Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 67 reacties
Bron: News.com

Kwaadaardige hackers hebben er sinds kort een aantal wapens bij om systemen binnen te dringen. Zowel in Windows als in Firefox zijn lekken ontdekt die het mogelijk maken om een systeem van op afstand over te nemen en voor beide fouten zijn al exploits opgedoken. In Firefox bevindt de fout zich in de verwerking van JavaScript, waardoor een ingenieus opgezette pagina ervoor kan zorgen dat de aanvaller controle krijgt over de computer waarop de populaire browser gebruikt wordt. Deze mogelijkheid doet zich overigens voor bij Firefox-gebruik op zowel Windows-, Mac OS X- als Linux-systemen en is gebaseerd op een 'stack overflow'. Window Snyder, voormalig Microsoft-medewerkster en bij Mozilla verantwoordelijk voor het veiligheidsbeleid, stelt dat de exploit een nieuwe tool kan zijn die gebaseerd is op een oudere aanvalsmogelijkheid, maar dat men nog steeds aan het onderzoeken is wat eraan gedaan kan worden.

LekInbrekers die zich specifiek op Windows-systemen willen richten, kunnen aan de slag met een exploit voor een lek dat donderdag ontdekt werd in Windows 2000, XP en Server 2003. Er zijn al verschillende websites ontdekt die de exploit proberen te gebruiken om malafide software op het systeem van de argeloze internetter te installeren. Onder andere de door tweakers verachtte CoolWebSearch-software wordt met behulp van dit lek in Windows al aan de man gebracht. Een tijdelijke oplossing is het uitschakelen van het WebViewFolderIcon-ActiveX-control, Internet Explorer zo te configureren dat er toestemming gevraagd wordt om ActiveX-controls uit te voeren of ActiveX helemaal te blokkeren.

Moderatie-faq Wijzig weergave

Reacties (67)

Vandaag net een stuk over gelezen.
De hackers hebben voor mozilla een stuk of 30! belangrijke exploits klaar te staan.
De hackers waren ook niet gevoelig voor de $500 per exploits, ook vertelden ze dat het javascript gedeelte van mozilla een chaos is.
Welke eigenlijk compleet herschreven zou moeten worden.

Dat mens van mozilla was geloof ik niet zo blij met deze hackers :+

bron op zdnet.com
Bron?

Als je toch met getallen gaat schemen, geef dan ook de bron.
Als je zijn bron leest zie je dat het er staat.
The hackers claim they know of about 30 unpatched Firefox flaws. They don't plan to disclose them, instead holding on to the bugs.

...

"I do hope you guys change your minds and decide to report the holes to us and take away $500 per vulnerability instead of using them for botnets," Ruderman said.

The two hackers laughed off the comment. "It is a double-edged sword, but what we're doing is really for the greater good of the Internet, we're setting up communication networks for black hats," Wbeelsoi said.
Dit is de relevante bug in question:
https://bugzilla.mozilla.org/show_bug.cgi?id=355069

Er is alleen wat voorbeeld code, geen werkende exploit, dus het is helaas moeilijk na te gaan wat er mis zou kunnen gaan in Mozilla.

Het is ze natuurlijk erg kwalijk te nemen dat ze dit niet gerapporteerd hebben aan Mozilla. Mischa Spiegelmock, een van de mensen achter deze exploit, werkt voor livejournal. Ik kan me niet voorstellen dat livejournal hier blij mee is, ik bedoel, dit is iets wat ook livejournal kan overkomen, dus dit gedrag moeten ze zeker niet stimuleren.
Het is niet erger dan die gek Moore die exploits voor IE gaat presenteren van de door hem aangemelde vunerabilities.
Twee dagen later verschijnt er malware in the wild die de vunerabilities ook daadwerkelijk exploiteert.

Security onderzoekers zijn gewoon te publiciteitsgeil om nog na te denken aan de gevolgen voor degene die door de malware getroffen worden. De grote bloei van malwareverspreiding lijkt direct verband te houden met de hoeveelheid publicaties over vunerabilites en exploits door security researchers. Deze bedrijfstak mag zichzelf wel eens achter de oren krabben !!!
Het is wel degelijk erger dan HD Moore's, naar mijn mening.
HD Moore rapporteert deze crashes iig een paar weken voordat hij ze openbaar maakt, dat is niet veel tijd om ze te fixen en een update beschikbaar te maken, maar iig beter dan zeggen dat je een exploit hebt gevonden, maar de code helemaal niet beschikbaar maakt aan de browsermaker.
Maar als Moore inderdaad kant en klare exploits gaat vrijmaken is die wel zeer verkeerd bezig, vind ik.

Naar ik gehoord heb, trouwens, is dit geen rechtstreekse exploit die er gevonden is, maar een crash die potentieel exploitable is. Dat is wat minder erg naar mijn mening, omdat het erg moeilijk kan zijn om er daadwerkelijk een exploit van te bakken.
Nu vraag ik mij af: die gastdame werkt bij Mozilla. Waarom zegt hij het dan niet eerst tegen de developers, dat zij die bug fixen, en dan pas zeggen dat er een exploit 'was'.
Zelfde bij IE
Ik denk dat ze dat gezegd heeft als reactie op het lek. Ik haal niet uit de tekst dat zij ook het lek ontdekt heeft.
Ah, dus daarom is het fout gegaan :+
gast???

Het is een vrouw.....
Altijd zo grappig om hier te zien op Tweakers. Zodra Microsoft te maken krijgt met exploits, trojans en bugs is het altijd een wedstrijd om vooral zo hard mogelijk Mozilla, Apple, en Linux te roepen en alles af te schuiven op brakke software, beleid, en vooral niet aan te nemen dat marktaandeel een rol speelt. Maar zodra het voorkomt bij de tegenpartij, dat heeft alles opeens te maken met marktaandeel en blijft iedereen 'alsnog' zijn vertrouwen schenken aan hen. :?

Heel bizar...
Hmjae, Microsoft heeft het ook wel heel bond gemaakt in het verleden, zo'n reputatie raak je niet zomaar kwijt natuurlijk.

Maar het is inderdaad wel interesant om te zien dat Mozilla het een stuk zwaarder krijgt nu ze ook een significant marktaandeel hebben. Zoals hierboven al opgemerkt: dat wordt nog een spannende wedstrijd als IE7 komt.

En wij Opera-gebruikers blijven lachen in een hoekje: de beste browser en ook nog eens niet al die exploit-ellende.
Het voordeel van Opera: klein marktaandeel en "security through obscurity"
Het nadeel van Firefox: 2de populairste browser en open source, iedereen die een beetje zijn best doet kan bugs vinden. De ene helpen met fixen, de andere misbruiken ze.
Dat "security through obscurity" kan je vergeten. De bekendste browser ter wereld gebruikt dat namelijk ook, en tevergeefs: Internet Explorer.

Het is vnl de kleine marktpenetratiegraad die Opera en andere kleintjes beschermt.
Ja, dat is nu precies wat wordt bedoeld met "security through obscurity". De lage marktpenetratiegraad maakt de browser obscuur (onbekend, onbemind) genoeg om veilig te zijn.
En wij Opera-gebruikers blijven lachen in een hoekje: de beste browser en ook nog eens niet al die exploit-ellende.
Echt geinig... een jaartje terug was dat nog letterlijk:
En wij Firefox-gebruikers blijven lachen in een hoekje: de beste browser en ook nog eens niet al die exploit-ellende.
Nee hoor. Vorig jaar was Opera ook al de beste.
We wachten rustig op een blauwe patch-maandag als mozilla met een nieuwe versie van firefox komt :P

Zat al te wachten op de volgende release, moet nml de volgende versie voor onze linuxdistro zonder officiele icons en benaming bouwen, beetje zonde om 2 uur CPU tijd daaraan uit te geven als er verder niets verandert :P

@onox: Het is niet debian. Archlinux had wel toestemming om de trademarks te voeren, maar wat die lui er niet bijvertellen is dat je voor elke aanpassing bij elke nieuwe versie eerst alles door mozilla moet laten reviewen voor goedkeuring. Ik ben al totaal niet te spreken over het releasemanagement van die lui, dus aan zoiets ga ik dus ook mooi niet beginnen, dan maar geen officiele logo's en browsernamen. Zelfde voor thunderbird overigens.
<distrowars>
Waarom moet je iets veranderen? Debian zit toch nog met Phoenix? Lijkt er wel op als ik zie dat je alleen xp met linux 2.2 hebt ;)
</distrowars>
Marktaandeel speelt soms een rol, en soms niet. Er zijn ook zat onveilige linux programmaas natuurlijk. Mozilla heeft imho de nadruk te veel op features ipv veiligheid, en dat merk je. Veel andere OSS projecten doen dat anders, maar dat kost ze wel populariteit. Er zijn ook OSS projecten met enorme populariteit en slechts beperkte securityproblemen, apache, php, mysql, enz.

Wat het belangrijkst is, is dat de ecologie van het internet verandert. Als geen enkel programma een marktaandeel van meer dan 30% heeft wordt het zoveel minder interessant om exploits te zoeken.

Zelfs al komt de onveiligheid met het marktaandeel, dan is dat nog steeds een hele goede reden om nu over te stappen van IE naar FF! Misschien dat als iedereen het doet het voordeel eraf is, dus dan kun je weer overstappen naar iets anders. Op dit moment is FF gewoon veiliger.

Zelfde verhaal met Apple, Ubuntu, Konqueror, opera, Safari, enz enz. Op dit moment is het gewoon veiliger iets anders dan IE/XP te gebruiken, en of dat over een paar jaar nog zo is zien we dan wel.

Let wel dat het dus voor de toekomst van het internet enorm belangrijk is dat mensen wel *kunnen* overstappen. .doc moet er echt uit als standaard bestandsformaat, sites moeten ook werken zonder ActiveX, flash9, filmpjes moeten in MPEG4, niet in WMV/RM, enz.
Zelfs al komt de onveiligheid met het marktaandeel, dan is dat nog steeds een hele goede reden om nu over te stappen van IE naar FF! Misschien dat als iedereen het doet het voordeel eraf is, dus dan kun je weer overstappen naar iets anders. Op dit moment is FF gewoon veiliger.
Of dat met FF2 en IE7 nog steeds het geval is, is overigens maar de vraag.
Let wel dat het dus voor de toekomst van het internet enorm belangrijk is dat mensen wel *kunnen* overstappen. .doc moet er echt uit als standaard bestandsformaat, sites moeten ook werken zonder ActiveX, flash9, filmpjes moeten in MPEG4, niet in WMV/RM, enz.
Je vergeet nog een paar hele belangrijke: Mp3 en WMA
Mp3 kan nog net, maar staat bol van de patenten. WMA is een slap aftreksel van Mp3.

ogg vorbis heeft ze beiden al ruim uitgerangeert.
Open Source en superieur in geluidsqualiteit.

Toch komt het er maar niet van dat ogg de leiding overneemt.

Probeer jij maar is met Media Player naar ogg of Mp3 te rippen.

En wat Mp3 betreft: bijna niemand kent ogg en Mp3 wordt gespeeld door elke speler die je kopen kan.
Microsoft heeft het ook wel heel bond gemaakt
Bond?? James Bond!
Toch is het hele exploit verhaal van explorer en mozilla en andere software een kwalijke zaak, ik zie de laatste tijd alleen maar meer exploits in allerlei software komen, alle software wil online tegenwoordig, iets waar we niet zo blij mee zijn. Met alle gevolgen van dien.
En hoe krijgt een "kwaadaardige hacker" controle over de computer? Omdat de gebruiker zelf de beheerder is van de computer. Als men gebruiker met beperkte rechten is (bijv. geen activex installeren), doen deze exploits niet terzake.

Zelfs in Vista is de eerste gebruiker wederom beheerder. Dus het afschuiven van verantwoordelijkheid om het systeem "veilig" te houden, van slecht ontwerp naar "kwaadaardige hacker" vind ik ontzettend laf.
Ach... je kan al een heleboel schade aanrichten met alleen een gebruikersaccount zonder speciale rechten hoor. Je mag als gebruiker op je linux systeem bijvoorbeeld zondermeer een "rm -rf ~home/*" doen. Nou, ik zou liever mijn hele systeem opnieuw installeren maar mijn data nog hebben dan de schade van dat commando herstellen. Datzelfde geldt op windows.

Natuurlijk "hoor" je backups te hebben van je data, maar hoeveel mensen hebben die ook daadwerkelijk? Hoe recent zijn die? Zijn ze ook daadwerkelijk terug te zetten?
Ach... je kan al een heleboel schade aanrichten met alleen een gebruikersaccount zonder speciale rechten hoor. Je mag als gebruiker op je linux systeem bijvoorbeeld zondermeer een "rm -rf ~home/*" doen. Nou, ik zou liever mijn hele systeem opnieuw installeren maar mijn data nog hebben dan de schade van dat commando herstellen. Datzelfde geldt op windows.

Natuurlijk "hoor" je backups te hebben van je data, maar hoeveel mensen hebben die ook daadwerkelijk? Hoe recent zijn die? Zijn ze ook daadwerkelijk terug te zetten?
probeer jij maar eens rm ~home/* uit te voeren. je zal eerder rm -Rf ~/* bedoelen. dan nog, dit kan ALTIJD. windows of linux. beheerder of niet. daarom dat we idd backups maken, en misschien nog beter, surfen met een ANDERE account dan waar je je kantoorwerk mee doet. is echt geen probleem om x-aantal keer op dezelfde linuxbak in te loggen.

in ieder geval is rm -Rf ~/* nog steeds minder erg dan rm -Rf /*.....
Bij staat in de home directory
drwx------ 68 erik users 4096 Oct 2 21:19 erik

Oftwel alleen erik mag er iets mee, de rest mag er niks mee. Als ik zin heb kan ik eventueel de groep users een X en een R geven maar default zijn root en ik de enige die mijn home weg mogen gooien.
Misschien dat andere distro's wat losser zijn maar Gentoo is standaard iig niet zo onveilig als jij zegt.
En je Firefox kan evenveel uithalen als je Bash, ls, cd en rm binary's

dwz dat als via die exploit Firefox dingen gaat doen die de hacker wil dat je home dir wel is ineens leeg kan zijn.

Is idd minder erg als een geformateerde hardeschijf wat bij Windows het geval is... toch ben je veel data kwijt.
Je hoeft geen beheerder te zijn.
Niet alle processen draaien onder het user account.

Dus als je een systeem process pakt ben je altijd "god" op de machine.
Bedoel je dat dit lek in hoe Firefox Javascript verwerkt een bug triggert in een Windows systeem proces? en ook op een Linux bak?
En daar bestaat dit voor: http://msdn.microsoft.com...e/html/secure11152004.asp :9~ Wat ook wel grappig is, is het voorbeeld daar:
C:\warez\dropmyrights.exe "c:\program files\internet explorer\iexplore.exe"
Microsoft .. warez... :P
Zelfs in Vista is de eerste gebruiker wederom beheerder.
Dat maakt weinig uit. IE7 draait namelijk zelfs voor beheerders met verlaagde rechten en exploits kunnen dus niet zomaar toeslaan op een systeem zelfs niet als de gebruikers administrator rechten heeft !!!
Overigens kan dat nog wel met Firefox op Vista....
De beheerder draait in Vista ook met zeer beperkte rechten. Dus je kan zelfs als je beheerder bent niet bij gevaarlijke systeeminstellingen zonder daar expliciet toestemming voor te geven.
Ik heb nu eigenlijk altijd "noscript" aanstaan, die scripts blocked behalve bij veilige pagina's die ik opgeef zoals tweakers, ik neem aan dat dat wel een goeie bescherming is?
Nee, je kunt er niet zondemeer vanuit gaan dat vertrouwde website's werkelijk te vertrouwen zijn. Zo was bijvoorbeeld startpagina.nl een jaar geleden "besmet" geraakt via het externe banner systeem, dit kan op andere website's ook gebeuren.
De noscript-extentie van Firefox ( https://addons.mozilla.org/firefox/722/ ) blokked puur op domein...
zelfs bij een trusted site worden bv eventuele scripts afkomstig van externe sites, van adverteerders bv nog steeds geblokkeerd, tenzij je ze separaat 'trusted' maakt.

Het lijkt dus volgens mij een zeer goede beveiliging, die in dit geval in de meeste gevallen je veilig houd.
Je zegt het zelf, een extern banner systeem, als de banners op een externe site staan dan is de site zelf nog wel te vertrouwen.
Re: besmettende banners

In Firefox is er wellich deze optie die bruikbaar is daartegen:
Options / Content:
"Load images"
"for the originating web site only"

Enabling this option/preference will make sure that only images located at the current web site are loaded.
Yep.

Tenzij ze pagina's weten te vermommen als pagina's binnen je veilige zone, maar ga er van uit dat als er zoveel mensen zijn die het overal toestaan, dat ze geen hack gaan bouwen om pagina's te vermommen als pagina's binnen jouw beveiligde zone, tenzij je hele specifieke mensen heel erg boos gemaakt hebt.

Maar dan ben je sowieso de klos ;)
Ik dacht dat de support op Windows 2000 allang gestopt was? Gaan ze dit dan toch nog fixen?
Aangezien er toch nog redelijk wat oudere systeempjes op 2000 draaien...
De gewone support wel.

Maar de extended nog niet geloof ik.

Die van 98 is onlangs HELEMAAL afgelopen.
Hotfixes blijven tot minstens 2010.
<http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/extendedsupport.mspx>
De veiligheidsmanvrouw van Mozilla heet echt Window S? :+

Ik zie enkel een voorbeeld van een ActiveX-Exploit in het bericht staan... Ik ben sowieso niet dol op ActiveX en heb dan ook altijd mijn configuratie zo staan dat voor elk besturingselement toestemming wordt gevraagd. Je zit dan relatief safe, zo lijkt me.

Verder is het tijd dat de figuren achter CoolWebSearch eens een keer op non-actief gaan...

Kleine geslachtscorrectie in de reply... assumptions are the mother of all fuck-ups, zullen we maar zeggen :7
Microsoft-medewerkster
De veiligheidsvrouw :D
Nee, je kunt er niet zondemeer vanuit gaan dat vertrouwde website's werkelijk te vertrouwen zijn. Zo was bijvoorbeeld startpagina.nl een jaar geleden "besmet" geraakt via het externe banner systeem, dit kan op andere website's ook gebeuren.

Die scripts worden op een ander domein uitgevoert. Dus jij geeft tweakers.net toestemming bij Noscript om scipts uit te voeren, maar er staat nog een hele rij andere sites bij die ook code willen uitvoeren, en die sta je niet toe ;) Het werkt per domein.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True