Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

Microsoft heeft een security advisory gepubliceerd over het afhandelen van uri's in Internet Explorer 7. Het bedrijf komt daarmee terug op de ophef over het ongecontroleerd doorgeven van uri's aan externe applicaties.

In juli ontstond er opschudding toen bleek dat uri's vaak ongecontroleerd doorgegeven werden aan andere programma's, waarna die applicaties de ontvangen adressen konden verwerken zonder ze te controleren. Er werd flink gediscussieerd over wie nu precies schuldig was aan het beveiligingslek, waarbij Mozilla uiteindelijk aangaf dat er niet alleen naar Microsofts Internet Explorer gewezen moest worden. De opensourceorganisatie raadde Microsoft aan zijn browser te patchen, en besloot daarnaast om Firefox van een update te voorzien, zodat uri's ook daar bij binnenkomst onder de loep genomen konden worden.

Internet Explorer PatchVerschillende veiligheidsexperts benadrukten dat meerdere programma's vatbaar zouden zijn voor de lekken en dat alle ontwikkelaars er goed aan zouden doen uri's zowel bij binnenkomst als bij het doorgeven naar andere applicaties te controleren. Microsoft zag echter geen reden om zijn browser van een update te voorzien. Het bedrijf heeft nu bekendgemaakt dat de nieuwste versie van zijn browser naar aanleiding van de heisa alsnog gepatcht zal worden.

Hoewel de patch alle applicaties veiliger zal maken in hun omgang met uri's, garandeert Microsoft niet dat de patch een eind maakt aan alle mogelijke veiligheidslekken ten gevolge van het ongecontroleerd accepteren van uri's die van Internet Explorer, of andere applicaties, afkomstig zijn. Zo zou het probleem met het niet escapen van uri's die doorgestuurd worden naar Firefox, nog steeds bestaan als Mozilla zijn browser niet gepatcht had.

Aangezien Windows niet kan weten op welke manier een ontvangende applicatie zijn strings escapet, verandert Microsoft namelijk niets aan de waarop uri's worden doorgegeven. Het lek dat het bedrijf nu gaat dichten, behelst alleen een probleem met de verwerking van het %-symbool in uri's. Windows gaat de mist in bij het herstellen van dat symbool, waardoor er kwaadaardige code uitgevoerd kan worden middels een specifiek geformuleerde uri. Het blijft dus zaak dat third-partyontwikkelaars ervoor zorgen dat binnenkomende uri's goed geŽscapet worden.

Het MSRC-team verduidelijkte op het teamblog dat de ShellExecute()-code strikter om moet gaan met uri's die naar en vanuit Internet Explorer verstuurd worden. Opvallend is bovendien dat Microsoft benadrukt dat alleen Internet Explorer 7-gebruikers met Windows XP of Windows Server 2003 vatbaar zijn voor de problemen. Wie Vista gebruikt of voorzien is van versie 6 van de browser, heeft kennelijk niets te vrezen.

Moderatie-faq Wijzig weergave

Reacties (32)

Vreemd dat, ondanks in het verleden door aardig wat mensen beweerd werd dat het URI probleem van o.a. Firefox en diverse IM software geen probleem van Microsoft is/was, er nu toch een fix van Microsoft is.

Blijkbaar heeft men bij MS toch onderkent dat het beter is om de gegevens die je aan andere applicaties aanbiedt toch beter maar 'hack-proof' moeten zijn - was het toen toch ook (een beetje) een probleem/bug in Microsoft software...

Edit: Hm - het url-spatie probleem wordt inderdaad niet aangepakt, dat is toch wel zonde eigenlijk.

[Reactie gewijzigd door Little Penguin op 12 oktober 2007 19:31]

Dit wordt uitgelegd als zijnde een URI-patch voor IE in Combinatie met andere applicaties. Maar dit is niet zo. Deze patch lost gewoon een probleem met %-escape codes op in de URI (URL). Daar zat een fout in. Het artikel zegt dan ook duidelijk dat ontvangen URI's ongemodificeerd worden doorgegeven aan achterliggende applicaties. Een ongepatchte Monzilla zal dus net zo hard na deze patch in de fout gaan als er voor.

De titel van dit nieuwsbericht is ook totaal fout. Beetje stemmingmakerij. Overigens valt me op dat heel veel mensen de artikelen niet goed doorlezen en dan al wat roepen.
Als ik het goed lees dan lossen ze het eigenlijke probleem niet op (wat inderdaad bij de URI-afhandelaar ligt), maar een bug in de behandeling van uri's (het %-teken wordt niet goed behandeld)
IE6 werkt helemaal niet met firefoxurl?
Ik type in adresbalk firefoxurl://tweakers.net en er gebeurt niets.
In firefox vraagt hij of hij firefox moet openen ik klik ja maar gebeurt nog niks

Wat is nou eigenlijk het nut van die hele firefoxurl?
Als je geen Firefox geinstalleerd hebt dan bestaat het 'firefoxurl' protocol helemaal niet, als je wel Firefox 2.0 (dus niet 1.5) geinstalleerd hebt dan is het altijd aanwezig.

Van wat ik er van begrepen heb is deze 'firefoxurl' protocol handler toegevoegd ivm compatibiliteit met WindowsVista - maar is wordt ze wel aangemaakt op alle Windows systemen waar Fx2.0 op geinstalleerd kan worden.
Als je online speelt met ut maakt die ook iets aan als: ut2004://ip address/mapname
-Uniform Resource Identifier, een internet-protocolelement.
-Uri is een plaats in Kasjmir, India tegen de de-facto grens met Pakistan aan.
-Uri is een kanton in het centrum van Zwitserland. Het is een deel van Binnen-Zwitserland.
-Uri is een gemeente in de Italiaanse provincie Sassari (regio SardiniŽ).
Zie wikipedia

Sow, er is er hier een driftig aan het modden zeg. :/


Admin-edit:
Opmerkingen over moderaties horen thuis in het
Tweakers.net Moddereter Forum.

[Reactie gewijzigd door botoo op 12 oktober 2007 18:26]

@gekke dirkie
Een URI, voluit een Uniform Resource Identifier, is een internet-protocolelement.

Ik noem die dingen URL protocols: bv als je mIRC installeert, maakt mIRC een URL protocol aan voor irc://
Als je dan linkt naar irc:// dan open je bij het klikken automatisch mIRC die dan de argumenten uitleest en connecteert.
era.zer zegt als eerste:

" Een URI, voluit een Uniform Resource Identifier, is een internet-protocolelement.:"

Waar denk je dat hij het over heeft?
een URI :)
maar de techniek om een URI te gebruiken in een webbrowser noemt iedereen "URL protocol"

zie o.a. http://msdn2.microsoft.com/en-us/library/Aa767914.aspx hoe je zoiets doet

[Reactie gewijzigd door ? ? op 12 oktober 2007 15:27]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True