Microsoft: 'Fout in IE7 veroorzaakt door Outlook Express'

Tegelijk met de introductie van Internet Explorer 7 heeft Secunia een rapport gepubliceerd waaruit blijkt dat er al een veiligheidslek in de nieuwe browser zit. Microsoft heeft nu echter bij monde van Christopher Budd laten weten dat deze bug niet in Internet Explorer 7 zit, maar in een onderdeel van het gratis e-mailprogramma Outlook Express. Door de aanwezigheid van deze bug in de afhandeling van MHTML-adressen is het mogelijk om vanuit een website toegang te krijgen tot data die op hetzelfde moment op een andere website wordt ingevoerd; beide sites moeten op dat moment geopend zijn. In theorie zou het hierdoor bijvoorbeeld mogelijk zijn om toegang te verkrijgen tot bank- en creditcardgegevens. Secunia maakte op 27 april 2006 voor het eerst melding van deze bug.

Volgens Budd is de beschrijving van de gevonden bug bij Secunia echter onjuist, aangezien het oorspronkelijke veiligheidslek zich in een component van Outlook Express bevindt. Thomas Kristensen, Secunia's chief technology officer, kan zich niet vinden in deze correctie, omdat het er sterk op lijkt dat Internet Explorer de enige software is die misbruik kan maken van het lek: 'The vulnerability is fully exploitable via IE, which is the primary attack vector, if not the only attack vector.' Volgens het Internet Storm Center lijkt het erop dat deze bug zich al lange tijd in het bewuste ActiveX-object binnen Outlook Express bevindt en dat Microsoft er nu opnieuw tegen aanloopt dat oudere software nog veiligheidslekken bevat die eigenlijk al gepatcht hadden moeten zijn.

IE7 Final

Door Harm Hilvers

Freelance nieuwsposter

21-10-2006 • 11:45

54

Bron: InformationWeek

Reacties (54)

54
50
15
6
0
7
Wijzig sortering
Grappig genoeg heeft Secunia de bug nu gelist als zowel voor IE als voor outlook express. Zo krijg je wel snel een hoop vunerabilities als ze telkens voor twee tellen.

Dat terwijl bijvoorbeeld de bug op Vista niet bestaat omdat daar deze OE componenten niet bestaan.
Ik weet niet wat daar grappig aan is, maar het raakt tenminste meer de waarheid dan wat MS de buitenwereld wil doen geloven.
IE7 is een extra kwetsbaarheid geworden omdat via die applicatie het lek ook misbruikt kan worden. MS vind dat onzin omdat de oorzaak zit in OE, maar waar het zit maakt voor kwetsbaarheden van je systeem niet uit. Het gaat er om dat je als beheerder/gebruiker alle kwetsbaarheden weet zodat je kan beslissen in welke mate je software wil gebruiken.
Als je volgens hAl's redenering zou werken, dan is een bug in een gelinkt component geen bug. (in dit geval in zowel OE als IE7 dat met het OE component kan communiceren).

Het 'shell:'-pseuod protocol exploit waar o.a. Mozilla (meer ok IE) last van had zou dan geen bug zijn in Mozilla - toch is het voor de gebruiker Mozilla (of IE of Opera) dat kwetsbaar is voor het lek.

Ik ben het dus met kodak eens dat het er om gaat waarvandan je het lek kunt triggeren, het shell-lek was dus aanwezig in Mozilla en dus moesten zij er een patch voor maken - dit hebben ze ook gedaan door dit (en andere) windows pseudo-protocollen niet meer vanaf een http(s)-website bereikbaar te maken.
IE is nu een stuk veiliger, we hebben een extra slot op de voordeur gezet, en de 'welkom' mat vervangen voor een zonder tekst. Wisten wij veel dat men de achterdeur zo snel zou vinden...
En de voordeur is nog steeds een hordeur...
Het is toch inderdaad vreemd te noemen dat een mailprogramma er voor zorgt dat er een gat ontstaat in een internet browser ? Het zijn zulke fouten die MS blijven achtervolgen. Het is gewoon een zeer "bad practice" van MS om al hun code en programma's tot in het oneindige blijven te verweven. Als ze windows echt veiliger willen, gaan ze deze praktijk echt moeten achter zich laten, maar het probleem is, dat dit ook voor een groot stuk in de hand gewerkt wordt door krampachtig hun monopolie te blijven verdedigen.
Miscchien wordt het eens tijd om, met behulp van de EU, er voor te zorgen dat IE niet meer zo diep verweven in Windows zit.

Wanneer IE een losse app wordt vormt het een veel kleiner risco. Maar ja MS kennende gaat de marketingafdeling voor die van de technici
@Belial:

Ieder modern OS maakt gebruik van HTML (en andere functionaliteiten van de engine) in alle onderdelen. Het zou dus niet echt handig zijn om de render engine los te halen van het OS, dat zou het geheel behoorlijk beperken.

Mensen denken dat alleen Windows de render engine heeft ingebakken, maar dat is niet waar. Ook bijvoorbeeld KDE heeft de KHTML engine ingebakken en daar wordt flink gebruik van gemaakt in het gehele systeem. Zo hebben zo goed als alle moderne OS'en dat wel, je komt er eenmaal niet onderuit.

Het alternatief is om 2 render engines te maken, een voor de browser applicatie en een voor de rest van het OS. Dat vergroot de kans op lekken natuurlijk enorm en is dus niet zo'n handig aanpak.

@Reacties:

Jullie snappen er niet veel van.

Het lijkt haast wel een standaard verdediging van Linux fan's om te zeggen: "Het kan allemaal uit elkaar dus is het geheel wel in orde".

Je kan via nLite Windows ook zo ver strippen dat er niet eens meer een grafische interface in zit. Sterker nog, voor Vista komt er een standaard versie vanuit Microsoft zonder grafische onderdelen voor gebruik op servers.

De term 'OS' is al jaren niet meer wat het geweest is. Tegenwoordig wanneer we OS noemen wordt in 95% van de gevallen de volledige suite inclusief window managers, interface programma's, utilities en add-on software bedoelt.

Windows als OS gaat ook niet dood als je de HTML render engine eruit sloopt. Helaas gaat de gebruikers interface dat wel. Dit is dus precies hetzelfde als onder Linux waar het OS zelf niet dood gaat als er geen KHTML in zit, maar KDE wel. Andere 'desktop enviroments' met een vergelijkbare functionaliteit maken ook gebruik van een interne engine.

Er bestaan ook volledig gestripte window managers met minimale functionaliteit die dit niet hebben, maar ook dit kan je onder Windows ook voor elkaar krijgen. Verander wat instellingen en in plaats van explorer.exe wordt de window manager naar keuze geladen.

Daarnaast gaat KDE nog verder door een behoorlijk aantal extra functionaliteiten te bieden als enkel het managen van windows en het opstarten van programma's. KDE komt wat dat betreft erg dicht bij wat er in Windows gebeurt.
In het geval van outlook heerst er bij mij de vraag hoeveel web-functionaliteit je nodig hebt voor een email. Een plaatje willen toevoegen lijkt mij wenselijk maar VBS scripts en vele andere onzin waar virussen en spammers van leven mag van mij gestolen worden.
Wat je zegd over KHTML in KDE klopt niet. Je kunt namelijk ook de Gecko engine gebruiken. Uiteraard mis je dan een aantal functionaliteiten, maar het kan wel.

Niet alleen Konqueror gebruikt dan de Gecko engine, maar ook het help systeem, KMail en een groot aantal andere applicaties.

KDE houd namelijk een 'lijst' bij welke engine gebruikt dient te worden voor dat bepaalde component. Componenten zijn o.a. HTML render engine, adresboek, sound system.

Datzelfde gebeurt ook voor een aantal 'basis' applicaties zoals browser en email client. Dat laatste zit ook al een ruime tijd in Windows XP.
Ik zie het probleem niet, dan patch je de KDElibs toch?

Als je geen HTML engine in KDE wilt hebben haal je hem er uit, eat is het mooie van OpenSource.

En als je het zelf niet kan ga je kijken of iemand dit al eerder gedaan heeft.

Of je gebruikt geen KDE, maar Gnome of Xfce. Welke beiden geen build-in HTML engine hebben.
@Niemand_Anders:

Dat is erg mooi dat die mogelijkheid erin zit. Maar door een andere engine te kiezen wil niet zeggen dat die andere engine opeens volledig verdwenen is.

De KHTML engine zit volledig erin verwerkt, je kunt dus ervoor kiezen het niet te gebruiken maar hij blijft er alsnog wel in zitten.
Volgens mij is KDE nog altijd een desktop environment en geen OS. Wat mij nogal een verschil lijkt....
Je zegt dat de mensen die reageren er niet veel van snappen, maar na je post gelezen te hebben mag jij je wel eens echt in een OS verdiepen. Kan een boek over modularized programmeren ook geen kwaad. Het is heel simpel: Microsoft moet een dll maken die de html redering afhandeld, netjes met een api voor applicaties als outlook en explorer. En is geen enkele reden waarom een browser voor files of html content op de kernel ring moet draaien. En dit heeft nix met Linux te maken, en nix met welke vista er dan mag komen. Als je niet weet hoe 't werkt ga dan aub niet andere mensen hier vertellen dat zeer niet veel van snappen, zo wordt je niet echt serieus genomen.
TRRoads..

Je snapt er weinig van. KDE is een applicatie, KDE heeft niets met het OS te maken. KDE is een laagje bovenop het OS, zonder KDE kun je zonder problemen Linux draaien. Zonder de Khtml gaat linux echt niet dood.

Bij Windows ligt dat anders, daar ligt de html engine veeel dichter op het OS. (Ik denk zelf overigens niet dat het echt in de kernel zit) Windows is bijna niet te draaien als je de html engine eruit sloopt.

Edit - Sneller typen in het vervolg
Applicaties zijn programma's die een gebruiker opstart om "werk" mee te verichten. Alle zaken die nodig zijn om die programma's op te starten horen bij het OS. CLI's en WindowManagers horen volgens mij bij het OS. Bij linux heb je een lego-systeem waarin je kan kiezen welke CLI en welke WM's je will gebruiken. De CLI's en WM's worden daar niet door dezelfde personen ontwikkeld als de kernel zelf, maar een OS is meer dan alleen een kernel.
Nee KDE is geen onderdeel van het OS. Het is een schil boven op het OS om prettiger te werken maar is geen onderdeel van het OS.
@SirBlade:

dus als ik op mijn windows systeem bijvoorbeeld WinPcap installeer omdat een andere applicatie dat nodig heeft dan is dat dan opeens deel van het OS?

volgens mij klopt je beredenering niet echt. Er zullen altijd afhankelijkheden zijn. Software is afhankelijk van andere software. Neem het .NET framework, dit is software, nodig voor het runnen van bergen applicaties, echter geen deel van het OS (tenminste dat zou het niet moeten zijn)

KDE is hetzelfde verhaal, het is nodig voor bergen software, maar je kan prima apache draaien zonder KDE, dus kan je niet zeggen dat KDE bij je OS hoort
Miscchien wordt het eens tijd om, met behulp van de EU, er voor te zorgen dat IE niet meer zo diep verweven in Windows zit.
Misschien wordt het eens tijd om, helemaal zelfstandig, een non-Microsoft (besturings) systeem uit te zoeken waardoor je niet meer hoeft te wachten totdat de EU bestaande problemen oplost.
Ik denk dat de developers van MS het al moeilijk genoeg hebben zonder het geblaat van wat europese politici.
Als je de software te onveilig vind kan ik je aanraden het niet te gebruiken
O, en hoe deinstalleer je IE dan echt uit een Windows-systeem? Het is voor de gewone gebruiker hooguit mogelijk om de applicatie niet meer te starten en de bijbehorende iconen te verwijderen, maar de software blijft gewoon achter.

Teken aan de wand is natuurlijk dat je het OS opnieuw moet starten op het moment dat je IE7 installeert. Dit kan worden verklaard doordat de HTML render component ook meteen wordt opgewaardeerd, maar het zou duidelijker zijn als dit een aparte update zou zijn, die wel noodzakelijk is voor het kunnen gebruiken van IE7.

De manier waarop MS nu door middel van nieuwe versies van een applicatie meteen OS brede updates meestuurt verdient wat mij betreft geen schoonheidsprijs.
Je kunt natuurlijk IE7 ook NIET installeren onder XP. Want Vista heeft dit lek niet.

Aangezien IE6 ook gevoelig is voor dit lek kun je via het 'software' panel ook alle snelkoppelingen naar IE laten verwijderen en daarna met Bijvoorbeeld Firefox of Opera het internet opgaan.
justum, outlook express dus. Blijkt maar weer hoe ver verweven al die ms progs met elkaar zijn.

Over Outlook Express gesproken, IE7 is er nu wel maar hoe staat het met Outlook Express 7.0?
Daar is ook al jaren bijna niks meer aan gedaan door microsoft, 2004 is het laatste levensteken van de Outlook Express 6.0 tak.
Er komt geen nieuwe versie van Outlook express.
De opvolger heet Windows Mail
Windows Vista zal dus geen OE bevatten maar Windows Mail.

edit:
Voor Hotmail en Live Mail gebruikers is er bovendien de Windows Live Mail Desktop cleints software die je kunt downloaden:
http://en.wikipedia.org/wiki/Windows_Live_Mail_Desktop
En terecht. Ze hadden nooit moeten beginnen met die verwarring van Outlook/Outlook express , Windows Messenger/ MSN Messenger / Live Messenger, Wordpad/Notepad/Word/Works.
Ik snap niet wie toch steeds die namen verzint.
Er komt wel een Windows Live Mail Desktop versie. Die zou prima met Live mail/Hotmail accounts moeten werken.
Zie ook:
http://morethanmail.spaces.live.com/
Dan dump je Hotmail toch gewoon? Er zijn maar zat anderen, waaronder ook webmails die je gewoon via een e-mail client kan benaderen (ik noem een Gmail en Thunderbird).
@Shaggy_NL:

Bij mijn weten hadden ze juist MS Office Outlook ondersteuning van hotmail er uit gesloopt. Ik kan een van mijn accounts (die ik het laatst heb aangemaakt) met geen mogelijkheid meer uitlezen in Outlook.
@wokkeltje143:
Het is toch wel effe te gemakkelijk om te zeggen dat je, als je Windows niet zo ok vindt, maar snel moet overstappen. Voor de gewone, niet-computer-nerd, mens, is dat quasi onmogelijk. Iemand die nog nooit heeft gehoord van een programma installeren, die amper weet hoe hij een cd in de computer moet stoppen of die niet weet hoe een printer te installeren, kan nu eenmaal niet met Linux werken. Misschien kan mac nog, maar dat is nu eenmaal duurder.

Mensen die er meer van kennen, of zin hebben er meer tijd in te steken, blijven vastzitten achter must-have applicaties zoals MS Office. Alle bedrijven gebruiken dat, en er zijn geen programma's die 100% compatibiliteit bieden.

En dan zeg ik niks over bedrijven die geen drivers uitbrengen voor een anders besturingssysteem dan Windows... Kan je natuurlijk als gewone gebruiker niet veel aan doen.

@TRRoads:
Het is helemaal niet "Het kan allemaal uit elkaar dus is het geheel wel in orde". Jarenlange programmeerervaring heeft nu eenmaal het inzicht gegeven dat het onmiskenbare voordelen heeft om met losstaande modules te werken. Geef die modules mooie, goed gedefinieerde interfaces en ze werken goed samen. Dat maakt het makkelijker om modules te vervangen zonder het hele systeem opnieuw te moeten schrijven. En dat maakt het dus ook een hoop eenvoudiger om hele modules te vervangen -- bijvoorbeeld omdat er te veel bugs inzitten -- zonder dat je ook maar iets merkt aan het systeem als een geheel.

En wat die bug in IE/outlook betreft: natuurlijk moet je die twee keer melden. Dat zijn dan ook twee bugs. Als IE een bug doorlaat die in outlook zit, noem ik dat ook een IE bug.
En hoe gefundeerd is de kritiek van iemand die niet in staat is een programma of een printer te installeren? Hoe zeer ligt zijn ontevredenheid aan de (MS-)programma's die hij gebruikt en hoe zeer aan zijn vermogen er mee om te gaan? Hoe nodig is het dat diegene overstapt naar een ander OS?
Jarenlange programmeerervaring heeft nu eenmaal het inzicht gegeven dat het onmiskenbare voordelen heeft om met losstaande modules te werken. Geef die modules mooie, goed gedefinieerde interfaces en ze werken goed samen. Dat maakt het makkelijker om modules te vervangen zonder het hele systeem opnieuw te moeten schrijven. En dat maakt het dus ook een hoop eenvoudiger om hele modules te vervangen -- bijvoorbeeld omdat er te veel bugs inzitten -- zonder dat je ook maar iets merkt aan het systeem als een geheel.
Dat heeft MS ook gedaan, vandaar dat je dus zomaar je IE6 kunt vervangen door IE7. Compleet nieuwe module, drop-in replacement.
Het punt is niet dat het niet modulair is, want dat is het wel. Windows is misschien we het meest modulaire generieke OS dat er is.
Het punt is dat de modules onmisbaar zijn geworden voor het gebruik van het OS, zoals TRRoads probeert uit te leggen. De HTML-rendering engine wordt voor van alles en nog wat gebruikt. Dus je zult *een* Explorer-module nodig hebben... Of dat IE6 is, of IE7, of desnoods een FireFox in een IE-compatibele wrapper, maakt niet uit, maar je zult *iets* moeten hebben.
Dat is dus geen probleem op programmeervlak, en is eerder een gevolg van modulariteit dan een gebrek daaraan (als het niet modulair was, dan zat de HTML-engine in ieder onderdeel statisch gelinkt, en had je geen last van afhankelijkheden... maar het was dan wel onmogelijk om de module in 1 handeling te vervangen... iedere applicatie die er gebruik van maakt, zou geupdate moeten worden).

Bij linux gaat het trouwens ook al hard die kant op... Ik kom steeds vaker software tegen die de KDE of Gnome-libraries nodig heeft om te functioneren. Het vervelende daar is dat er dus twee alternatieven zijn... Ik gebruik zelf KDE, maar ik heb ook de Gnome-libraries nodig voor sommige applicaties. Dat betekent dus ook dat ik vatbaar ben voor zowel KDE- als Gnome-vulnerabilities. Voor Gnome-gebruikers geldt hetzelfde, maar dan omgekeerd (KDE-libraries vaak nodig). Is dus ook niet ideaal.
toch vreemd dat iedereen altijd zo zit te klagen tegen MS.

Als ik een hekel heb aan BMW koop ik toch ook geen zo'n auto?
Als ik een hekel zou hebben aan MS dan koop ik het toch niet?

Mensen die MS kopen om dan te kunnen klagen hoe slecht het is lijken mij niet goed bezig.

IE zit nu eenmaal in Windows. Moet je dan ook gaan klagen dat een autoproducent een bepaald type banden legt en je dus ook geen keuze hebt? Laat ons auto's verkopen in bouwpakket.
Niemand klaagt daarvan maar als het MS is o we.

Waarom moet Paint, kladblok, de klok, de games, de zip functionaliteit, de rekenmachine, windows verkenner dan ook niet uit Windows? dat is ook al jaren concurrentievervalsing door MS want alles heeft freeware of betalende alternatieven. net zoals ook IE en mediaplayer in het rijtje past.

Stop met MS af te breken en koop (of download) iets anders waar je je beter bij voelt.

Er zijn 100den alternatieven en niemand vind MS OK (behalve ik) maar toch raken de alternatieven niet van de grond. Of is iedereen in zijn binnenste toch wel tevreden met MS? Of zijn de alternatieven toch niet zo OK?

Misschien moet deze discussie eens starten ipv zomaar te zeggen MS is altijd slecht.
Ik denk dat het vooral komt omdat de meeste mensen niets anders weten dan MS en als ze weten van bijvoorbeeld mac tiger dan durven ze niet over te stappen omdat ze teveel gehecht zijn aan MS. Ook weten de meesten mensen niet hoe ze moeten omgaan met een nieuw os en gaan ze dan maar zeggen dan MS slecht is. Of ze weten niet hoe MS werkt en dan zeggen dat MS slecht dat is lekker simpel.
Klopt helemaal. Als je MS slecht vind zeur dan niet zo en ga lekker over naar een ander OS. Als je niet weet naar welk OS of je totaal geen kennis over andere besturingsystemen hebt stop dan met zeuren want dan ligt het aan jezelf.

Ik blijf zelf van mening dat MS teveel gebruik maakt van zn populariteit en blijft denken dat de klant het toch blijft kopen. Gelukkig blijkt toch dat er aardig wat mensen toch wel inzien dat dit niet werkt. Een goed voorbeeld hiervan is Firefox, deze wint steeds meer aan populariteit. Ook is Linux de laatste jaren steeds populairder geworden. Ik hoop zelf dat dit blijft doorzetten want we krijgen daardoor meer concurrentie en zal dit ook leiden tot betere producten.
Je weet toch ook wel dat de overstap niet voor iedereen realistisch is, b.v. Windows-only software, werken voor een baas.
wordpad,notepad, word en works zijn anders heel verschillende programmas..
Ja en dat zijn Outlook Express en Outlook ook.
Ja, het zijn verschillende programma's/pakketten, maar zitten allemaal in dezelfde "type" hoek.
Vind alleen dat de namen veel te veel op elkaar lijken.
Ik snap ook niet wie heeft verzonnen om een bij Windows meegeleverd emailprogramma outlook express te noemen, en vervolgens de office variant Outlook..
Jaja.. Bug in IE of Bug in Outlook Express, dat boeit niet.. een bug is in een bug en dat is er 1 teveel
Ach dit is allemaal zo overrated een bugje meer of minder ligt toch niemand wakker van. gewoon even wachten op een patchje en iedereen is weer happy

Op dit item kan niet meer gereageerd worden.