Onderzoeker ontdekt honderd bugs in browsers

Een beveiligingsonderzoeker van Google heeft met een fuzzer circa honderd bugs gevonden in alle populaire browsers. De onderzoeker heeft zijn fuzzing-tool vrijgegeven, hoewel een kwetsbaarheid in Internet Explorer nog niet is gedicht.

Beveiligingsonderzoeker Michal Zalewski van Google heeft de tool waarmee hij de bugs opspoorde vrijgegeven. Het gaat om een fuzzer, een tool waarmee ongeldige parameters naar software worden verstuurd, waarmee kwetsbaarheden zoals bufferoverflows kunnen worden gevonden.

De fuzzer brengt onder meer fouten aan het licht in browsers met Webkit, zoals Chrome en Safari, maar ook in Firefox en Opera. De meest in het oog springende bug is echter een ongedichte kwetsbaarheid in Internet Explorer die door kwaadwillenden zou kunnen worden misbruikt, al is nog niet precies duidelijk wat ermee mogelijk is.

Microsoft zou onderzoeker Zalewski hebben gevraagd de release van de fuzzer uit te stellen totdat het lek was gepatcht, maar daar is Zalewski niet op ingegaan. Hij zegt Microsoft al in juli op de hoogte te hebben gesteld en vindt dat Microsoft niet duidelijk heeft kunnen maken waarom het in de tussentijd niet tot actie is overgegaan. Bovendien zijn er aanwijzingen dat Chinese hackers het lek al op het spoor zijn, stelt hij.

Reacties (94)

mkools24 3 januari 2011 16:58

Het marktaandeel IE blijft kelderen en nog neemt MS de moeite niet om een potentieel gevaarlijk lek snel te dichten. Dat is toch wel bizar eigenlijk. Dan neem je je gebruikers toch niet echt serieus.

mashell @mkools24 • 3 januari 2011 17:09

Dat is wel een erg harde conclusie. Iemand van Google (de concurrent) belt het IE team en zegt dat hij met zijn Fuzzer (WTF?) een potentieel gevaarlijk lek heeft gevonden maar hoe gevaarlijk het lek is vertelt deze er niet bij. Ik kan me goed voorstellen dat men bij Microsoft hier terughoudend op reageert en het niet bovenaan de lijst zet.

MSalters @mashell • 3 januari 2011 17:11

WTF?? Als een developer niet weet van fuzzing is, dan hoort hij niet aan secure software te werken. En IE is zonder meer software die seccre moet zijn - HTTPS en zo.

En de taak om te beoordelen of een lek gevaarlijk is, ligt altijd bij de orignele auteurs. Niet bij degene die het lek vindt. In dit geval is dat dus Microsoft.

humbug @MSalters • 4 januari 2011 05:40

Je kan natuurlijk overdrijven. Een lek is onhandig, maar heeft niet per definitie iets te maken met veiligheid van met https beveiligde sites. Lekken in de browser leiden over het algemeen tot toegang tot het systeem waar de browser op draait. Dat is erg vervelend maar iets totaal anders. Als Microsoft het geen bug vind die een hoge priority moet hebben dan is het waarschijnlijk niet iets wat 1,2,3 te misbruiken is. Wat dat betreft lijkt deze Google onderzoeker zichzelf een beetje te belangrijk te vinden en kan hij er niet echt mee omgaan dat anderen zijn bugs niet zo belangrijk vinden. Ook het feit dat hij de tool gewoon vrijgeeft lijkt te passen bij een in zijn wiek geschoten ijdeltuit.

Verwijderd @humbug • 4 januari 2011 10:16

Volgens de link in 't artikel ( http://lcamtuf.blogspot.c...z-potential-0-day-in.html ), en de timeline http://lcamtuf.coredump.cx/cross_fuzz/fuzzer_timeline.txt zijn alle andere browsers (webkit-based, opera, en firefox) wel serieus aan de slag gegaan met z'n bugs, en hebben ook uitstel van tool-release gevraagd en gekregen. Hij is 3x door de bug-reporting molen geweest bij IE, waarin iedere keer bleek dat de fouten later niet structureel waren gefixed.

mashell @MSalters • 3 januari 2011 17:44

Je snapt mijn punt niet. Als die originele auteurs dit dus niet als serieus gevaarlijk hebben ingeschat dan is er dus niets aan de hand en is er geen reden om nu zoveel hete lucht te bakken.

Xirt @mashell • 3 januari 2011 18:19

Dan zou er in mijn ogen geen reden zijn geweest om Zalewski te vragen om de release van de fuzzer uit te stellen. Bovendien geeft hij ook aan dat Microsoft niet aan kan geven waarom er geen melding over het lek is gemaakt (hoe gevaarlijk of ongevaarlijk het ook is): ze zeggen dus ook niet dat het ongevaarlijk is.

ultimasnake @mashell • 3 januari 2011 17:25

Ik gok dat hij MS wel degelijk volledige details heeft gegeven over de bug, iemand kan (meestal) geen bugs fixen met meldingen als "Hij doet het niet". Hij heeft echter niet openbaar gemaakt wat er precies mis is en wat er mee gedaan kan worden.

Verwijderd @ultimasnake • 3 januari 2011 17:48

Ik gok dat hij MS wel degelijk volledige details heeft gegeven over de bug

Zover ik kan zien heeft hij initieel informatie over de fuzzer gegeven en aangegeven dat er crashes mee konden worden geproduceerd maar is het MS niet glukt om die crashes te reproduceren en hebben ze daarom het issue niet verder opgepakt.
Bij een latere melding met een nieuwe versie van de fuzzer is dat wel gelukt.

Misschien was degen bij MS die de fuzzer van de Google onderzoeker uitprobeerde niet slim genoeg om die software op de juiste wijze te gebruiken. Meestal is dat soort experimentele software en de uitleg erbij ook nogal rudimentair.

SuperDre @Verwijderd • 3 januari 2011 19:51

niet slim genoeg Yeah right, 9 van de 10 keer als ik software zie die geschreven zijn door pure programmeurs dan heb je een dikke handleiding nodig om uberhaupt de software te kunnen gebruiken, maar die handleiding mist (of is zeer incompleet) omdat de programmeur nu eenmaal geen handleidingschrijver is en voor hem/haar is het allemaal heel simpel en duidelijk....

johnkeates @SuperDre • 3 januari 2011 21:33

De gebruikers zijn dan ook meestal programmeurs en niet 'standaard end-users'.

mkools24 @mashell • 3 januari 2011 17:12

Er staat toch duidelijk dat MS in Juli al op de hoogte is gebracht?

bbob

Internet
Privacy

@mkools24 • 3 januari 2011 17:43

Dat kan er wel staan maar is dat ook zo. Google is en blijft een concurrent van MS en zal er alles aan willen en blijven doen om MS en hun software in een kwaad dachlicht te stellen. Als je er op die manier naar kijkt is het nog maar de vraag of het echt gemeld is en zo ja hoe en aan wie.

timwijn @bbob • 3 januari 2011 19:44

Misschien moet je deze alinea eens lezen:

De fuzzer brengt onder meer fouten aan het licht in browsers met Webkit, zoals Chrome en Safari, maar ook in Firefox en Opera. De meest in het oog springende bug is echter een ongedichte kwetsbaarheid in Internet Explorer die door kwaadwillenden zou kunnen worden misbruikt, al is nog niet precies duidelijk wat ermee mogelijk is.

De fuzzer brengt dus bij álle browsers fouten aan het licht.
Waarom deze man van Google juist MS benaderd is omdat dit de meest in het oog springende bug was. Dat heeft toch niets te maken met MS in een kwaad daglicht willen stellen? Als ik MS was, zou ik blij zijn, dat zo iemand nog werk voor mij verricht ook. Zo kan je je programma's ten minste blijven verbeteren.

koter84 @timwijn • 4 januari 2011 10:39

zo te horen/lezen heeft deze meneer alle browser-makers benaderd met de gevonden fouten in hun browser...

dus niets van doen met google die microsoft basht omdat ze geen fatsoenlijke browser kunnen maken... t is wel zo.. maar dat lijkt niet het doel van deze actie

RielN @bbob • 4 januari 2011 02:10

Google doet gewoon zaken met MS.
Wat een onzinredenering.

HoeZoWie @RielN • 4 januari 2011 11:24

OffTopic:
Concurenten kunnen en mogen altijd zaken doen met elkaar,
blijft feit; dat het concurenten kunnen blijven, geen onzinredenering dus!

Hakker @RielN • 4 januari 2011 16:24

Alsof je dat bij andere takken niet ziet?

Ford Fiesta was een paar jaar geleden ook te koop als een Mazda 121
Citroen C1, Toyota Yaris en Peugot 107 is ook 1 en dezelfde auto
Nissa Pixo en Suzuki Alto is ook 1 en dezelfde auto.

Oh help concurrenten die dezelfde modellen hebben. Bij de filmindustrie ze je ook zulke dingen dat 1 tent ze maakt maar het spontaan door een concurrent wordt uitgebracht in Europa.

barco @bbob • 3 januari 2011 18:35

Op die manier kan je alles wel in twijfel trekken:
Misschien werk jij wel voor MS en probeer je google in een kwaad daglicht...
Misschien is er wel helemaal geen bug...
Misschien moet ik maar ophouden

Verwijderd @mashell • 3 januari 2011 18:45

Gek genoeg is Google in deze geen concurrent, maar heeft juist een gedeeld belang. De reputatie van web-applicaties en andere cloud troep is in sterke mate afhankelijk van de veiligheid van browsers.
Vandaar dat Google het goed test: bedrijven en particulieren hebben er weinig behoefte aan om hun documenten aan een onveilige infrastructuur toe te vertrouwen. Zo bezien berokkent een bug in IE Google ook schade.

Denk er eens over na waarom Google beveiligingsonderzoekers inschakelt om alle browsers te testen op potentiële gevaren...

Overigens zal MS prima in staat zijn het potentiële gevaar van een bug in te schatten. Die gasten zijn heus niet dom en ik denk dat een waarschuwing van Google hoger op de lijstjes komt dan een melding van een anonieme hackert. Op een of andere manier is deze er echter doorheen geglipt (moeilijk te fixen?), maar aangezien er 100 bugs gevonden zijn, zullen andere prima gefixed zijn.

simplicidad @Verwijderd • 3 januari 2011 20:25

Gek genoeg is Google in deze geen concurrent, maar heeft juist een gedeeld belang.

Inderdaad het valt mij ook op dat Google heel veel projecten heeft lopen die ook de tekortkomingen (of toch bij oudere IE versies) van IE op een of andere manier probeerde overbruggen.

Een normale concurrent zou zeggen "de boom in en we pushen ons eigen platform".

_Pussycat_ @simplicidad • 4 januari 2011 01:21

Google heeft er vooral belang bij dat het internet vol goeie, veilige, snelle, standard-compliant browsers is. Hun geld verdienen ze niet met Chrome; er werd zelfs gezegd dat Chrome er alleen is om de andere browser-makers te 'motiveren'.

Bovendien zal IE toch nooit verdwijnen, het zit nu eenmaal bij Windows en werkt best wel OK, dwz. voor de meeste gebruikers goed genoeg.

BeosBeing @_Pussycat_ • 5 januari 2011 13:44

De meeste gebruikers interesseert het niet, en denken dat IE prima werkt. Als er dan een fout optreed met een bepaalde pagina denken ze dat het aan die pagina ligt. Google krijgt dan dus van de gebruiker de schuld, en dus een slechte reputatie. Google kan IE echter niet veranderen.

Als die gebruiker steeds 'dezelfde' fouten tegenkomt op meerdere pagina's en met andere browsers komt hij die fouten niet tegen, dan krijgt IE de schuld. Probleem is echter dat de gemiddelde gebruiker nooit een andere browser tegenkomt, er zit er immers al één in Windows, en die lijkt prima te werken, dus is er geen enkele stimulans om een andere te proberen. Sterker nog, door IE-only-sites wordt dat zelfs nog tegengewerkt.

Het enige dat zou helpen is als het merendeel van de sites zou struikelen over de fouten in IE (of anderen) maar Google heeft niet de macht over andere sites. Wel is het zo dat steeds meer developers besluiten geen rekening meer te houden met IE6 en haar eigenaardigheden,maar besluiten zo veel mogelijk volgens de officiële standaarden te ontwikkelen (zonder hacks voor ongedocumenteerde features en bugs) en daarmee gebeurt er iets dat Google zelf niet voor elkaar kan krijgen: IE moet zich aanpassen of verliest marktaandeel.

mad_max234 @Verwijderd • 4 januari 2011 03:24

wellicht had de eerste fuzzer zelf een bug en deed die het niet altijd, omdat het met de nieuwe wel lukte, en maker de eerder fuzzer ook niet vrij heeft gegeven.

ApexAlpha @mashell • 3 januari 2011 17:12

Hoezo, deze man is een expert op dit gebied en geeft Microsoft de mogelijkheid het lek te dichten voordat hij dit naar buiten brengt.

Bovendien is er al vaker iets gemeld door Google aan het adres van Microsoft, heeft ook op t.net gestaan.

Wolfos @mkools24 • 3 januari 2011 17:14

Daar heb je gelijk in, maar IE gebruikers zijn toch alleen maar huisvrouwtjes die van dit soort beveiligingsfouten niets merken totdat hun bankrekening leeg is.

SuperDre @Wolfos • 3 januari 2011 19:53

snob... Alsof je ineens een slechte gebruiker zou zijn als je voornamelijk IE zou gebruiken, ga dan toch lekker spelen met minstens zo buggy firefox of chrome.. Elke browser heeft zo zijn min en pluspunten, maar elke browser is nog redelijk lek..

BeosBeing @mkools24 • 5 januari 2011 13:26

Dat heeft ze nog nooit gedaan. Zolang de centjes blijven binnenstromen is het wel goed voor ze. Toen ze inzagen dat ze een nieuwe markt aan het missen waren (internet) die mogelijk grote inkomsten zou kunnen genereren besloten ze gelijk een internetbrowser te maken en die op de markt te duwen op een manier dat ze daarmee, net als met hun OS en hun Office pakket zeker een niet te negeren marktaandeel zouden krijgen, het liefst alle concurrentie (Netscape) eliminerend.
(Iets soortgelijks dezen ze met 3d-acceleratie (OpenGL vs DirectX), Gameconsoles (Xbox), telefoon-os en zo nog enkele technieken die hun dominatie zou kunnen ondermijnen. OpenGL draait immers ook op andere platformen, naarmate consoles meer kunnen is Windows dan niet meer nodig, telefoons kunnen ook steeds meer)
Toen de internetbrowser niet meer het platform van beslissing was, maar de zoekmachine (de browser dus slechts een portal naar die zoekmachine) en daar anderen de dienst uitmaakten (Google, Yahoo) moest die markt ook veroverd worden. En zo gaan ze steeds verder, Daar waar men denkt geld te kunnen halen, daar springt men op in, meestal op een manier die er op gericht is de andere geheel te verdrukken zodat men er zelf meer procentjes voor kan vragen.

Slashdotter 3 januari 2011 17:07

Overigens, waar kan je browser bugs aanmelden? Moet je die mailen naar een emailadres of is er een website waar je die kan submitten?

[Reactie gewijzigd door Slashdotter op 24 juli 2024 17:36]

Anthony @Slashdotter • 3 januari 2011 17:10

Voor Mozilla Firefox kan dit op: https://bugzilla.mozilla.org

Dutch_Razor @Slashdotter • 3 januari 2011 17:23

Bij Safari onder "File -> Report Bugs"

primanocte

@Slashdotter • 3 januari 2011 17:13

mailto:noreply@microsoft.com blijkbaar.. wordt niks mee gedaan ;0)

Free rider @Slashdotter • 3 januari 2011 18:22

http://connect.microsoft.com/
Ook voor niet-browser bugs

Paul - K 3 januari 2011 17:06

"hoewel een kwetsbaarheid in Internet Explorer nog niet is gedicht."

De bugs in alle andere browsers zijn dus wel gedicht dan?

Flowmo @Paul - K • 3 januari 2011 17:07

Een bug is nog niet per se een kwetsbaarheid, tenzij hij misbruikt kan worden. Deze kan dus misbruikt worden.

mac1987 3 januari 2011 16:59

Waarom moeten browserbouwers en vooral MS altijd wachten tot iets openbaar wordt voor ze er iets aan doen ?

SuperDre @mac1987 • 3 januari 2011 19:54

Waarom denken mensen zoals jij toch altijd dat er pas wat gedaan wordt als iets openbaar gemaakt zou worden en alleen maar af gaat op zeer beperkte berichtgeving.. Je weet helemaal niet wat er werkelijk is gemeldt en ook niet of er werkelijk helemaal niets mee is gedaan..

_Pussycat_ @SuperDre • 4 januari 2011 01:24

Er zijn veel meer gevallen waar MS gewaarschuwd werd (voor grote veiligheidsfouten) en niets deed totdat het lek publiek was. Schijnt toch te vaak te gebeuren.

mashell @mac1987 • 3 januari 2011 17:12

Je kunt je ook afvragen waarom die "onderzoekers" toch zo graag snel willen publiceren? Of zou het zijn dat je meer publiciteit scoort met een nog niet gedicht lek dan met een al gedicht lek haalt? Zolang je niet in de bug proiriteiten lijst van Microsoft kunt kijken kun je als buitenstaander niet zeggen of dit "lek" nu al gedicht had moeten zijn.

Robtimus @mashell • 3 januari 2011 17:17

Ik vind een half jaar na dato niet echt "snel".

mashell @Robtimus • 3 januari 2011 17:40

Als Microsoft nog 1001 gevaarlijkere lekken te dichten heeft (IE heeft immers die historie) dan kan het zijn dat dit niet bovenaan in de lijst is terecht gekomen. Ik heb ook al mijn fouten die in juli vorig jaar gemeld zijn nog niet opgelost, gewoon een kwestie van prioriteiten.

bamboe @mashell • 3 januari 2011 18:00

Waarschijnlijk hebben ze dan verkeerde prioriteiten gezien ze lekken open hebben die
gebruikt kunnen worden.
Microsoft is een bedrijf met gigantische winsten etc, ze hebben geld genoeg om meer personen op projecten te zetten wanneer dat nodig is.
Als ze zo doorgaan zal hun marktaandeel nog verder krimpen.

Rob Coops

Beveiliging

@bamboe • 3 januari 2011 19:41

Ben je ooit al eens op een project gezet waar je niet eerder aan gewerkt hebt? je bent eerst een maandje bezig om de code door te lezen de structuren uit te werken en te begrijpen hoe het allemaal echt in elkaar steekt. En hoe ouder de software hoe langer zo iets duurt, en hoe meer developers er aan gewerkt hebben hoe langer zo iets duurt...

Met de IE code die in middels toch al weer aardig wat jaartjes mee gaat en waarschijnlijk hele volks stammen aan developers heeft zien komen en gaan bij Microsoft zal even een blikje developer open trekken en op het project zetten echt niet iets zijn dat je even doet.
De vele veel al uit India afkomstige ontwikkel boerderijen zo als Infosys etc, willen je graag doen denken dat het wel zo werkt maar in werkelijkheid is dat toch vaak heel anders.

Het probleem bij Microsoft zal eerder de grote van het team zijn. En het probleem dat maar weinig developers echt genoeg kennis hebben om de fijnere punten van stack overflows en andere bugs te kunnen vinden in de code en deze af doende kunnen oplossen. Met een erg groot team heb je vaak ook erg veel minder ervaren developers, stuk voor stuk goede developers maar veel al nog niet zo ver dat je ze senior developer kunt noemen. Deze mensen hebben nu eenmaal een senior developer nodig om hun te helpen en bepaalde beslissingen te nemen die op architectuur niveau te low level zijn om dit soort mensen mee lastig te vallen. En je komt nog al eens dit soort dingen tegen tijdens een groot project.
Maar dit zijn ook veel al de mensen die dit soort bugs moeten oplossen en dan komt het er dus op neer dat je nu eenmaal moet kiezen tussen bugs of features een nieuwe build op schema opleveren of toch maar een bug oplossen.
Microsoft lijkt heel erg graag het procenten spelletje te spelen met dit soort keuzes... Hoe groot is de kans dat deze bug door andere gevonden wordt en misbruikt zal worden. Hoe lager dit ingeschat wordt hoe minder prioriteit de bug krijgt. Koppel daar aan de kans dat deze bug misbruikt wordt om substantiële schade aan te richten en je hebt de Microsoft redenering om zo iets op de plank te laten liggen en de ontwikkeling van een nieuwe versie voorhang te geven.

Dat Microsoft al in Juli hier van wist en een half jaar later nog niet eens ingeschat heeft hoe het te misbruiken is lijkt me genoeg reden om de bug gewoon naar buiten te brengen. Immers Microsoft vind het duidelijk niet belangrijk genoeg om zelfs maar te bekijken hoe gevaarlijk het zou kunnen zijn. De beste oplossing is dan om dit aan derde over te laten. Als Microsoft goed gegokt heeft dan is het simpel weg niet belangrijk of het nu wel of niet bekend is dat dit lek bestaat. Als ze er naast zitten dan is misbruik op grote schaal een van de weinige manieren om Microsoft tot actie te bewegen.

De gigantische winsten van Microsoft worden niet door de browser divisie gemaakt die hebben namelijk alleen maar kosten en zullen dus een vast budget hebben waar ze niet zo maar zelfs als het zou helpen een paar extra developers uit kunnen persen gewoon omdat het budget al in het begin van het jaar voor het grootste deel is gereserveerd voor de projecten van dat jaar. Onderhoud hoort daar natuurlijk ook bij maar op het moment dat je een nieuwe versie aan het ontwikkelen bent dan zal onderhoud van oudere versies minder hoog op die lijst staan dan andere jaren... Dus ondanks de grote winsten kan ik je verzekeren dat het IE team echt niet gewoon maar uit de grote pot met geld kan graaien omdat zij vinden dat ze het even nodig hebben.

BeosBeing @Rob Coops • 5 januari 2011 14:49

Hoe groter het project wordt hoe complexer het wordt. Je moet dan zaken kunnen opsplitsen in onafhankelijke delen, die wel met elkaar communiceren, maar verder onafhankelijk van elkaar ontwikkeld en getest kunnen worden. In Windows zijn DirectX, IE .NET zo van die onderdelen maar ook die al erg omvangrijk.

Volgens mij (en dit is pure speculatie omdat ik evenmin ooit iets van de code heb ingezien) is alles gewoon te veel met elkaar verweven en zijn onderdelen te veel van elkaar afhankelijk.

Verder heb je volgens mij gelijk. Bugs fixen in oude IE-versies is niet zo belangerijk want IE9 komt er aan. Daarbij wordt IE6, dat bijna end-of-life is (als onderdeel van XP dan toch) toch wel verguisd. De ontwikkeling van IE7 is ook niet meer zinvol, dat was een onderdeel van het eveneens (al dan niet terecht) verguisde Vista (mainstream support eindigt 4 okt 2012) en zal dus gelijk met Vista verdwijnen.

Verwijderd @bamboe • 3 januari 2011 18:08

Moest je ervaring hebben zou je weten dat meer mensen niet betekent dat werk sneller gedaan is. Bij reuzeprojecten zoals IE begint dat zelfs al op het punt te komen dat meer mensen voor achteruitgang zorgt.

Aham brahmasmi @Verwijderd • 3 januari 2011 20:43

Bij reuzeprojecten zoals IE

Waarom kunnen organisaties zoals Mozilla en Opera het dan wel met veel minder geld?

BeosBeing @Verwijderd • 5 januari 2011 14:11

Volgens mij ligt bij Microsoft de nadruk te veel op
- betere looks en meer features voor de volgende versie want die stimuleren mensen om over te stappen/te kopen. Dat geld zowel voor IE als voor Windows en onderdelen zoals DirectX, Active Directory, enzovoorts
- verschillen tussen versies om bepaalde groepen (bedrijven, power-users) te stimuleren de duurdere versie aan te schaffen, niet door daar extra mogelijkheden voor in te bouwen maar bepaalde features (zoals aanmelden op domein, wisselen van taak) uit te schakelen terwijl het pakket elders wel gegevens van die feature nodig heeft.
- beveiligingen tegen onbetaald gebruik (zoals WGA) hetgeen een direct gevolg is van het verwijderen van onderdelen uit de goedkopere pakketten zoals Home Premium, Home Basic en vooral Starter.

Let wel, Windows is van ver gekomen sinds versies 98, 95 en vooral 3.11 (zelfs de verguisde Vista en Milennium Edition zijn veel stabieler en veiliger als 98 en 3.11) dus er is veel bereikt, maar het had beter gekund als men zich meer op kwaliteit en minder op verkoop had gericht. Men luistert wel naar de koper (=geld) maar onvoldoende naar de gebruiker (en dan bedoel ik niet de illegale gebruiker).

DeadMetal @mashell • 3 januari 2011 17:16

Het lek was in juli al gemeld, misschien dus al eerder gevonden. Hier is dus geen sprake van snel publiceren van onderzoeksresultaten (om publiciteit te scoren).

aap @mac1987 • 3 januari 2011 18:11

De bugs die ze repareren voordat het naar buiten komt, daar hoor je natuurlijk nooit wat van. Die worden stilletjes gepatched.

Dus je waarneming wordt gekleurd door dit soort berichten, maar deze zijn niet representatief voor het geheel.

DaniëlWW2 Moderator GC @mac1987 • 3 januari 2011 17:01

Dat is goedkoper.

(dat denken ze tenminste omdat ze er op gokken dat niemand de bug vind)

tweaker2010 4 januari 2011 08:44

Zo zie je maar dat in elke browser veiligheidslekken zitten. Geen reden om over te stappen dus...

Verwijderd 3 januari 2011 23:33

Snappen mensen hier echt niet dat IE een te belangrijke browser is om even wat patches op te klappen? Er draaien zo ontelbaar veel applicaties binnen het bedrijfsleven hier op (of je het er nou mee eens bent of niet dat het vaak alleen op IE draait). Ik herinner me anders ook alle kritiek als er opeens iets niet meer werkt of een patch iets om zeep helpt. Denk eens wat groter.

Rinzwind @Verwijderd • 4 januari 2011 00:01

Webapplicaties moeten gewoon webapplicaties zijn. Geen activex zut. Microsoft blijft het hem flikken met bijv. hun gekke CRM pakket vol met ActiveX ellende en een gare Outlook plugin (let op de offline architectuur: max 1 gebruiker per computer die een volledige SQL db in beslag neemt).

Door een patch wijzigt niet de algemene werking van HTML/javascript.

Dus die apps die jij bedoeld zijn misschien oude troep uit het IE6 tijdperk. Patches kunnen gewoon uitgerold worden. Ook op OS niveau. Conservatieve gedachte waardoor gaten open blijven staan en oude zooi in gebruik blijft zoals IE6...

Verwijderd @Verwijderd • 4 januari 2011 00:28

Denk eens wat meer agile. Een half jaar niet genoeg om een security bug te fixen? Dan hoor je gewoon niet meer tussen de nieuwe generatie browsers, punt.

Verwijderd @Verwijderd • 4 januari 2011 09:20

Dat het in het bedrijfsleven veel gebruikt wordt is juist des te meer reden om veiligheid serieus te nemen. 6 maanden voor een securityfix is gewoon te lang, in die tijd kun je een security fix grondig getest hebben.

_Thanatos_ 3 januari 2011 17:49

In hoeverre zou dit script aan te passen zijn om ook applicaties te controleren voor office-documenten, PDF, flash, en andersoortige scriptable media?

beascob

@_Thanatos_ • 3 januari 2011 19:48

Ja, mits er genoeg DOMme taal gebruikt is begrijp ik.
Wat ik begrijp van zijn blog en hier, is dat het strippen van data is met zijn crozz-fuzzer,
steeds weer, waardoor met name broddelwerk zichtbaar wordt. Opera bijvoorbeeld loste veel bugs op, ; voor mij een teken dat deze fuzzer onnauwkeurig compilen zichtbaar maakt.
Verder dat het een leuke tool is om bugs te vinden, al weet je niet of deze bugs echt een bruikbaar exploit oplevert. [zijweg] DNA-sequensen levert ook veel gegevens op, maar weinig echt bruikbaar; hier lijkt het iets soortgelijks[zijweg].
De toekomst is toch aan sandbox of in VM draaien heb ik begrepen?

En MS probeert toch iedereen richting IE9 te krijgen? Dus de oudere brouwsers moeten ook gebreken houden...

johnkeates @beascob • 3 januari 2011 21:35

IE9 is niet cross-platform. Een echt grote speler op het hele internet zal het dus niet worden.

_Thanatos_ @johnkeates • 6 januari 2011 17:59

Jawel, want het werkt op meerdere OS'en (hoe klein dat aantal ook is). Zo zijn er ook dingen die op MacOX 9 en 10 werken, en op verschillende CPU's zelfs: dat is cross-platform, maar daarmee werkt het nog niet op *alle* OS'en.

sjun @beascob • 3 januari 2011 20:02

Laat MS dan eerst IE9 beta maar een stabiel gaan maken anders wordt het toch echt Opera en Safari.

Verwijderd @sjun • 3 januari 2011 21:23

Als die stabiel was, zou het geen beta meer zijn

IE9 is nu al een prachtige browser (jammer dat die niet naar andere versies van Windows komt). Ze hebben in zeer korte tijd een enorme slag gemaakt en zijn behoorlijk bij wat betreft performance, render kwaliteit en standaarden "compliance".

BeosBeing @Verwijderd • 5 januari 2011 16:09

Tja, voor sommige versies van Windows wordt je kunstmatig gelimiteerd tot IE6 en wilt IE7 niet installeren (laat staan IE8) terwijl die Windows-versie niet wezelijk anders is als XP waarop je wel IE8 kunt zetten.

Verwijderd 3 januari 2011 17:24

Offtopic: zeelandict, de first-post was voor mkools24

Ontopic: Zo blijkt maar weer dat Internet Explorer een ramp is. Wanneer gooien ze dat kreng nou eens over boord.

ponsjuh @Verwijderd • 3 januari 2011 17:38

Niet vergeten dat hij ook andere browsers heeft getests. Dus we kunnen hier niet stellen dat alleen microsoft achter de feiten aan blijft lopen

Verwijderd @ponsjuh • 3 januari 2011 17:51

Sterker nog, hij heeft in alle andere browser meer crashes gevonden dan in IE8.
In IE8 waren er relatief weinig crashes door de fuzzer maar de response van Microsoft was blijkbaar niet naar zijn zin.

A Noniem @Verwijderd • 3 januari 2011 18:25

Ik vraag me alleen af of je er ook echt veel in de praktijk van merkt, beetje je browser bekogelen met nutteloze ongeldige requests

Verwijderd @A Noniem • 3 januari 2011 18:49

De ongeldige requests hebben juist een heel duidelijk nut, zwaktes in de browser blootleggen.
Als een Chinese hacker dezelfze methode volgt, heb je kans dat je er in de praktijk ook nog eens wat van merkt. Ben je niet blij.

awulms @Verwijderd • 3 januari 2011 21:16

Niet vergeten dat hij ook andere browsers heeft getests. Dus we kunnen hier niet stellen dat alleen microsoft achter de feiten aan blijft lopen

Maar in tegenstelling tot MS hebben Mozilla en de Webkit ontwikkelaars de melding in juli wel serieus genomen en hebben met hem samengewerkt om de problemen op te lossen. MS daarentegen is pas in december in actie geschoten nadat hij nog eens herhaald heeft dat hij de details in januarie dit jaar zou gaan publiceren.

Er lijkt dus nogal degelijk sprake te zijn van een cultureel probleem bij MS met betrekking tot het serieus nemen van veiligheidsproblemen in hun browsers.

Dat is tenminste wat ik gisteren uit wat discussies op slashdot heb begrepen.

[Reactie gewijzigd door awulms op 24 juli 2024 17:36]

Verwijderd @Verwijderd • 3 januari 2011 17:33

Dat overboord gooien heeft niet zoveel nut. Het probleem zit em in het feit dat ze bugmeldingen niet serieus nemen. Het ligt niet aan het product, maar aan de mentaliteit.

mashell @Verwijderd • 3 januari 2011 17:49

Meneer Zalewski heeft ook bugs gevonden in alle andere populaire browsers dus een echt veilig alternatief heb je ook niet.

Verwijderd @mashell • 3 januari 2011 18:52

Het veiligste alternatief is degene die het minste kwetsbaarheden heeft en met name degene die deze na bekendwording het snelst dicht.

Met IE heb je in dit geval niet het veiligste alternatief, zeker aangezien hier misbruik mogelijk is. Zoveel is zeker.

edit @onder: Tyft lekker op, ik beperkt mijn commentaar duidelijk tot dit geval. De totaalcijfers ken ik niet, maar zoals hierboven al beargumenteerd, het aantal bugs kan me niet zozeer rotten alswel hoe erop gereageerd wordt.

Ik geef ook geen waardeoordeel over IE in het algemeen, maar ga in op hetgeen mashell generaliseert. Zoals gezegd, tyft toch op.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 17:36]

BeosBeing @SuperDre • 5 januari 2011 16:07

Het zit tussen de oren bij Microsoft, die kan het geen biet schelen.
En dat sommige andere browsers meer bugs hebben als IE is waar, echter dat geld niet voor alle browsers (Opera had er, voor zover bekend, significant minder) ik ben echter blij dat ik gebruik maak van enkele browsers die wat minder populair zijn en daardoor niet zo interessant zijn voor hackers.

Pas nog een Adobe app (weet niet meer of het nou de Reader of de Flash-player was, vermoedelijk de laatste) gedownload, en de site van Adobe wilde weer eens van allerlei dingen doen die ik niet wou: extra Adobe installer/Downloadmanager en browserplugin installeren. Gelukkig kon ik met een andere browser wel gewoon downloaden wat ik wou zonder allerlei overbodige rommel er bij. Op zo'n moment ben ik blij dat ik de keus heb.

Nog zo'n voorbeeldje, op m'n netbook stond Adobe Reader 9.0 MUI geïnstalleerd, leuk maar al verouderd en Cebuano of Tagalog staan er niet bij (wel twee dozijn andere talen) en het is wel ruim 150× zo groot als de eentalige (Engelse of Nederlandse) versie, dus die heb ik er snel afgegooid. Nu is 250Gb ruim voldoende, zelfs met meerdere OSsen, maar zomaar bijna een Gb verspillen vind ik toch zonde (m'n 40Gb desktop-HDD ligt nog vers in het geheugen) en met een SSD zou dat nog meer zijn.

Ik kan dan ook anderen goed begrijpen als ze klagen dat ReaderX niet is te installeren zonder AIR, zie laatste ook (nog?) niet als essentieel.