

Verwijderd @Marf0rz • 22 november 2005 14:58

Mijn firefox (1.0.6) doet het wat dat betreft beter. Misschien zijn het de plugins die ik gebruik...ik krijg een 404 wat in IE een popup is (via singewindow in een nieuw tabblad)...en verder gebeurt er niks

.

De link (via 'aangetoond' uit het artitkel...je kan ook zelf zoeken

): http://www.computerterrorism.com/research/ie/poc.htm

t-x-m @Verwijderd • 22 november 2005 16:13

IE7 trapt er ook niet in(krijg een 'explorer user prompt')

Verwijderd @t-x-m • 22 november 2005 21:34

En IE6 bij mij ook niet

Was er niet toevallig een fix hiervoor bij het AutoPatcher pakket?

Ik heb het script 15min laten lopen maar ik krijg alleen een prompt te zien met XXXXXXXXXX

Ik lag me dood als er al een fix was die ze over het hoofd hebben gezien

catfish @Marf0rz • 22 november 2005 14:42

klinkt toch ook niet zo zuiver vind ik...
het is wel beter natuurlijk, maar een beetje meer exception handling kan bij veel progs echt geen kwaad

Verwijderd @Marf0rz • 22 november 2005 14:51

Heb je soms een link? Ik durf er helaas niet naar te googlen.

Sfynx @Marf0rz • 22 november 2005 23:25

Hier gaat IE gigantisch op z'n bek met een of ander geheugenlocatie die niet gelezen kan worden. Ik draai IE dan wel als normale gebruiker, niet als admin... misschien zijn die rechten nodig voor een bepaalde stap?

mschol @Marf0rz • 23 november 2005 14:56

mijn IE6 (win xp SP2)
die geeft een JS prompt met xxxxx erin en daarna wordt ie eff traag en crasht IE (maar windows gaat gewoon lekker door...)

Robbbert 22 november 2005 14:15

Het lijkt mij eigenlijk wel logisch. Als Microsoft al meer dan een half jaar lang een kritieke bug niet hersteld omdat er niet naar ComputerTerrorism wordt geluisterd, dan zullen ze het toch aan de grote klok moeten hangen om Microsoft actie te laten ondernemen.

Verder zou het me niets verbazen als de echte computercriminelen hiervan al op de hoogte zijn. Dus het feit dit dit nu gepubliceerd wordt zal denk ik geen groot probleem worden.

dyna18 @Robbbert • 22 november 2005 15:31

Ik ben het niet met je eens. Hoewel er op deze manier zeker dwang wordt uitgeoefend om snel het security probleem te verhelpen, vind ik het middel erger dan de kwaal.

Ik ben fel tegen het publiceren van exploit code. Dit heeft namelijk vooral als resultaat dat deze code in handen komt van duizenden script kiddies die het zeker zullen misbruiken. Dit verergert het veiligheidsprobleem enorm, met als resultaat veel consumenten als slachtoffer.

Andros @dyna18 • 22 november 2005 16:30

Waarna ze ons als handige neefjes optrommelen, wij fixen die pc's weer, zetten er Opera en FireFox op, raden de mensen met klem aan daarmee te surfen. Mensen wat wijzer, wij een zakcentje bij. Wat is het probleem

kidde @dyna18 • 22 november 2005 20:45

Dit heeft namelijk vooral als resultaat dat deze code in handen komt van duizenden script kiddies die het zeker zullen misbruiken.

Misschien een reden voor MS om eens na te gaan denken over security by design? Als een klein groepje mensen dat met CoyotOS kan, dan MS met al die miljarden toch ook wel? Of zijn ze echt zo incompetent als velen van ons denken?

(En nee, ik loop hier niet voor Linux-fanboy te spelen, want Linux/Firefox zijn ook niet secure by design. De firefox-bugs worden doorgaans wat sneller gefixt, maar het zijn er ook te veel)

Hoe lang weten ze bij MS nou al dat het internet niet veilig is? Hebben ze daar nog nooit van formeel verifiëerbare veiligheid van software gehoord?

dyna18 @kidde • 22 november 2005 23:25

Vanwege je MS bash wil ik je er even op wijzen dat ik het niet over MS had, maar over het posten van exploits in zijn algemeenheid... Dat gaat voor alle software op, ook open source.

Ik blijf erbij dat diegene die exploit code openbaar maken, niet de veiligheid helpen. Sterker nog, zij dragen vooral bij dat het ontdekte veiligheids probleem een factor 10 erger wordt.
Diegene die de exploit open baar maken, doen dat in 90% van de gevallen ook puur voor eigen belang. Zij zijn op zoek naar aandacht van de bouwer en erkenning van de community ipv dat zij veiligheid in het hoofd hebben. Kijk maar naar het bericht over de Google lek hier een paar berichten terug op Tnet.... Daarin was de ontdekker ook verontwaardigt dat hij niet genoeg erkenning kreeg voor zijn ontdekking.

kidde @kidde • 23 november 2005 15:38

dyna18:

MS wordt hier niet gebasht (dat maak jij er zelf van, en ik zou haast denken nog graag ook), het zijn slechts vragen en geen antwoorden, kan het ook niet helpen dat mensen zich aangesproken voelen, en hierboven staat notabene dat het ook voor open source geldt.

Je hebt duidelijk geen flauw idee van het verschil tussen formeel en experimenteel (dat laatste zijn zowel Win als Linux, BSD en Mac OS X) veilig. Formeel verifeerbar veilig gaat over (het theoretisch onmogelijk zijn van) exploits in het algemeen, en niet een bepaald OS. Lees hier aub meer over voor een oordeel te vellen over waar ik hierboven op doel en dit slechts op MS te betrekken.

Als software formeel verifeerbar veilig zou zijn, zou jij en niemand zich ooit nog hoeven ergeren aan scriptkiddies en het eigenbelang en de erkenning van crackers. Het probleem uitsluitend bij de crackers leggen is simpel ontkenning van de feiten.

Verwijderd 22 november 2005 14:28

Is active scripting destijds niet uitgevonden om via IE in dit geval bijvoorbeeld calc.exe aan te kunnen roepen. Ik kan me dan best voorstellen dat het niet 123 gepatched is omdat het dan namelijk geen bug betreft maar een functionaliteit. En hoe fix je dat zoder de functionaliteit te verliezen. Ik wil echt ook echt niet de discussie open source of microsoft aanzwengelen maar ik kan me in dit geval dan wel indenken dat ms dit liever stil zwijgt totdat zij er een oplossing voor hebben ide vorm van een patch.

Vaan Banaan @Verwijderd • 22 november 2005 15:28

Dat lijkt me sterk, anders zou ik bijvoorbeeld met een script ftp.exe kunnen starten en een bestand ergens van het internet downloaden en opstarten
Of 'format c:\' of iets dergelijks uitvoeren, the sky is the limit als dat waar zou zijn.

Sfynx @Vaan Banaan • 22 november 2005 23:30

Of 'format c:\' of iets dergelijks uitvoeren, the sky is the limit als dat waar zou zijn.

Niet als beheerder overal naartoe surfen scheelt al een hoop. Dat moeten mensen eens afleren.

E:\Documents and Settings\Henno>format c:
Access denied.

E:\Documents and Settings\Henno>

YaPP @Verwijderd • 22 november 2005 15:52

Is active scripting destijds niet uitgevonden om via IE in dit geval bijvoorbeeld calc.exe aan te kunnen roepen.

nee

"Active scripting" of in het nederlands "Actief uitvoeren van scripts" is niets anders dan de verzamelnaam voor JavaScript, VBScript. Deze talen zijn juist niet (!) bedoeld om calc.exe te starten, maar om web pagina's te verfraaien.

Ik kan me dan best voorstellen dat het niet 123 gepatched is omdat het dan namelijk geen bug betreft maar een functionaliteit.

Het gaat hier niet om standaard JavaScript code, of een leuke feature. Het gaat om willekeurige combinatie van ongeldige tekens die een ongewenst bijeffect hebben.

Als je de uitleg in het artikel leest, zie je dat hier geen gebruik gemaakt wordt van een standaard JavaScript functie. IE bevat een fout waardoor deze na bepaalde JavaScript regels per ongeluk inhoud van de pagina op de verkeerde plek in het geheugen laad. ..uitgerekend bij een stuk code wat zich bezighoud met het openen van vensters. Door hier de juiste binare code te plaatsen kun je zo alles uitvoeren op de computer wat je wilt..

calc.exe opstarten is slechts een onschuldig lief voorbeeld. In feite had dezelfde pagina op de achtergrond een bestand kunnen downloaden naar een geheugenlocatie en vervolgens je hele computer kunnen besmetten

Verwijderd 22 november 2005 14:13

Microsoft is op zijn beurt verbolgen over het feit dat ComputerTerrorism met de kwetsbaarheid naar buiten is getreden, wat voor onnodige risico's zou zorge

na mijn mening is het alleen maar goed dat bedrijven zoals deze MS flink op hun donder geven als er iets niet goed is... Laat de consument maar eens goed zien dat het hele Windows gebeuren nog lang niet vlekkeloos is...

Verwijderd @Verwijderd • 22 november 2005 14:20

daar ben ik het onder voorbehoud mee eens

stel: computerterrorrism vind deze bug en geeft hem door aan MS en MS doet er vervolgens niks/weinig mee: volledig met je eens, dat ze hem maar bekent maken en het liefst nog tooltjes derbij geven om hem te exploiten. dan zullen de consumenten wss klagen bij MS of overstappen op FF/opera/etc

maar, als ze deze bug meedelen en om 1 of andere reden is deze vreselijk moeilijk op te lossen dus het duurt een hele tijd voordat die word opgelost (terwijl ze er wel hard aan werken) dan vind ik niet dat ze hem bekent moeten maken (achteraf, als die gefixed is wel)

maar goed, bij dit soort gevallen word er toch altijd naar elkaar gewezen.

Verwijderd @Verwijderd • 22 november 2005 14:38

Als een bug zo moeilijk zou zijn om te fixen dan zegt dit meer over de structuur van je applicatie. Maar goed, iedereen weet dat de Engine van IE een bijelkaar gepatchte bende is.

Verwijderd @Verwijderd • 22 november 2005 16:26

hoeft niet perse hoor. het kan ook komen doordat 3rd party dingen niet helemaal sporen met jou programma in een bepaalde situatie (zoals java in dit geval) en dat deze bug slechts in 1 specifieke situatie voorkomt. ze kunnen dit dan wel oplossen maar als door deze oplossing weer 3 nieuwe bugs komen schiet het natuurlijk niet op.

maar goed, ik ben het met je eens dat MS de schijn tegen heeft als het om good-will om bugs op te lossen gaat

MaVl @Verwijderd • 22 november 2005 16:37

reactie op j0ri

Leer nou aub java en javascript uit elkaar te houden. Zijn 2 compleet verschillende dingen.
Java is een programmeertaal waar je programma's mee kan maken. Java is gemaakt door Sun.
Javascript is een scripttaaltje dat in andere talen (html bijvoorbeeld) gebruikt kan worden voor wat geinige truukjes. Javascript is ontwikkeld door netscape met een syntax die zeer op java lijkt, vandaar de naam.

Verder maakt de ontwikkelaar van browsers zelf meestal de scriptondersteuning in zijn browsers, in dit geval MS, dus geen 3rd party shit.

franssie @Verwijderd • 22 november 2005 14:15

maar laat de consument dan ook zien dat deze consument zelf ook nog verre van perfect is!
Mijn Yahoo en hotmail herkennen 'm overigens nog steeds niet als virus

dangerpaki @franssie • 22 november 2005 14:38

ook geen yahoo als antivirus gebruiken natuurlijk.
als ik op de voorbeeld pagina klik da crasht mn ie inderdaad maar mn kaspersky heeft hem wel tepakken

daft_dutch 22 november 2005 14:24

Duidelijk verschil tussen Opensource en Closed source.
Opensource om armt fouten. mensen kunnen zelfs aangeven waar ongeveer de fout zit.
als het 6 maanden duurt om een bug optelossen
is het:
1. Desintresse. in 6 maanden moet je toch wat kunnen fixen. of neem je verliezen en gooi firefox in de windows updater.
2. een chaos van source code. mischien hebben ze het wel opgegeven en zijn lekker met IE7 bezig.

Ik ben blij dat ik linux gebruik betaal ik geen geld voor suport en zo. je zou maar windows gebruiker zijn. wordt je als consument een vals plaatje van veiligheid voorgehouden

@biersoft
firefox is opensource. dat moet al voldoende zeggen over hoe bugs worden behandend. als je dat niet begrijpt waarom reageer je dan

Verwijderd @daft_dutch • 22 november 2005 17:22

Opera (closed source) is nochtans een vrij goed voorbeeld dat jouw stelling ontkracht. Vandaag (22/11) is er een exploit bekend gemaakt voor Opera 8.5, 'highly critical' gelabelled door het bedrijf Secunia en zie, Opera software brengt dezelfde dag versie 8.51 die de bug herstelt.

Hoe snel een fix wordt uitgebracht hangt in veel mindere mate af van het closed/open source zijn, maar van de bug fix politiek die een softwarebedrijf erop na houdt (bijvoorbeeld hoeveel tijd men spendeert om een patch te valideren voor verschillende systeemconfiguraties,..etc.)

sopsop @daft_dutch • 22 november 2005 15:36

firefox is opensource. dat moet al voldoende zeggen over hoe bugs worden behandend. als je dat niet begrijpt waarom reageer je dan

Zucht.
Opensource zegt helemaal niks over bugoplossend vermogen. Jij hebt het over de licentievorm, zelfs dan is je opmerking nog discutabel.

berend_engelbrecht @sopsop • 22 november 2005 17:11

Inderdaad. Ik heb in deze thread twee keer een voorbeeld gegeven van Mozilla Foundation die ook een low prio bug jarenlang laat liggen en dat wordt gewoon weggemod. Evangelisten dulden niets dat niet met het evangelie strookt.

Verwijderd @sopsop • 22 november 2005 17:28

many eyeballs make bugs shallow.

Pietervs @daft_dutch • 22 november 2005 16:51

1. Desintresse. in 6 maanden moet je toch wat kunnen fixen. of neem je verliezen en gooi firefox in de windows updater.
2. een chaos van source code. mischien hebben ze het wel opgegeven en zijn lekker met IE7 bezig.

Feitelijk is punt 2 gelijk aan punt 1. Als MS zo druk bezig zou zijn met IE7, dat ze niet toe komen aan het patchen van IE6, zou dat ook een vorm van desinteresse zijn.
Maar denk je echt dat MS een browser van de concurrent in Windows Update gaat stoppen???

Wat erger is: als het echt een chaos is in de broncode, dan kun je verwachten dat dat in IE7 ook zo is: ik ga er tenminste niet vanuit dat ze IE7 vanaf de grond aan opnieuw aan het opbouwen zijn, maar gewoon lekker voortborduren op IE6. Waarmee deze bug dus alsnog gepatched zal moeten worden...

berend_engelbrecht @daft_dutch • 22 november 2005 16:29

Je moet eens zoeken op "mozilla hyphenation bug". Mozilla had ooit een bug in soft hyphens, die werden gewoon hard weer-ge-ge-ven. Hun "fix" was: ze niet meer weergeven. De bedoeling van een softhyphen is echter dat de regel daar optioneel kan worden gebroken, dat dient om tekst in smalle kolommetjes mooier weer te geven. Deze bug is in 1999 gerapporteerd (voor netscape destijds) en tot op heden nog niet op een zinnige manier gefixt.

http://lists.debian.org/debian-wnpp/2004/02/msg00088.html
https://bugzilla.mozilla.org/show_bug.cgi?id=9101

Ik geef dit voorbeeld alleen maar om aan te geven dat het fixen in OpenSource code net zo goed su-per-snel kan verlopen (misschien dat 7 jaar een mooie doorlooptijd voor zo'n renderbugje is ...

)

Er is trouwens iemand die dit zo irriteerde dat hij een gave javascript workaround geschreven heeft, werkt perfect (* 786562 berend_engelbrecht
A crap fix for a crap bug (Soft hyphens in Mozilla)

Parasietje @berend_engelbrecht • 22 november 2005 20:40

Ik vind dat je een rendering bug niet kan vergelijken met systeem-kritische bugs.
Het is van belang dat security bugs snel worden opgelost. In IE zit ook al eeuwen een PNG bug (alpha kanaal van PNG wordt genegeerd). Daar is ook een Java workaround voor geschreven. Bijna hetzelfde verhaal.

Hier gaat het over het snel oplossen van systeemkritische bugs. Waarom schrijft iemand btw een workaround in Java ipv het zelf op te lossen? Dat is net het leuke van OpenSource: als iets je irriteert, los het dan zelf op!

Nuja, misschien ben ik wel weer de evangelist die niet tegen de waarheid kan...

haling 22 november 2005 14:35

MS moet leren iedere vunerability als ongewenst te beschouwen, hoe onbenullig dan ook...

Zodra er ook maar kans op een lek is moet er gelijk een security team op gezet worden en voor de (veel te veel in mijn optiek) betalende klanten het zo snel mogelijk fixen dmv een patch waar je je pc niet opnieuw voor op hoeft te starten.

Het getuigt gewoon van enorme laksheid en weinig betrokkenheid bij de eindgebruikers.

Madthijs 22 november 2005 14:54

FYI: Safari onder MacOS X gaat staan pruttelen en poept dan een pop-up venster uit met alleen maar chinese tekens. Met de enter of escape toets kan je hem sluiten (hij is te groot om de knoppen te kunnen zien), maar vervolgens begint ie weer opnieuw. Moest de browser er dus even uit knallen en opnieuw openen. Maar goed dit is niet echt bijzonder, dat kan je met ieder irritant, slecht geprogd javascriptje doen...

Microsoft zou er goed aan doen in de toekomst iets sneller te reageren. Iets dat low priority is, kan niet opeens hoog worden. Dan is het door MS ook niet goed onderzocht, en is de priority sticker er vrij laks opgeplakt...

The End 22 november 2005 14:55

Op Windows 2003 SP1 met IE6 werkt ie iig niet. (Beide sciptjes gebruikt en krijg in beide gevalllen zo'n script prompt)

Rembert 22 november 2005 16:05

Opera doet helemaal niets. IE start onder W2K inderdaad na wat script prompts Calc op. Onder Win98 gaat het mis: IE crasht en wil Microsoft gaan inlichten.

Op dit item kan niet meer gereageerd worden.

Exploitcode gepubliceerd voor 'zeer kritieke' IE-bug

Lees meer

Reacties (90)

Sorteer op:

Weergave: