Printlek in Internet Explorer ontdekt

Een kwetsbaarheid in de manier waarop Internet Explorer 7 en 8 webpagina's voor printen prepareert, kan misbruikt worden om code op de computer van het slachtoffer uit te voeren. Het lek is eenvoudig op te lossen.

Beveiligingsonderzoeker Aviv Raff meldt een lek in Internet Explorer 7 en de bèta van Internet Explorer 8b; ook eerdere versies van Microsofts browser kunnen kwetsbaar zijn. Het lek deed zich voor op een volledig gepatchte Windows XP-machine, terwijl Vista in mindere mate getroffen wordt. Het lek betreft de printfunctie van de browser: deze draait in de 'Local Machine Zone' in plaats van de 'Internet Zone' waarin andere componenten van IE draaien. Daardoor kan een kwaadaardige printopdracht vanuit Internet Explorer code op de kwetsbare computer uitvoeren.

Hiervoor dient een aanvaller echter eerst kwaadaardige code in de printopdracht te verstoppen. Dit is mogelijk wanneer de gebruiker de optie om een tabel met alle links van de te printen pagina mee te drukken gebruikt. Het script dat de html parset, valideert de code echter niet; derhalve kan elke gewenste code aan het systeem aangeboden worden. Een proof-of-concept van de aanval is inmiddels beschikbaar en daaruit blijkt dat ook Internet Explorer 6 kwetsbaar is voor de exploit. Een aanvaller kan zijn code verspreiden door linkjes te plaatsen in bijvoorbeeld blogs, eigen sites of elke plaats waar het posten van een url is toegestaan. Standaard is de optie om een tabel met links uit te printen overigens uitgeschakeld in Internet Explorer. Gebruikers bij wie dit niet het geval is krijgen het advies dit alsnog te doen.

IT-banen

Reacties (44)

TaraWij 15 mei 2008 18:00

Klagen over slechte beveiliging heeft geen zin, dit is een geval die zich maar bij een miniem aantal gebruikers voordoet. Verder is de kans dat de gebruiker zo'n site bezoekt (van die enkele programmeurs die de truk kennen) (om ook nog eens alle links af te drukken) bijzonder laag.

Verder komen zo'n dingen bij andere browsers ook wel voor, kijk maar eens op http://home.comcast.net/~SupportCD/FirefoxMyths.html

k7of9 @TaraWij • 15 mei 2008 22:11

Verder komen zo'n dingen bij andere browsers ook wel voor, kijk maar eens op http://home.comcast.net/~SupportCD/FirefoxMyths.html

Iemand heeft allerlei beweringen over Firefox op het interweb gezet, dan is het per definitie waar.

TaraWij @k7of9 • 15 mei 2008 22:29

Als jij dat zegt, ik gebruik die woorden niet. Die link dient slechts ter voorbeeld.

Verwijderd @!null • 15 mei 2008 21:48

Waarom is zaniken over terechte tekortkomingen van Firefox kansloos, en over (terechte) tekortkomingen van IE niet? Firefox schijnt inmiddels 40% van de markt te bezitten, dus dan mag er best wel kritisch naar gekeken worden, ook al is het gratis. Ook zij zijn dan immers een browser van betekenis geworden, net als IE, met alle voor- en nadelige gevolgen van dien.

TaraWij @Verwijderd • 15 mei 2008 22:15

Ook kan je moeilijk over iets oordelen wat je al een tijd niet meer gebruikt, zo kent iemand die 2 jaar Linux Ubuntu gebruikt de vernieuwingen van geheugengebruik in Windows Vista niet, Visa Versa ken ik de wijzigingen tussen de verschillende Ubuntu dan weer niet.

Een mens moet zelf kiezen mat het beste voor hem is, iets beter laten voordoen of bestempelen heeft weinig zin. Zelf ken ik Vista door en door en is er niet een reden waarom ik het niet zou gebruiken. Iemand die Linux door en door kent denkt net hetzelfde.

Dit maar ter voorbeeld, maar zo gaat het met veel dingen. Ook met browsers. Firefox start ongelofelijk traag hier, terwijl bij een ander weer ie7 traag start. Het is waarschijnlijk wel een oplosbaar probleem, maar waarom zou men het oplossen als men met de huidige browser tevreden ben.

Verwijderd @k7of9 • 15 mei 2008 22:40

Ik denk dat je die site niet ál te serieus moet nemen. Zou je niet vermoeden, dat die site wellicht een reactie is op een flink aantal Firefox-gebruikers, die hetzelfde doen/deden ten opzichte van IE? Ik kan me nog wel herinneren een paar jaar geleden, dat op welk forum je ook kwam, je als het ware voor dom werd uitgemaakt, als je te kennen gaf, nog steeds IE te gebruiken, en niet tot Firefox was 'bekeerd'. Ik kan me voorstellen dat sommigen daar knap geirriteerd van raakten. De meeste mensen lopen bijv. ook niet te juichen van vreugde, als er een Jehova bij hen voor de deur staat, die hen tot een ander geloof proberen te verleiden

Laat iedereen toch de mensen zélf kiezen, en respecteer hun keuze, ook als het de hunne niet is.

TaraWij @k7of9 • 15 mei 2008 22:27

Inderdaad kansloos, maar het geeft wel (ondanks een paar incorrecte myths) een duidelijk zicht dat FF ook gebreken heeft... Waar veel mensen niets van afweten.

tijn_tux @TaraWij • 16 mei 2008 08:42

Volgens die site moet het zijn Fx

en is het geen FireFox maar Firefox

!null @k7of9 • 15 mei 2008 22:57

100% met je eens

almar 15 mei 2008 17:46

Beetje kortzichtig om te zeggen dat microsoft nooit goed geweest is in beveiliging, ik denk dat beveiliging gewoon steeds belangrijker begint te worden en dat dit vroeger een minder grote doelstelling zal zijn geweest. En bovendien vindt je deze schoonheidsfoutjes in elke software, tot de router die jou van internet voedt tot de pagina waar ik nu in typ...

mae-t.net @almar • 15 mei 2008 20:09

Jij vult nu juist het punt aan dat MS nooit goed geweest is in beveiliging, je voegt alleen maar toe dat dat ook helemaal niet hoefde omdat beveiliging voorheen minder belangrijk was. In zekere mate klopt dat ook wel, voorzover je het over particuliere omgevingen hebt.

mae-t.net @Denzo • 15 mei 2008 20:17

Alternatieve oplossingen aandragen leidt niet tot flamen, aangeven dat je bang bent om geflamed te worden wel, net zoals het weglaten van uitleg of onderbouwing. Overigens ben je nogal ongenuanceerd want Opera is ook prima, en bovendien bevatten zowel Firefox als Opera ook nog wel lekken (*). Bij het kiezen van een browser telt behalve het aantal gaten en lekken natuurlijk ook het gebruiksgemak en de stabiliteit. Zo heb ik mijn keuze in elk geval wel gemaakt, waarbij Firefox afviel en IE als tweede browser dient.

(*) De kans op ernstige lekken is wel een beetje kleiner omdat er geen zaken als ActiveX ondersteund worden en omdat er minder integratie is met het systeem. Een voordeel op ontwerpniveau dus.

[Reactie gewijzigd door mae-t.net op 25 juli 2024 14:20]

Verwijderd 15 mei 2008 17:36

Mooi, hoef ik niet meer op de trage admin hier te wachten om local admin te worden op m'n machine.

dasiro @Verwijderd • 15 mei 2008 19:47

ja, nu kan je zelf gans je machine om zeep helpen

het feit dat je het verschil tussen local admin en local machine zone niet eens kent, bevestigd nog maar eens waarom ze je géén local admin willen maken (aside company policy)

Jaco69 @dasiro • 16 mei 2008 09:11

"derhalve kan elke gewenste code aan het systeem aangeboden worden"

squindahr @Jaco69 • 16 mei 2008 09:48

Wat niet betekend dat "elke gewenste code" ook volledig uitgevoerd gaat worden

Als je de rechten niet hebt dan gaat het echt niet werken, tenzij je weer een andere exploit van Windows gaat gebruiken.

anoko @Verwijderd • 15 mei 2008 17:39

Dat het script niet in de internetzone draait wil nog niet zeggen dat hij als admin draait....

Verwijderd 15 mei 2008 17:53

Ik hoop dat ze een inkt bestendige pleister hebben bij Microsoft.

Verwijderd 15 mei 2008 18:33

Een nog betere stap die de meeste gebruikers kunnen doen is gewoon de zone beveiliging aanpassen. Op elke computer stel ik altijd "Local Intranet" en "Trusted Sites" in op "High", omdat bijna niemand er gebruik van maakt, en je op die manier dit soort exploits al bij voorbaat afkapt.

Het nadeel van Service Packs of grote IE updates, is dat bij IE6+ de standaard instellingen voor de zones weer worden teruggezet (zeer irritant). Echter paar klikjes en dat is weer teruggezet, of je kan het in een .reg bestand stoppen om alle aanpassingen automatisch te doen.

SunnieNL

@Verwijderd • 15 mei 2008 20:01

local intranet of trusted sites heeft niets met deze bug te maken. De local machine site is niet gelijk aan die twee..

xzaz 15 mei 2008 19:01

Leuk weer een Microsoft bash nieuws post. Natuurlijk zitten er fouten in de software, de chat die straks begint met de ontwikkelaars van IE8 is misschien wel een leuke mogenlijkheid om jullie grote beveiligings lekken in IE te melden.
http://blogs.msdn.com/ie/

EricLaw [MSFT] (Expert)[19:08]:
Q: [19] Will the new Printing bug will be fixed in the next beta version of IE8?
A: Which printing bug are you referring to? If you're talking about Avi's issue, then all I can say is that we're aware of this problem and actively tracking it.

[Reactie gewijzigd door xzaz op 25 juli 2024 14:20]

Verwijderd @xzaz • 15 mei 2008 20:34

"Which printing bug..."

Deze site is inderdaad voor de MS bashers onder ons. Kunnen ze hun bashing technieken eindelijk nuttig laten blijken door daar de bugs te melden.

Verwijderd 15 mei 2008 17:39

Bizar weer hoor. Hebben ze IE eindelijk op een beetje nette manier dichtgetimmerd, krijg je dit.

Beetje hetzelfde idee als alle sloten in je huis vervangen door nieuwe en een alarminstallatie aanleggen, maar de achterdeur vergeten...

bush @Verwijderd • 15 mei 2008 19:03

Je vergeet dat IE7 eigenlijk alleen op Vista in Protected Mode draait. Het staat ook in het Artikel "Vista is minder getroffen"

SunnieNL

@bush • 15 mei 2008 19:59

vergeet ook niet dat op het moment dat je UAC uitschakeld MSIE uit de zandbox valt.. die protected mode werkt alleen met UAC aan

madcow22 @SunnieNL • 15 mei 2008 21:55

Als je uac uitschakeld is het je eigen schuld het is 1 van de beste features van windows vista.

TaraWij @madcow22 • 15 mei 2008 22:20

Zelf schakel ik de meldingen en het beveiligde bureaublad uit via groepsbeleid, programma's moeten alsnog specifiek via het menu als administrator worden uitgevoerd. Hierbij werkt UAC nog volledig en heb ik er geen last meer van.

Pas als er programma's die de "als administrator uitvoeren" gaan klikken bekend raken schakel ik die terug in, het lijkt me dat deze haast niet geschreven worden aangezien het merendeel UAC helemaal laat aan/uitstaan.

[Reactie gewijzigd door TaraWij op 25 juli 2024 14:20]

Verwijderd @Verwijderd • 15 mei 2008 18:47

"Achterdeur vergeten" is zwaar overdreven. Het is eerder een kwestie van een een gaatje waar een muis door kan.... Optie die standaard uit staat, en die mensen nooit en te nimmer gebruiken. Wordt toch heel lastig om mensen te bewegen die optie aan te zetten.

Misschien zou een poll wel aardig zijn, om te zien of er uberhaupt een tweaker is die die print optie ooit heeft gebruikt.... Ik nog nooit in ieder geval.

fevenhuis @Verwijderd • 15 mei 2008 22:50

Opties die normaal gesproken uitstaan kunnen vaak ook aangezet worden, denoods met handige code die dat zonder dat de gebruiker het beseft aanzet.
Nu weet u geljik waarom alle exploits ook echt exploits zijn.

Een beetje exploit is nooit alleen.

Cyberslak @Verwijderd • 15 mei 2008 17:46

nou nog op een nette manier loskoppelen van het OS.

Want IE is nog steeds als een draagmuur van een huis, om weer even die vergelijking te maken.

[Reactie gewijzigd door Cyberslak op 25 juli 2024 14:20]

Verwijderd @Niekk • 15 mei 2008 20:29

De bug zit er inderdaad al jaren. Gek dat deze nu pas als exploitable wordt gezien...

Krisp @Niekk • 15 mei 2008 17:44

Dit geeft aan dat er bij ingrijpende veranderingen in het product vrijwel altijd dingen over het hoofd gezien kunnen worden. Er zijn inmiddels genoeg onderzoeken geweest waarin duidelijk wordt de Microsoft echt veel aan beveiliging doet en gedaan heeft.

...zegt een Apple-gebruiker.

Sh4wn @Krisp • 15 mei 2008 18:00

Dit lek zit ook al in IE6, dus aan Ie7 heeft het niet gelegen.

mae-t.net @Krisp • 15 mei 2008 20:07

Doet inderdaad wel, en dan krijg je dus inderdaad dat er hier en daar wat over het hoofd gezien wordt bij het dichten van oude missers. Probleem is een beetje dat de architectuur van het OS en veel applicaties nooit is bedacht met veiligheid in het achterhoofd en het dichtstoppen van fouten dus onnodig moeilijk is en nooit alle gaten tegelijk aanpakt.

SunnieNL

@Niekk • 15 mei 2008 19:59

Hoevaak gebruik jij de functie om naast de pagina ook alle links van de pagina te printen?

Keypunchie

Beveiliging

@SunnieNL • 15 mei 2008 22:11

Niet vaak.

Maar als het een methode is om willekeurige code uit te voeren, hoef ik alleen maar naar een door mijzelf geprepareerde webpagina te surfen en op "print" te drukken om een willekeurige PC te voorzien van een keylogger, of om in de host-file de site van internetbankieren te vervangen door mijn phishing-site.

Leuk voor een internetzuiltje, bijvoorbeeld, of in een internetcafe.

[Reactie gewijzigd door Keypunchie op 25 juli 2024 14:20]

PolarBear @Niekk • 15 mei 2008 19:52

Ja want bij andere producten komen dit soort bugs nooit voor.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: