Binnen 15 minuten IE7-bug gevonden - update

Beveiligingsonderzoeker Tom Ferris beweert dat hij na een kwartier testen met de publieke preview van Internet Explorer 7 al een potentieel gevaarlijke bug had ontdekt. Een simpele regel HTML blijkt voldoende zijn om de browser te laten crashen, en Ferris vermoedt - noemt het zelfs waarschijnlijk - dat de fout die deze crash veroorzaakt tevens misbruikt kan worden om willekeurige code uit te voeren op het systeem van het slachtoffer. Hoewel het uiteraard te verwachten is dat een bèta-release nog fouten bevat, denkt de onderzoeker toch dat zijn ontdekking wel degelijk iets zegt over Microsofts ontwikkelproces. De bug werd namelijk in zeer korte tijd gevonden door een automatisch testprogramma dat hij zelf heeft geschreven, en bestond nog niet in oudere versies. Er is dus ondanks het gehamer op veiligheid nieuwe code in de browser terechtgekomen die niet eens bestand is tegen een simpele automatisch gegenereerde aanvalshoek.

Internet Explorer logo De conclusies van Ferris zijn wellicht overigens wel wat voorbarig: Microsoft is op de hoogte gesteld van het probleem, maar mogelijk had het bedrijf het risico zelf ook al ontdekt. In november werd bekend dat er nog 20.000 bugs in Internet Explorer 7 en Vista zaten, en het is onmogelijk om te weten of de fout die Ferris heeft gevonden daadwerkelijk door de mazen van het net is heengeglipt, of dat deze simpelweg nog op de planning staat om opgelost te worden. Recent heeft Windows-opperhoofd Jim Allchin verklaard dat er tot de release van Vista (waar Internet Explorer 7 een onderdeel van zal zijn) alleen nog maar aan de kwaliteit gewerkt zou worden, en dat het bedrijf het nieuwe besturingssysteem desnoods nog een keer zal uitstellen als de doelstellingen niet gehaald worden.

Update (16:00): Op hun weblog verklaren de ontwikkelaars van Internet Explorer 7 dat ze inderdaad al bekend waren met het probleem en ook al van plan waren om het op lossen. De fout zou gewoon tijdens de verplichte veiligheidscontrole zijn ontdekt en - behalve de crash - ongevaarlijk zijn. Een nieuwe compilertechniek die buffer overflows herkent zou namelijk moeten voorkomen dat hackers misbruik kunnen maken van dit soort fouten.

Reacties (52)

Tigertje 4 februari 2006 13:38

Een bug in een beta. Gaan we ons daar nu ook al druk over maken...?

liberque @Tigertje • 4 februari 2006 13:45

"Feedback is the breakfast of champions" zei een oud werkgever van me altijd. Als we nu niet vallen over bugs die we tegenkomen in de beta's moeten we niet gaan klagen dat de bug er in de rtm er ook nog in zit. Dat is juist het leuke van beta's. Vind je een fout: schreeuw dan moord en brand zodat MS de bug kan oplossen. Zwijg je de bug dood bij de beta, zwijg dan uiteindelijk ook over de bug als de final is uitgekomen.

@Needless:
Ik weet dat het een gewoonte is om te bashen op MS en dat velen dat doen. Echter zomaar mensen betitelen als MS bashers is ook bashen... ik ben juist een groot aanhanger van MS (zie profiel) en wilde juist aangeven dat ik liever heb dan dat er grote ophef over bugs in beta's onstaat zodat de ontwikkelaars er iets aan kunnen doen. Mischien dat ik me iets te sterk heb uitgedrukt met "moord en brand schreeuwen"

Kama @liberque • 4 februari 2006 14:42

Er is toch wel een verschil tussen een bugreport (heel nuttig) en een smadelijk artikel waarin je breed uitmeet dat je in een Beta na 15 minuten al meteen een bug gevonden hebt en ook maar meteen het hele ontwikkelproces van Microsoft op de korrel neemt. Dat vind ik tegen het "goedkoop scoren" aan.

Als ik een huis bouw, maak ik het eerst af. Dan ga ik gaten vullen, plamuren, voegen. En dat ik tijdens de bouw nadenk over hoe ik het aantal gaten minimaal kan houden, wil niet zeggen dat er geen gaten en kieren te vullen zijn als ik klaar ben.

Top-Rob @Kama • 4 februari 2006 17:49

Ik ben het volledig eens met je 'goedkoop scoren' beredenering. Netjes verwoord ook.
Echter, je vergelijking met het bouwen van een huis zie ik niet zo zitten. Microsoft released een beta. In een beta mogen bugs zitten. Maar er mogen geen [b]serieus ernstige[/b] bugs in een beta zitten, daar is immers een alpha voor. Als er geen kritiek gegeven mag worden op ernstige bugs, waarom wordt die beta dan uberhaupt gereleased?
Om op je voorbeeld terug te komen: als ik mijn huis nog niet af heb, presenteer ik die ook niet als 'af, alleen de meubels moeten er nog in' om me vervolgens te verbazen over commentaar vwb gaten en kieren

.

Nou is de vraag of deze bug wel serieus ernstig is -en dat doet er voor mij op dit moment ook niet toe-, maar gezien Tom Ferris vind van wel kan ik zijn beredenering wel enigszins volgen.

MikeL @Kama • 4 februari 2006 23:58

Laat deze "beta" nou net een alpha zijn. Dit is een PREVIEW van een beta, nog geen beta dus. En als het geen beta is dan is het alpha en dus zijn dit soort fouten wel degelijk geoorloofd.

needless to say @liberque • 4 februari 2006 14:39

mja,

moord en brand schreeuwen?

Contacteer gewoon de ontwikkelaar ipv te vertellen dat er bugs zitten in een beta...

Wanneer een beta van MS komt mooet elke bug in het nieuws komen.... Wanneer een bug in een FF-beta gevonden wordt wordt dit mooi aan Mozilla gemeld en vindt men dat normaal.

Tja, MS-bashing is toch o zo 'in'.

Adrianb @needless to say • 4 februari 2006 15:27

IE heeft wel een ZEER groot deel van de browsermarkt in handen, dus als er een bug/exploit/.. gevonden wordt, is de uitkomst(lees: het aantal gedupeerden) erger dan met FF.
EDIT: Waarom is dit overbodig?

Verwijderd @needless to say • 5 februari 2006 01:38

@Adrianb
Omdat we dat allemaal best snappen hoor

Punkie @needless to say • 6 februari 2006 17:39

Tja, MS-bashing is toch o zo 'in'.

weet je wat er nog veeel vermoeiender is als Ms bashen? het bashen van de basher, zeker als er nog niet eens een basher is.

Er had nog niemand gebasht en toch begint onze needless al te bashen op de <onbekende> basher.

Stop eens met dit bash gezeur en stel het aan de kaak alleen wanneer het pertinent aanwezig is!

Hopelijk word dit geen bash-de-basher-basher feest

Verwijderd @liberque • 4 februari 2006 15:12

@liverque:
rare denkwijze, als de consument zn mond houdt over bugs in de beta zou microsoft dus zomaar een brakke browser uitbrengen?

liberque @Verwijderd • 4 februari 2006 21:56

rare denkwijze, als de consument zn mond houdt over bugs in de beta zou microsoft dus zomaar een brakke browser uitbrengen?

Als je in een cafe komt, je besteld een glas cola, je neemt een slok en het blijkt dat er absoluut geen prik op zit.. wat doe je dan? a. je drinkt het op en gunt de volgende klant die cola besteld ook een wanstaltelijk siroopwater.. b. je zegt het gewoon tegen de barkeeper zodat ie een nieuwe fles open kan trekken. Waar bereik je nu meer mee? Hoe kan de barkeeper weten dat de cola je niet smaakte als je hem dit niet verteld? Hoe moet MS weten dat er een bug in hun beta zit als niemand ze dat verteld? Je kan onmogelijk verwachten dat de barkeeper voor iedere klant met een andere smaak even voorproeft, net zo min je van MS kan verwachten dat ze iedere denkbare setup van het OS uit proberen. In het eerste voorbeeld zou Coca Cola nog steeds een hoestdrankje zijn en in het laatste zouden we nu nog met Windows 3.0 werken.

Room42 @Verwijderd • 5 februari 2006 12:56

@liberque: In het verlengde van dit nieuwsbericht: Je kiest dan voor B, en niet voor C: Je schreeuwt door het cafe dat de cola niet prikt. De barkeeper hoort het en pakt een nieuwe fles, maar het publiek hoort het ook en krijgt een negatievere mening over de barkeeper.

Luuk1983

@Tigertje • 6 februari 2006 09:21

Er is nog niet eens een beta, het is een beta PREVIEW, dus nog beta-er dan beta

Verwijderd @Tigertje • 4 februari 2006 13:42

Is het zo moeilijk te vinden in de tekst waarom men zich druk maakt om deze bug in een beta?

Hoewel het uiteraard te verwachten is dat een bèta-release nog fouten bevat, denkt de onderzoeker toch dat zijn ontdekking wel degelijk iets zegt over Microsofts ontwikkelproces. De bug werd namelijk in zeer korte tijd gevonden door een automatisch testprogramma dat hij zelf heeft geschreven, en bestond nog niet in oudere versies. Er is dus ondanks het gehamer op veiligheid nieuwe code in de browser terechtgekomen die niet eens bestand is tegen een simpele automatisch gegenereerde aanvalshoek.

Ik neem aan dat je dit gelezen hebt. Misschien is het dan slimmer om aan te geven waarom jij niet vind dat deze bug iets zegt over Microsofts ontwikkelproces.

feuniks @Verwijderd • 4 februari 2006 18:32

Ik heb een beetje een dubbel gevoel bij deze zaak:

Aan de ene kant zeg ik natuurlijk dat dit een beta is en dat er dus fouten in ZULLEN zitten. Natuurlijk zeg ik dat je niets moet verwachten van beta software behalve problemen. (Immers dan valt het altijd mee). Natuurlijk zeg ik dat beta software zelfs je hele systeem omver kan blazen. En natuurlijk zeg ik dat dit allemaal voor eigen risico is.

Maar de software ontwikkelaar in mij zegt ook een paar andere dingen:

Er zit toch wel verschil tussen de ene en de andere beta. Voor een groot project als dit zijn er verschillende stadia in het ontwikkelingsproces:
Je begint met vroege alpha versies. Hierin laat je ofwel de hele grote lijnen van je programma zien ofwel juist een specifieke nieuwe component. Deze alpha versies zijn eigenlijk bedoelt voor de interne afdeling of voor enkele beta testers die de component moeten testen.
Daarna begin je langzaamaan met beta's. Deze beta's bevatten steeds meer van het uitendelijke product.
Een product kan uiteindelijk een publieke beta hebben zoals IE7. De toevoeging van het woord publiek zou moeten betekenen dat het product in belangrijke mate stabiel is en dat de uiteindelijke release aanstaande is.

Met andere woorden: doordat Microsoft heeft aangegeven dat deze beta publiek is, hebben ze wel het label meegegeven dat deze beta vrij "veilig" zou moeten zijn. Zeker omdat ze weten dat de normale bevolking niets weet van dit hele proces en ook geen idee heeft van de gevolgen van het gebruik van de software. Ja het staat in de EULA, maar we weten allemaal donders goed, dat die toch niet gelezen wordt.

Als er dus een dermete ernistige bug in zit dat de veiligheid van de computer in gevaar wordt gebracht, dan heeft Microsoft dus op zijn minst geen goed werk geleverd door deze beta het stempel Publiek mee te geven.

Gepetto @feuniks • 6 februari 2006 18:28

Zeker omdat ze weten dat de normale bevolking niets weet van dit hele proces en ook geen idee heeft van de gevolgen van het gebruik van de software.

Het "normale volk" niet inderdaad, maar je wordt alleen maar betatester door je daarvoor aan te melden en je mag toch verwachten van iemand die zich als tester van een stuk software aanmeldt, dat deze ook weet waar hij mee bezig is.

Dus zo publiek is het nou ook weer niet.

Da_Teach @Verwijderd • 4 februari 2006 14:49

Jij bent zeker geen software ontwikkelaar of wel?

Hoewel jij misschien denkt dat dit een hele grote bug is, kan het iets simpels zijn van 1 letter verkeerd, of een nummer te hoog / te laag. Effect is groot, de software fout erg klein.

Hoewel deze geautomatiseerd gevonden is, kan het nog steeds een specifiek iets zijn op die pagina met welke ze testen, of iets op de pc waar op getest wordt. Of met het programma waarmee ze testen.

Vreemd genoeg zijn hier dus wel beta's voor, waarom zou je een beta hebben als hier helemaal geen fouten meer uit komen?

Olaf van der Spek @Tigertje • 4 februari 2006 13:51

Een bug in een beta.

Er is een verschil tussen 'een bug' en 'een bug die een crash veroorzaakt en remote te triggeren is'.

maxxware @Tigertje • 4 februari 2006 14:16

Dat ligt eraan. Als het stbiliteitsbugje is, dan niet. Maar als het een elementaire bug blijkt te zijn waardoor eigenlijk de basis onder het product wegvalt...

ymmv 4 februari 2006 14:47

De MSIE7-ontwikkelaars hebben onderhand ook al gereageerd op het nieuws dat er een fout in een beta (duh) zat. Op ieblog schreven ze:

"This bug had already been found during our code review and analysis that is a mandatory part of our development process; it was scheduled to be fixed before our next public release. We do not believe this bug is easily exploitable, and as an extra defense, the /GS flag also catches the overrun. This is a compiler flag that tells Windows to watch for some classes of buffer overflows. If Windows sees a problem, it kills the application, in this case IE, instead of running the exploit code. While this is certainly not our primary line of protection, it does offer defense-in-depth to help keep our customers secure."

Zie verder http://blogs.msdn.com/ie/archive/2006/02/01/522682.aspx

Wim-Bart 4 februari 2006 17:25

Ik snap niet waarom een Beta een Beta is. Waarschijnlijk betekend voor de publisher van de bug dat de Beta een Final release is.

Wij gebruiken Beta releases altijd om te achterhalen of er nog bugs in zitten. Voor een ontwikkelaar is per definitie alles bugvrij omdat ontwikkelaars niet testen zoals een n00b het zal doen.

Een publieke Beta is dan ook bedoeld om er fouten uit te halen welke in het ontwikkelproces nog niet naar buiten zijn gekomen.

Het is gewoon heel simpel. Stel je hebt een stukje code wat een getal accepteerd tussen de 10 en de 20. De ontwikkelaar test 11 en 19 en misschien 15. De beta wordt gereleased en de tester geeft getal 13 in. Laat nu net bij 14 de routine niet werken omdat het een even getal is. Dan kan de routine aangepast worden. Publieke testers testen namelijk anders dan ontwikkelaars. Daarom zijn er dan ook Publieke Beta's.

itons @Wim-Bart • 4 februari 2006 20:05

edit:* 786562 itons

Drogo 4 februari 2006 13:42

De conclusies van Ferris zijn wellicht overigens wel wat voorbarig: Microsoft is op de hoogte gesteld van het probleem, maar mogelijk had het bedrijf het risico zelf ook al ontdekt

Suggestief nieuws dus...

KroeT @Drogo • 4 februari 2006 14:21

Niets suggestiefs aan; de man heeft een bug gevonden, daar doet de vraag of Microsoft de bug al dan niet zelf heeft gevonden niets aan af.

Buiten dat is het inderdaad niet gek dat er bugs in een beta zitten. Daar is het immers een beta voor.

xbassiex @Drogo • 6 februari 2006 17:11

Het lijkt mij redelijk logisch dat het voorbarig is, het gaat immers om een beta...

Verwijderd 4 februari 2006 15:26

Ik wil niet lullig zijn, maar de bug in kwestie 'werkt' niet hier...
Als ik naar deze link ga (proof of concept link) dan gebeurd er niks.. geen crash, geen blauw scherm ...
(Ik gebruikt IE7 Beta2)

http://www.security-protocols.com/poc/sp-x23.html

Storm in een glas water?

mieJas @Verwijderd • 5 februari 2006 13:19

Hier geeft hij de eerste 5 seconden toch wel wat problemen, maar doet daarna gewoon weer verder

Rvanlaak 5 februari 2006 14:32

Als er met zo'n grote teams ontwikkeld wordt, worden er vaak expres bugs in gestopt.

Stel: ze stoppen er 30 bugs in, en er worden door het testing-team en het publiek (in dit geval) 25 bugs gevonden kan het goed zo zijn dat er in die 25 gevonden bugs maar 10 van de expres ingeprogrammeerde bugs zitten.

Nadat de expres-eringestopte-bugs er weer uit zijn gehaald (aangezien ze die natuurlijk weten te zitten

) heb je toch weer een aantal bugs minder!

MneoreJ @Rvanlaak • 5 februari 2006 17:23

Oh, is het heus? En is dat met onderzoek gestaafd, waarbij ze een nieuwe groep testers losgelaten hebben op een release waarbij die extra bugs er niet ingestopt waren, en de resultaten vergeleken? Ik mag aannemen van niet, aangezien je software nou eenmaal niet twee keer releaset. Als hier al onderzoek naar gedaan is dan geef ik je op een briefje dat het niet onder realistische omstandigheden gedaan is, aangezien niemand zijn grote softwareproject als experiment beschikbaar zou willen stellen.

Het is ook absurd aan te nemen dat expres bedachte bugs vergelijkbaar zijn met bugs die ontstaan zijn als gevolg van onbewust gemaakte fouten. Toch is het cruciaal dat ze vergelijkbaar zijn wil deze techniek werken. Kortom: voodoo-praktijken. Het zal vast erg logisch klinken voor managers en mooie statistiekjes opleveren, maar het lijkt mij onzin. Het toevoegen van bugs is hooguit goed om je testers wakker te houden; misschien dat dat het resultaat wel ten goede komt...

Dat staat nog los van de esthetische overweging om expres fouten in je software te stoppen. :-)

Oblii 4 februari 2006 13:40

Uit de txt file

Workaround:
Mozilla Firefox

Verwijderd @Oblii • 4 februari 2006 16:58

Recente versies van FireFox blijken verscheidene instabiliteiten te bevatten, en die is reeds uit beta...

Laten we dan ook Internet Explorer 7.0 en FireFox 1.0 eens over elkaar zetten als het zo ver is.

killercow @Verwijderd • 4 februari 2006 17:13

firefox 1.5, en eventueel 2.0 dan maar? die is tegen die tijd namenlijk ook uit.

rickertsnaak 4 februari 2006 14:43

Verdorie, hoe halen ze het in hun hoofd om in een beta bugs te stoppen.

Verwijderd 4 februari 2006 17:02

Vind het onnodig "nieuws". Beta's zijn om bugs te laten vinden door gebruikers, zo simpel is dat. Erover klagen is nogal dom, gebruik dan geen beta-software.
Wat ik wel storend vind is dtat dit bericht weer 's met een hoop tam-tam op allerlei plaatsen opduikt: "al binnen 15 minuten een bug ... " Nou, nou ... iedereen die een beetje z'n best doet vind in beta's al snel een bug. Lijk tme dan een beetje kinderachtig van degene die het bericht naar buiten brengt om het te brengen als een schande of iets om verbaasd over te zijn.
Lekker makkelijk scoren, lekker makkelijk MS weer 's een trap geven... ik ben geen MS-fan, maar dit is echt te gemakkelijk. Eerst wil ik de definitieve release zien, dan ga ik 's een keertje zeiken.

Daimanta 5 februari 2006 12:37

De beste manier om fouten te testen is uitputtend testen en dat is mooi te realiseren in een public beta.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (52)

Sorteer op:

Weergave: