'Microsoft al maanden geleden geïnformeerd over lekken'

De Amerikaanse beveiligingsonderzoeker Taeho Kwon claimt dat hij Microsoft al in februari op de hoogte heeft gebracht van een aantal gevaarlijke bugs. De bugs geven aanvallers de kans om computers die op Windows draaien over te nemen.

Volgens Kwon bevatten Windows en zeker 28 applicaties kwetsbaarheden waarvan er vier op afstand door kwaadwillenden kunnen worden misbruikt. De bugs zouden onder andere in Microsoft Office 2007, IE8, Firefox 3.0, Chrome en Opera voorkomen. Ook Adobe Reader, Foxit, Windows Live Messenger, Skype en een aantal mediaspelers zouden kwetsbaar zijn.

Kwon, die bezig is met zijn promotieonderzoek aan de Universiteit van Californië, bracht in februari een rapport uit onder de naam 'Automatic detection of vulnerable dynamic component loadings'. Daarin beschrijft hij hoe hackers malware in dll-bestanden kunnen verstoppen nadat gebruikers via een gemanipuleerde website zijn besmet. Hij zou ook een detectietool hebben geschreven die kwetsbare programma's kan herkennen. Kwon zegt zijn bevindingen naar het Microsoft Security Response Center te hebben gestuurd, maar de softwaregigant zou nog niets hebben gedaan om de gaten te dichten.

De kwetsbaarheden werden al eerder publiek gemaakt door onderzoeker Moore en de firma Acros, die respectievelijk 40 en 200 applicaties aanwezen die gevoelig zijn voor de dll-aanvallen. Zij noemden echter niet de titels die zouden zijn getroffen. Inmiddels zou er al malware op het internet circuleren die van de dll-aanvalsmethode gebruikmaakt, waardoor de druk op Microsoft groter wordt om snel met patches te komen.

Microsoft heeft tot nu toe alleen laten weten dat het de bevindingen van Moore bestudeert. Beveiligingsonderzoekers stellen echter dat Microsoft de gaten in het inladen van dll-bibliotheken wel moet repareren, ondanks het risico dat de benodigde patches gevolgen hebben voor de werking van Windows en dat sommige applicaties na een eventuele patchserie niet meer goed functioneren.

IT-banen

Reacties (83)

Verwijderd 24 augustus 2010 11:46

'Microsoft al maanden geleden geïnformeerd over lekken'

En dat is toch ook volstrekt normaal.
Het is niet evident dat na aanmelding van een lek dat lek ook meteen verholpen kan worden.
Daar kunnen maanden over heen gaan.
Sowieso schat ik in dat Microsoft nu al bezig is met de patches van september en oktober en dat er voor de maanden november en december ook al een shortlist is van issues die in die patchrondes zullen plaatsvinden. Als je dus nu een lek aanmeld dan zou ik er niet op rekenen dat dat dit jaar gepatched wordt. Zeker niet omdat er altijd aandachttrekkers zijn die als het patchen ze niet snel genoeg gaat een exploit publiceren om hun eigen lek meer publiciteit te geven. Dat betekent dan natuurlijk dat andere patches weer worden opgeschoven.

Een doorlooptijd van 4-6 maanden lijkt me vrij normaal en voor complexere lekken waarvan het oplossen meer impact heeft denk ik dat er makkelijk meer dan zes maanden overheen kunnen gaan. Als men zich meer haast dan krijg je van die effecten als recentelijk bij Firefox die dan een een paar dagen na een patch weer een correctieve patch voor hun eerdere patch moeten uitbrengen. Dat soort effecten is erg ongewenst. Het opvoeren van de druk op softwareleveranciers met publicaties, dreigementen of zelfs het publiceren van exploits levert misschien wel sneller patches maar levert dus ook vanzelf een negatief effect op de kwaliteit van de patches voor de lekken en is dus slecht voor de gebruikers nog afgezien van de directe gevolgen van bijvoorbeeld de publicatie van een exploit die vaak leidt tot een explosie van nieuwe malware.

Het issue wat dezxe persoon rapporteert betreft normale functionaliteit die ook opzettelijk door developers kan worden gebruikt om applicaties per omgeving anders in te zetten. Het is dus niet evident om dat zo maar uit te schakelen. Daarmee zouden veel normale applicaties kunnen omvallen. Het is maar de vraag of je dat zou moeten patchen.
Eigenlijk zouden alle kwetsbare applicaties zelf moeten worden aangepast.

[Reactie gewijzigd door Verwijderd op 31 juli 2024 10:25]

i-chat @Verwijderd • 24 augustus 2010 11:58

sorry - maar nu lul je echt uit je nek,

voor een OS (besturingssysteem), waar hele bedrijfsnetwerken van afhankelijk zijn, een doorloop tijd van 4 tot 6 maanden,

nouw help me er dan maar aan herinneren dat IK NOOIT klant bij jouw wil worden.

voor een schoonheids foutje of een feature request, is zijn doorlooptijd idd vrij redelijk, (denk aan ubuntu die elke 6 maanden nieuwe features uitbrengt). maar bij een beveiligingslek hoordt de doorloop tijd meer in de richting van 4 tot 6 dagen, te zijn....

bedenk je ook eens dat er wel een veelvuldig aantal programmeurs worden ingezet om een 'kritieke' patch te bakken, in vergelijking tot een nieuwe feature...

het feit dat MS hier haar klanten maanden in de kou laat staan toont maar weer eens aan dat de wereld beter af is met opensource software (en dan bedoel ik dus niet per sé linux of bsd, want een open source windows 7 zou ook mogen (al zit dat er waarschijnlijk niet in))

EvilWhiteDragon @i-chat • 24 augustus 2010 12:15

Dus we gaan wel binnen een maand een fix inelkaar draaien waardoor het lek gedicht wordt, maar mogelijk ook de helft van de programma's onbruikbaar wordt. Ga je die wel uitrollen in je bedrijfsnetwerk? Nee.
Ga je die (bewust) uitrollen thuis? Nee.
Wordt je enorm boos en gefrustreerd wanneer na een automatische update je programma's niet meer werken? Ja.

Daarom kan dit waarschijnlijk niet 1-2-3 opgelost worden.

Verwijderd @EvilWhiteDragon • 24 augustus 2010 14:38

Het kan wel 1-2-3 opgelost worden door de betroffen applicaties die heel makkelijk gepatched kunnen worden zonder impact op de functionaliteit.

roy-t @Verwijderd • 24 augustus 2010 14:59

Exact, maar MS kan Opera e.d. niet patchen...

humbug @EvilWhiteDragon • 25 augustus 2010 04:35

De grote grap is dat dit probleem natuurlijk niet exclusief voor Microsoft is. Windows gebruikt DLLs om functionaliteit herbruikbaar te maken. Het risico is dat als iemand er voor zorgt dat een andere DLL geladen wordt dan oorspronkelijk bedoeld er dus ongewenste code kan worden uitgevoerd met de rechten van de applicatie die de DLL opstart. Dit geldt natuurlijk niet alleen voor Windows maar ook bv voor Linux waar so files dezelfde functionaliteit leveren. En feitelijk elk modern OS.

Ik ben zeer benieuwd hoe iemand denkt hier een patch voor te schrijven. Misschien DLLs afschaffen? Een verandering aan het search path is natuurlijk geen echte oplossing. Simpelweg de DLL overschrijven blijft dan nog gewoon mogelijk....

[Reactie gewijzigd door humbug op 31 juli 2024 10:25]

engessa @i-chat • 24 augustus 2010 12:03

Heb je bij open source dan altijd de garantie dat alle beveiligingsproblemen binnen 4-6 dagen opgelost worden? Volgens mij niet.

Verwijderd @engessa • 24 augustus 2010 12:07

Welnee. Ik zag regelmatig in de release notes van Mozilla issues gepatched worden die al meer dan een jaar open stonden.

i-chat @Verwijderd • 24 augustus 2010 12:14

dan moet je eens kijken naar de aard van die buggs of issues. dat heeft meestal weinig van doen met, remote exploits etc.

en die garantie heb je wel degelijk als je je portemonnee trekt een een developer aan het werk zet, en met problemen van deze orde is dat zeker geen slecht idee. - ware het niet dat het bij windows toch niet helemaal mogelijk blijkt...

Verwijderd @i-chat • 24 augustus 2010 13:29

dan moet je eens kijken naar de aard van die buggs of issues. dat heeft meestal weinig van doen met, remote exploits etc.

Daar waren ook gewoon kritieke issues uit de bugtracker bij.
Als ik bijvoorbeeld in de meest recente FF 3.6.7advisories kijk (3.6.8 was een patch op een patch) zie ik dat er nog een kritiek lek rondom memory crashes in 3.6 is opgelost dat openstond sinds 2009 (dus nog voor de eerste versie van FF 3.6 was gereleased).

Little Penguin @Verwijderd • 24 augustus 2010 13:44

Waarom is dit een memory crash? Als ik de bug bekijke kan ik niet direct concluderen dat het gaat om een "crash with evidence of memory corruption", maar als ik het verkeerd heb mag je aangeven waarom ik 't bij het verkeerde eind heb.

Natuurlijk is het een lastig issue om een bug te fixen waarvan je niet precies weet wat de oorzaak is, maar over het algemeen zijn de echt kritieke issues bij Mozilla binnen 1 maand gefixed. Bij MS-Windows software wil dat wel eens een stuk langer zijn...

Verder weten wij als normale eindgebruikers niet welke lekken er allemaal in closed source software zitten. Er worden genoeg lekken gefixed, zonder dat wij er van weten - mogelijk dat die nog veel langer open staan...

edit:

@hAl:
"Some of these bugs showed evidence of memory corruption under certain circumstances, and we presume that with enough effort at least some of these could be exploited to run arbitrary code."
Op zich heb je dus gelijk, maar: Er staat dat sommige bugs misbruikt zouden kunnen worden, niet dat dit per definitie het geval is...

[Reactie gewijzigd door Little Penguin op 31 juli 2024 10:25]

Verwijderd @Little Penguin • 24 augustus 2010 14:37

Waarom is dit een memory crash?

Omdat het door Mozilla in de advisory omschreven wordt onder diverse memory safety bugs
http://www.mozilla.org/se...nce/2010/mfsa2010-34.html
en de bug zelf gaat over een crash.

Cronax @Verwijderd • 24 augustus 2010 12:15

een issue is wel even heel iets anders als een lek...

Sorry hoor maar 4-6 maanden is voor een bedrijf als Microsoft gewoon onzin. De hoeveelheid geld die ze verdienen met Windows en de hoeveelheid bedrijven die van ze afhankelijk zijn rechtvaardigen in mijn ogen toch echt wel het inzetten van voldoende personeel om dit soort dingen veel sneller te kunnen uitbrengen.

Tuurlijk moet alles getest worden, maar als je denkt dat alles handmatig getest moet worden dan heb ik nieuws voor je

daar zijn gewoon applicaties voor die alles van onder naar boven kunnen testen.

Voor een veiligheidslek vind ik 1 maand al lang, bedrijven moeten zelf ook nog de kans hebben om te testen of de patch binnen hun omgeving geen problemen veroorzaakt voor ze hem uitrollen

roy-t @Cronax • 24 augustus 2010 14:57

Het heeft geen zak met MS te maken maar met de complexiteit van een product zo groot als Windows.

Het gaat hier ook niet om een klein bugje/exploit maar om het volledig aanpassen van de manier waarop DLLs geladen worden, wat volgens de onderzoekers zelf hoe dan ook sommige applicaties gaat breken.

De onderzoekers zijn gewoon chagrijnig dat ze niet snel genoeg erkenning krijgen en zoeken daarom nu de media op om hun paper te pushen.

ameesters @roy-t • 24 augustus 2010 15:32

en gelijk hebben ze, als jij je tijd ergens in geïnvesteerd heb en moeite ervoor gedaan heb om het voor elkaar te krijgen en jouw baast reageert van:"ohh ja, tja... duss..."
dan breekt de hel toch ook lost? anders heb je een assertiviteit probleem!

OddesE @engessa • 24 augustus 2010 12:12

Als je pech hebt wordt het hele project abandoned en wordt het alleen gefixed als je het zelf doet. Open Source geeft je juist nul garanties. Als je echt garanties wil dan moet je de portemonee trekken en een flink support contract tekenen met een bedrijf dat de beloftes ook kan nakomen (een sterk bedrijf dus dat niet zomaar over twee jaar weg is).

Nickname55 @OddesE • 24 augustus 2010 13:03

Als je pech hebt wordt het hele project abandoned en wordt het alleen gefixed als je het zelf doet. Open Source geeft je juist nul garanties. Als je echt garanties wil dan moet je de portemonee trekken en een flink support contract tekenen met een bedrijf dat de beloftes ook kan nakomen (een sterk bedrijf dus dat niet zomaar over twee jaar weg is).

Heb je bij MS wel garanties dan? Nee, nooit. Ook met een support contract schiet je niets op, daar zitten altijd kleine lettertjes bij ...

latka @OddesE • 24 augustus 2010 13:07

Als je je licenties ook gelezen hebt weet je dat je, zelfs na betaling, nog geen enkele garantie krijgt op software. Echt waar, lees ze maar eens..

Verwijderd @latka • 25 augustus 2010 09:59

Al eens een licentie gelezen? Staat zelfs in hoe groot de uptime moet zijn van de software ed.

ameesters @OddesE • 24 augustus 2010 12:40

ohh jah, echt, ik lees dat je er al jaren langen ervaring mee heb...

Verwijderd @OddesE • 24 augustus 2010 22:54

Open Source geeft je juist nul garanties.

Open Source geeft je de garantie dat de broncode altijd voor jou besvhikbaar zal zijn en dat je dus elk probleem altijd op zal kunnen (laten) lossen. En dat is 10000x zoveel garantie dan welke closed-source leverancier je ooit zal willen geven.

humbug @Verwijderd • 25 augustus 2010 04:15

Ik heb liever de garantie dat iemand het probleem oplost dan dat ik er zelf aan kan gaan klussen. Bij Open Source is de sourcecode beschikbaar. Dat wil niet zeggen dat de sourcecode goed leesbaar is of dat de gebruikers de kennis hebben om aan die sourcecode te gaan werken. Ongedocumenteerde sourcecode is waardeloos en even een ontwikkelteam optuigen omdat je open source project niet meer ondersteund wordt is een kostbare aangelegenheid....

Verwijderd @humbug • 25 augustus 2010 09:52

Ik heb liever de garantie dat iemand het probleem oplost

Noem 1 softwareboer die je die garantie geeft. Simpel, die zijn er niet. Dit bericht is daar een duidelijk voorbeeld van: MS weet al maanden dat er een gigantisch gat in hun software zit, maar vertikt het om het op te lossen.

dan dat ik er zelf aan kan gaan klussen.

Je hoeft er niet zelf aan te gaan klussen. Alleen als de leverancier het vertikt het probleem op te lossen kan je er voor kiezen om het zelf te doen. Dat is een keuze, een keuze die je bij proprietaire software niet hebt.

Bij Open Source is de sourcecode beschikbaar. Dat wil niet zeggen dat de sourcecode goed leesbaar is of dat de gebruikers de kennis hebben om aan die sourcecode te gaan werken.

Gebruikers moeten met hun vingers van sourcecode afblijven. Daarvoor heb je ontwikkelaars of huur je ontwikkelaars in.

Ongedocumenteerde sourcecode is waardeloos en even een ontwikkelteam optuigen omdat je open source project niet meer ondersteund wordt is een kostbare aangelegenheid....

Dat hangt er maar net vanaf hoe belangrijk die software voor je is.
Daarnaast gaat het in veel gevallen helemaal niet om het optuigen van een compleet ontwikkelteam, maar betaal je iemand om een bug op te lossen of een feature te implementeren waar de leverancier geen zin in heeft. In geval van closed source software kan je het dan vergeten.

De kern van open source software is ook niet het feit dat de source open is, de kern is dat de gebruiker de vrijheid heeft te doen met die software wat hij maar wil of nodig acht en dat is lijnrecht tegenover de meeste EULA's van gesloten software, die er juist op uit zijn de gebruiker zoveel mogelijk te beperken.

ameesters @engessa • 24 augustus 2010 12:31

binnen 24 uur een tijdelijke patch, meestal binnen 48 soms wat langer(4-6) dagen een permanente oplossing.

Het aantal developers dat aan opensource software mee werkt zal geen enkele bedrijf kunnen bekostigen!

jelmervdmeer @ameesters • 24 augustus 2010 13:11

het grappige is dat die devs dus wel bekostigd worden op één of andere manier, namelijk door hun werkgever en neem maar van mij aan dat velen ook tijdens werk uren lekker aan dit soort projectjes werken

ameesters @jelmervdmeer • 24 augustus 2010 13:51

het merendeel van de developers krijgen opdracht van ehun werkgever om iets aan te passen in een opensource project, door gpl zjn ze verplicht hun aanpassingen te delen aan het project, hierdoor ontstaat een win-win situatie..

wij gebruiken een aantal opensource applicaties op het werk en het is me al een paar keer overkomen dat ik dat moest doen, en ja, we houden ons zelf aan de licentie die de ontwikkelaar er aan gegeven heeft!

Maar daarnaast besteed ik in mijn vrije tijd alsnog veel tijd aan diverse projecten omdat ikzelf thuis alles opensource draai.

Verwijderd @engessa • 25 augustus 2010 09:56

Haha, garanties bij open source? Geloof je toch zelf niet?

Verwijderd @i-chat • 24 augustus 2010 12:02

voor een OS (besturingssysteem), waar hele bedrijfsnetwerken van afhankelijk zijn

Precies, en dat betekent door vooral dat alles moet blijven werken ook na een patch en dat er dus uitgebreid getest moet worden met ontelbare mogelijke configuraties. Een kritiek lek is potentieel ernstig voor gebruiikers maar veel erger is het als een patch ineens in 1 keer een paar procent van alle windows computers platlegt door een fout in de patch.

deadeyes @Verwijderd • 24 augustus 2010 17:26

Ooit gehoord van testing/staging/production?

Een security patch ter beschikking stellen zou inderdaad niet te lang op zich mogen laten wachten. De gebruiker kan dan nog altijd beslissen om die al dan niet toe te passen.
Je doet 1 server, testen, ok? Op productie toepassen. Anders uninstallen.

i-chat @Verwijderd • 24 augustus 2010 12:11

het is anders vaak genoeg voorgekomen dat MS work-arounds en andere zut publiceerd zels hele patches waarvan bekend is dat ze problemen kunnen veroorzaken die kun je dan vaak via de download site (in plaats van via update), downloaden,

je kunt nogaltijd een bepaald vervelend probleem hebben, dan een gevaarlijk probleem,
software die niet goed werkt is erg lastig, netwerken die door kwaadwillenden worden overgenomen is VEEL erger.

Verwijderd @i-chat • 24 augustus 2010 12:17

software die niet goed werkt is erg lastig, netwerken die door kwaadwillenden worden overgenomen is VEEL erger

Dat is een misvatting. Windows software die niet goed werkt kan tot meer dan een miljard windows gebruikers ernstig treffen. Malware besmettingen zelfs bij ernstige uitbraken betreffen meestal maar een beperkte groep mensen omdat gebruikers tegen malware ook andere beschermingen hebben zoals anti malware software en filters die ze weghouden van sites die de malware verspreiden (bijvoorbeeld IE's smartscreen filter).

De ernst van een fout in een patch is veel groter door de grote schaal waarop updates worden verspreid dan het iets langer laten voor bestaan van een lek omdat exploitatie daarvan veel minder mensen betreft

[Reactie gewijzigd door Verwijderd op 31 juli 2024 10:25]

Fiander @i-chat • 24 augustus 2010 13:16

In dit ene specifieke geval. (Het inladen van dll's ) kan ik me voorstellen dat het iets langer duurt om het probleem te analyseren en daarna te omzeilen zonder een nieuw probleem te maken, en ondertussen zo weinig mogelijk andere apps in te laten storten.

verder ben ik het met je eens dat 4 a 6 maand te lang is voor lekken.

Verwijderd @i-chat • 25 augustus 2010 09:55

Jij werkt duidelijk niet in IT. Zo'n bug moet eerst onderzocht worden, dan moet de oorzaak van die bug gezocht worden (en dat kan lang duren, mss wel het langste), en dan pas kan men aan een oplossing beginnen denken. Dan komt er nog eens het testen wat ook best lang duurt, want we willen natuurlijk niet dat 40% van de windows gebruikers hun pc ineens vastloopt door slechte testing.

En open source, laat met niet lachen. Zero ondersteuning. Wil ik als bedrijf niets mee te maken hebben. Als ik een stuk software heb, en ik zou een extra feature hebben, dan moet ik het ofwel zelf laten schrijven, ofwel moet ik wachten totdat er ooit iemand in de community eens zin zou kunnen krijgen om die feature te schrijven.

Ook qua probleemoplossing is er geen ondersteuning, en wie is er verantwoordelijk als er iets misloopt? Ahja juist, jijzelf.

Nee geef mij dan als bedrijf toch maar een bedrijf als MS dat je een paar 1000 euro betaald voor een degelijk stuk software waarvan bepaalde kwaliteitseisen CONTRACTUEEL zijn vastgesteld.

[Reactie gewijzigd door Verwijderd op 31 juli 2024 10:25]

cibrhusk @Verwijderd • 27 augustus 2010 12:38

En open source, laat met niet lachen. Zero ondersteuning. Wil ik als bedrijf niets mee te maken hebben. Als ik een stuk software heb, en ik zou een extra feature hebben, dan moet ik het ofwel zelf laten schrijven, ofwel moet ik wachten totdat er ooit iemand in de community eens zin zou kunnen krijgen om die feature te schrijven.

Wat ben jij kortzichtig zeg, je hebt je duidelijk nog nooit echt verdiept in open source.
Nagenoeg alle belangrijke open source projecten worden wel ondersteund door commerciele bedrijven. Als jij open software van Redhat betaald afneemt dan heb je gewoon 100% ondersteuning van Redhat. Ook feature requests kun je betaald wel regelen.
Stuur jij maar is een feature request naar microsoft tbv bijvoorbeeld Windows of Office. Veel succes!

Die 100% ondersteuning is dan nog los van alles wat de opensource communities vinden en toevoegen - wat uiteraard ook door redhat in zijn producten eerst gereviewed wordt alvorens uitgegeven. In mijn voorbeel van Redhat en Microsoft zijn beide bedrijven gewoon 100% hetzelfde en zijn de kwaliteitseisen contractueel vastgesteld. Verschil is dat bij een bedrijf dat ook opensource communities achter zich heeft de ontwikkeling bij mission critical applications veel strakker en sneller gaat - vooral mbt bugs.

haling @Verwijderd • 24 augustus 2010 12:04

Als men zich meer haast dan krijg je van die effecten als recentelijk bij Firefox die dan een een paar dagen na een patch weer een correctieve patch voor hun eerdere patch moeten uitbrengen. Dat soort effecten is erg ongewenst.

Dus liever 4-6 maanden wachten dan in zeer korte tijd 2 patches doorvoeren?

Verwijderd @haling • 24 augustus 2010 12:12

Ja, zolang een lek niet bekend is is er slechts weinig risico.
bovendien kan Microsoft heel goed monitoren op welke wijze hun systemen op het internet worden aangevallen en daardoor bij het minste of geringste teken dat er een nieuwe exploit op de markt is prioritering van hun patches aanpassen.
Elek patch daarintegen betekent nieuwe risico's. Bij elke patch wordt informatie verstrekt over issues in de programmatur en er is na een patch oom meteen een snelle op gang van nieuwe malware versies die ongepatche machines proberen aan te vallen. Extra patch betekenen bovendien weer een anscal op de resources en zorgen er voor dat daardoor weer andere issues voor een volgende keer moeten worden opgeschoven verder naar de toekomst
Er is dus een hele legitieme reden om meer en extra patches zoveel mogelijk te voorkomen

elmuerte @Verwijderd • 24 augustus 2010 13:25

Ja, zolang een lek niet bekend is is er slechts weinig risico.

Als 1 persoon die lek gevonden heeft kunnen andere dat ook. Of die andere er niks kwaads mee doen is de vraag.

i-chat @haling • 24 augustus 2010 12:17

blijkbaar

ik zou toch niet graag software afnemen van een bedrijf die zo te werk gaat..
ik zeg niet dat cononical of mozilla of google of....... ga zo maar door, dit soort problemen altijd direct en adequaat oplost, maar MS staat er natuurlijk wel om bekend dit vaker te laten gebeuren..

Zer0 @haling • 24 augustus 2010 12:20

Als dat een verschil tussen geen downtime of een paar dagen downtime (tussen de twee patches) betekend zal het voor veel bedrijven de voorkeur hebben een paar maanden te wachten, waarbij de potentiële lekken op andere manieren afgevangen worden (IDS/Firewall/AV/beperkte rechten)

GiLuX @Verwijderd • 24 augustus 2010 12:19

het lek is al zo'n 10 jaar bekend....
http://www.securityfocus.com/bid/1699/info

Verwijderd @GiLuX • 24 augustus 2010 13:42

Dat komt ook omdat het geen lek is maar een normale manier waarop windows applicaties werken.
Wat deze functionaliteit het nu meer risco geeft gevaarlijk maakt is dat veel applicaties zelf hun working directory niet meer instellen bij de start van de applicaties en dat er sinds die tijd ook remote directories als working directory kunnen worden ingezet.
Ik weet ook niet of het per se heel simpel te exploiteren is omdat je dus wel een situatie moet creeren waarbij een gebruiker zo handelt dat hij een kwetsbare applicatie vanaf een remote directory opent.

Wim-Bart @Verwijderd • 24 augustus 2010 22:31

Daarnaast is het probleem toch vrij basaal van aard. Zolang je als gebruiker in user space draaid met de juiste security (dus niet als local admin) dan is jouw sessie een sandbox en zal de exploit niet uit kunnen breken buiten je eigen user space.

Zodra je systeem echter open is (je bent administrator) dan is het risico groter omdat de dll zichzelf zou kunnen verplaatsen naar een kritieke plaats. Echter bij goed ingestelde UAC zal Windows 7, Vista, 2008 (R2) direct schreeuwen dat de toepassing die de dll gebruikt iets illegaals doet.

Het risico van een dergelijke exploit is dan ook vrij laag mits je je gewoon houd aan simpele security regels. Des te meer reden om security niet omlaag te schroeven "omdat het zo handig is" voor die ene keer dat je een applicatie installeert.

YaPP @Verwijderd • 24 augustus 2010 12:31

Het is niet evident dat na aanmelding van een lek dat lek ook meteen verholpen kan worden.
Daar kunnen maanden over heen gaan.

De gemiddelde security fix bestaat 1-a-2 extra if-statements die parameters en waarden controleren. Daar heb je geen 4 maanden doorlooptijd voor nodig. Ik kijk regelmatig naar de patches die nodig waren voor een security fix, en dat zijn doorgaans maar een paar regels code.

Een lek waar je meer dan een week doorlooptijd voor nodig is, is geen lek maar een serieus architectuur / design probleem. Bij grote wijzigingen loop je idd het risico dat allerlei combinaties van software problemen gaan geven. Een kleine fix hoort dat niet te geven.

Van het DLL-embedding probleem kan ik me nog voorstellen daar tijd voor nodig is. De remote exploits hadden echter al lang in een patch bijgewerkt kunnen worden.

Zeker niet omdat er altijd aandachttrekkers zijn die als het patchen ze niet snel genoeg gaat een exploit publiceren om hun eigen lek meer publiciteit te geven.

-1 troll.

Iemand neemt hier de moeite om een probleem netjes te melden, geeft Microsoft maanden (!!) de tijd om tot een oplossing te werken. Hij krijgt nauwelijks tot geen reactie, en wordt in weze niet echt serieus genomen. Zal ik best gefrustreerd over worden.

Op dit punt kan je verwachten dat iemand toch de code gaat verspreiden, of gaat "bewijzen" dat zijn gevonden bug toch grote impact heeft. Iets wat je met wat meer communicatie eenvoudig kan verhelpen.

Echte aandachttrekkers zullen op dag 1 direct de exploit code beschikbaar stellen, of nog erger, alleen underground in de hacker scene hun kennis verspreiden - om daar reputatie op te bouwen. Een onderzoeker die netjes een paar maanden gewacht heeft, treft naar mijn idee geen blaam.

[Reactie gewijzigd door YaPP op 31 juli 2024 10:25]

Verwijderd @YaPP • 24 augustus 2010 13:45

De remote exploits hadden echter al lang in een patch bijgewerkt kunnen worden.

De remote exploits zijn ook gewoon dll embedding via een remote (webdav) directory.

De is niet evident om die functionaliteit te verwijderen omdat dat bijvoorbeeld door sharepoint gebruikers gebruikt wordt.

Het is wel heel simpel aan te passen voor betrokken applicaties.

[Reactie gewijzigd door Verwijderd op 31 juli 2024 10:25]

DeTeraarist 24 augustus 2010 12:41

Daarin beschrijft hij hoe hackers malware in dll-bestanden kunnen verstoppen nadat gebruikers via een gemanipuleerde website zijn besmet.

Hee, ik kan dingen doen op iemands pc nadat ik ze heb geinfecteerd! Zou een slechte infectie zijn als dat niet zo was.

bush @OpenMinded • 24 augustus 2010 13:44

Wat een hoop geblaat hier. Heeft iemand al eens de moeite gedaan om zich deftig te informeren? Het bewuste lekhttp://www.microsoft.com/...ity/advisory/2269637.mspx vereist een issue met een programma en je krijgt geen elevated permissions alleen de permissions van de aangelogde user.

Het is dus in de eerste plaats het programma dat bovenop windows draait dat onveilig geschreven is, en niet windows zelf.

Het lijkt me evident, dat als je het mechaniscme achter het laden van DLL's wijzigd, er waarschijnlijk massaal veel programma's niet meer zullen werken. Het is dus niet zo éénvoudig op te lossen.

In hetzelfde artikel is er informatie beschikbaar over hou je je voor het "lek" kan beschermen.

Marcelloz 24 augustus 2010 11:50

De bugs zouden onder andere in Microsoft Office 2007, IE8, Firefox 3.0, Chrome en Opera voorkomen.

Als ik het goed lees zitten er security gaten in Firefox en Chrome en moet Microsoft daar actie tegen ondernemen... wereld op zijn kop lijkt me. Volgens mij zit hij dan toch op het verkeerde adres?

Lijkt me een beetje een actie van die man om zijn algoritme\applicatie onder de spotllight te krijgen.

.. Inmiddels zou er al malware op het internet circuleren

"Zou...", gaarne bronvermelding anders lijkt me dit hoogst suggestief

[Reactie gewijzigd door Marcelloz op 31 juli 2024 10:25]

Little Penguin @Marcelloz • 24 augustus 2010 13:24

Als ik het goed lees zitten er security gaten in Firefox en Chrome en moet Microsoft daar actie tegen ondernemen... wereld op zijn kop lijkt me. Volgens mij zit hij dan toch op het verkeerde adres?

Op het moment dat het een ontwerpfout van MS-Windows is, dan is Microsoft de verantwoordelijke partij en moet Microsoft dus ook voor een oplossing zorgen. Als het op een grensvlak ligt tussen toepassing en besturingssysteem, dan kan ik me voorstellen dat ook de fabrikant van de toepassing aanpassingen moet doen, in alle andere gevallen is de leverancier van het besturingssysteem verantwoordelijk.

Verder valt het me overigens wel op dat hier Fx 3.5 en hoger niet genoemd wordt, heeft men bij Mozilla mogelijk in de nieuwere versies van de software het lek -dat dus door Microsoft min of meer veroorzaakt is- toch weten te dichten? Fx 3.0 wordt AFAIK niet meer ondersteund door Mozilla, dus die zal niet meer door Mozilla van een patch voorzien worden...

Verwijderd @Little Penguin • 24 augustus 2010 14:08

Het is functionaliteit van het OS die misbruikt kan worden in applicaties die het gebruik ervan toelaten.
Als je het in het OS aanpast dan hebben ook mogelijk applicaties er last van die de functionaliteit opzettelijk gebruiken (bijvoorbeeld developers en tester die hun eigen software zo testen over verschillende omgevingen). De fix heeft dan dus impact op bestaande systemen en voor bepaalde klanten.

Als de kwetsbare applicaties een aanpassing maken heeft eigenlijk niemand er last van. Zo heeft iTunes het al maanden geleden aangepast.
Het gaat om de hele simpele aanpassing die hier
http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx
beschreven worden (en die sowieso programmeurs altijd zouden moeten toepassen als best practise)

Er is dus qua impact een voordeel als applicaties aangepast worden maar uit security overwegingen biedt Microsoft ook nog tooling waarmee het laden van libraries door een systeembeheerder systeembreed kan worden ingeperkt.

[Reactie gewijzigd door Verwijderd op 31 juli 2024 10:25]

Team-RiNo

@Marcelloz • 24 augustus 2010 12:13

Als dat via een Windows functie is die deze applicaties gebruiken dan ligt het bij Microsoft natuurlijk.

i-chat @Marcelloz • 24 augustus 2010 12:21

als ik het artiekel doorlees krijg ik meer de indruk dat het die exploit doormiddel van oa. firefox chrome etc etc. veroorzaakt kan worden, en in dat geval moeten die problemen ook door die software makers worden gefixt alleen, als deze beveiliging gebroken is hoord het OS nog steeds zelf ook enige mate van veiligheid in te bouwen,

het moet niet zo zijn dat als je eenmaal over de sloot bent gesprongen dat je dan gelijk maar de hele opslagplaats van defensie kunt leegjatten..

Xthemes.us 24 augustus 2010 11:51

Firefox 3.0 word ook niet langer ondersteunt door Mozilla dus dat hierbij het probleem niet is aangepakt is dan ook niet zo vreemd..

Verwijderd @Xthemes.us • 24 augustus 2010 11:54

Ze zijbn echter wel bij Mozilla verantwoordelijk voor die erg korte product lifecycle waar blijkbaar hun gebruikers niet goed om kunnen gaan

[Reactie gewijzigd door Verwijderd op 31 juli 2024 10:25]

martijnve @Verwijderd • 24 augustus 2010 11:59

Firefox update toch vanzelf?
Als gebruikers opzettelijk niet updaten kun je dat mozilla niet aanrekenen.

Amito @martijnve • 24 augustus 2010 13:17

Major releases (zoals van 1.5 naar 2, van 2 naar 3 en van 3 naar 3.5) worden niet automatisch geupdate. Daar moet je zelf voor controleren naar updates.

Dutch2007 @Verwijderd • 24 augustus 2010 12:01

ze bieden toch een gratis upgrade aan? heck laatste versie is 3.6.x

Verwijderd @Dutch2007 • 24 augustus 2010 18:26

Microsoft biedt ook een gratis update naar IE8 aan.... Moet je eens zien hoeveel er nog met IE6 surfen...

Little Penguin @Verwijderd • 24 augustus 2010 13:26

Hoeveel gebruikers zitten nog op Fx 3.0? Dat aantal is erg laag, omdat 95%+ van de gebruikers redelijk snel naar de nieuwe versie overstappen. Dit in tegenstelling tot sommige producten van andere fabrikanten, die soms zo lang in leven gehouden worden dat ze zelf de bron van problemen gaan worden.

De gebruikers kunnen hier uitstekend mee omgaan, als ik zo kijk - geen enkele reden om dit, op korte termijn, aan te passen.

Pyr0wl 24 augustus 2010 12:33

Dit neem ik met een korrel zout.

In het artikel staat dat Kwon bezig is met zijn doctoraat.. Misschien werdt hij wel heel erg excited omdat hij bugs had gevonden? Misschien krijgt zijn rapport meer aandacht als hij wat drama maakt?

Microsoft zal zijn inzending vast al wel bekeken hebben maar zal het niet meteen als dringend bestempeld hebben. Je moet denken dat MS ook nog andere dingen patched, dingen waar de wereld misschien wel niets vanaf weet, dingen die tien keer zo dringend zijn!

Verwijderd 25 augustus 2010 10:04

makkelijk te verhelpen, vroeger had je bijvoorbeeld bij pkzip en unzip een crc-check over de module, dit kun je ook in het operating in bouwen om te zien of een module corrupt is geworden of niet

Sir_Eleet 24 augustus 2010 12:28

Kan iemand mij uitleggen hoe een "gemanipuleerde website" mijn browser er in godsnaam toe aan kan zetten een bepaalde dll in te laden waar wat malware in verstopt zit? Is dit niet pure paniekzaaierij?

Little Penguin @Sir_Eleet • 24 augustus 2010 13:53

Op het moment dat je software hebt die aan je browser gekoppeld kan worden (denk aan Adobe Flash, Java Applet Environment of Java Webstart, Windows Media Player, een browser, MSN Messenger e.d.) en die een lek bevat waardoor je een executable uit kan voeren heb je voldoende basis om te beginnen met het manipuleren van DLL's.

Dus je hebt nog een extra lek nodig, maar zodra je die hebt dan ligt je systeem helemaal open. Niet alleen voor het bestmetten van DLL-bestanden met virusen/malware e.d., maar ook voor het gebruik als spambot e.d.

Verwijderd @Sir_Eleet • 24 augustus 2010 22:04

De besmette website kan bijvoorbeeld een gecompromitteerde adserver zijn.

Falcon 24 augustus 2010 11:47

Is dit nog nieuws te noemen? Microsoft is nu eenmaal echt laat met hun fixen en reacties. Zie geschiedenis.

Maar dit praat het natuurlijk nog niet goed!

i-chat @Falcon • 24 augustus 2010 12:01

ach je moet dit bericht gewoon zien als een recente schep hooi op de vork, als er de volgende keer weer eens een onderzoeker, direct alles openbaar maakt, - dan weten al die nitwitten die daar altijd zo'n grote mond over hebben, gelijk weer waarom dit soort dingen ook al weer werden gedaan...

morrowyn 24 augustus 2010 11:55

Het blijft een kat en muis spel. Blijft alleen jammer voor diegene die uiteindelijk slachtoffer wordt van criminelen.

Zolang er nog niemand sterft door een softwarebug, zal er weinig verandering komen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (83)

Sorteer op:

Weergave: