Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 34 reacties

Een beveiligingsonderzoeker heeft een exploit voor Opera gepubliceerd. Met de exploit kunnen kwaadwillenden code uitvoeren op systemen van Opera-gebruikers. Het gaat om een zogenoemd 'zero day'-lek: er is nog geen patch voor.

Opera logo (90 pix)Het beveiligingslek doet zich voor in de afhandeling van svg-graphics binnen een frameset, schrijft The H Security. Beveiligingsonderzoeker José Vazquez zou het lek al een jaar geleden hebben ontdekt en Opera na twee maanden op de hoogte hebben gesteld. Vazquez schrijft op zijn weblog dat het om een zogenoemd 'zero day'-kwetsbaarheid gaat: er bestaat nog geen patch voor. De exploit laat kwaadwillenden eigen code uitvoeren op systemen van Opera-gebruikers. De exploit kan de data execution prevention-bescherming in Windows uitschakelen, maar dan wordt deze wel onbetrouwbaarder.

Het is onduidelijk of Opera ook geen pogingen heeft gedaan om de bug te dichten: volgens Vazquez heeft Opera in mei een lek gedicht, maar tegelijkertijd claimt de beveiligingsonderzoeker dat de browsermaker heeft besloten om het lek niet op te lossen. Mogelijk gaat het om meerdere kwetsbaarheden. Duidelijk is wel dat de exploit nog steeds werkt: in de nieuwste Opera-versie zijn drie op de tien pogingen succesvol, tegen zes op de tien in de nieuwste alphaversie van Opera.

De exploit is als module voor het penetratie-test-framework Metasploit uitgegeven. Ook is de broncode gepubliceerd. Daardoor kan in principe iedereen de exploit gebruiken. Vazquez geeft niet expliciet aan waarom hij ervoor heeft gekozen om de exploit voor iedereen toegankelijk te maken, maar hij lijkt ontevreden te zijn met de manier waarop Opera met opgegeven beveiligingslekken omgaat.

Update, 14:45: De exploit lijkt alleen te werken onder Windows XP met Service Pack 3.

Moderatie-faq Wijzig weergave

Reacties (34)

De comments in de code van de exploit geven aan dat deze exploit enkel werkt onder Windows XP SP3, en dan ook nog enkel als DEP is uitgeschakeld. Daarnaast zou de code niet altijd even goed werken, onder de huidige alpha versie (versie 12) zou het werken, maar bij de huidige stable (11.5) werkt het niet altijd:
This module exploits a vulnerability in the bad nesting with SVG tags. Successfully exploiting leads to remote code execution or denial of service condition under Windows XP SP3 (DEP = off). Best results of reliability using Opera v12.00 pre-alpha r1076 whereas that v11.xx will have less success (depending of opera.dll version). This module won't work against v10.xx because it was modified to exploit Opera upper to v11. Read the lastest references for further details.
Ook even dit in de code:

# 1) DEP bypass: possible but unreliable.
# 2) Let me know if you improve this one ;)
# 3) Two days ago, Opera Next was updated to 12.00 pre-alpha r1085
# and this exploit is less reliable, even sometimes never gets crashed.
# Anyway, I've also seen remote code execution.

Dat zegt ook iets over deze 'onderzoeker'. Maar bij een clean XP (SP0) met DEP uit werkt ie bij mij niet op een of andere manier. In Windows Vista + 7 werkt deze exploit ook niet. Zelfs niet in compat. modus. Ik denk dat Opera dit wel daadwerkelijk heeft opgelost, maar niet voor XP SP2 t/m SP3.
Storm in een glas water dus. Een ernstig probleem voor mensen met een verouderd OS, niet geupdate software (of software die expliciet niet af is) en beveiligingsfuncties uitgeschakeld (DEP = data execution prevention. Dit zorgt ervoor dat code niet uitgevoerd kan worden in stukken geheugen die als opslag zijn gemarkeerd, beveiligt daarmee tegen bufferoverrun exploits.)
ťn die alphaversies gebruiken waarvan je weet dat er per definitie bugs en leaks inzitten.
dat valt voor mij onder de software die niet af is ;-)
Om dat te lezen in de code op pastebin wordt ik wel blij als Opera gebruiker, maar in hoeverre dat ook te vertrouwen is. Het is een zero day exploit met een hoop 'maren' er aan vast. Zou DEP aan moeten staan voor het hele systeem? Voor alle programma's en services of alleen de Windows onderdelen?

Ook nog een beetje vreemd dat het alleen onder XP zou werken. Zou misschien een reden zijn dat Opera het lek niet heeft gefixed, maar om zo een groep gebruikers buiten te sluiten... De combinatie komt nog voor; mijn netbook werkt bijv nog met XP + Opera.

Hopelijk wordt het snel opgelost en komt er een reactie van Opera zelf ook nog.
Inmiddels opgelost in een nieuwe build.

http://my.opera.com/deskt...era-11-52-security-update

Tevens is het verhaal iets anders dan dat de Josť ons doet voorkomen.

http://my.opera.com/secur...y-that-was-fixed-in-11-52
maar hij lijkt ontevreden te zijn met de manier waarop Opera met opgegeven beveiligingslekken omgaat
En als straf moeten de gebruikers van Opera daaronder lijden.
Triest toch die 'securityonderzoekers'

[Reactie gewijzigd door 80466 op 18 oktober 2011 14:02]

Tja mijn ervaring is ook dat ze bij Opera vaak niet goed (als in helemaal niet) reageren op dit soort zaken.

Dan maar zo, dan wordt er tenminste snel wat aan gedaan.
Ik heb lange tijd beta's van Opera gedraaid, en bugs werden altijd snel verholpen. Ook sites die niet goed werken in de release versie werken vaak wel bij een update. Waarschijnlijk is deze er gewoon doorheen geglipt.


Overigens altijd jammer dat dit soort exploits gepubliceerd worden. Start dan eerst een countdown site waarbij je aankondigt de lek te publiceren en geef de maker van de software een week de tijd om het lek te repareren ofzo.

[Reactie gewijzigd door knirfie244 op 18 oktober 2011 16:43]

Als ik het goed begrijp, heeft die countdown al 10 maanden geduurd. Lang genoeg zou ik zeggen.

Voor mij overigens geen reden om Opera vaarwel te zeggen, ik vind het een zeer fijne browser.
Dat is niet mijn ervaring. Er zijn ook bugs die jaren later nog steeds niet opgelost zijn.
Ik gebruik opera al zeker 10 jaar, sinds versie 3. Nog steeds heeft Opera moeite met het tonen van plaatjes of het printen van web pagina's.
Soms print opera met de verkeerde letterspacing waardoor woorden in elkaar overlopen, al komt dat nu minder vaak voor.
Als ik 'back' doe worden plaatjes soms maar voor de helft weergegeven.
Het probleem dat ze soms 5x horizontaal uitgerekt zijn of de compleet verkeerde afbeelding wordt weergegeven lijkt nu, na een paar jaar eindelijk voorbij... maar ik heb me daar lang aan geergerd.

Als een ontwikkelaar actief bezig is met een stuk nieuwe code, dan worden bugs inderdaad snel gefikst.
Als de bug zit in een stuk oudere code van een ontwikkelaar die inmiddels vertrokken is, dan heb je pech, totdat iemand het hele stuk herschrijft omdat niemand het meer snapt.
En nog belangrijker, gaan die eind gebruikers wel weg van Opera als ze dit vaak genoeg te horen krijgen, wat dan sowieso een goeie zaak is indien het waar is dat dit vaker bij Opera gebeurd zoals sommige mensen in de comments claimen. En in dat geval is het allerminst een "straf" voor de gebruikers zoals hAI claimed.
Vreemd, mijn ervaring in het Opera beta blog is dat er soms de volgende dag al iets aan is gedaan.
Nee, hier ben ik het niet mee eens. Ja - het is triest dat de gebruikers hier mogelijk onder leiden. Het is echter nog triester dat - mits de berichtgeving klopt - Opera er ondanks dat ze van op de hoogte zijn, geen actie op onderneemt.

Als hij het via de officiŽle weg heeft geprobeerd en geen resultaat heeft geboekt, wat moet hij anders nog? Publiciteit zorgt voor prioriteit.

Ik zou het veel kwalijker vinden als de exploit nog een lange tijd beschikbaar blijft, terwijl bijna niemand er van af weet en kwaadwillenden een lange tijd hun gang kunnen gaan. Doe mij dan maar een klokkeluider die wat "shit in de fan" gooit.
Het is echter nog triester dat - mits de berichtgeving klopt - Opera er ondanks dat ze van op de hoogte zijn, geen actie op onderneemt.
Dat is helemaal niet triest.
In software onderhoud ben je continu bezig met het maken van afwegingen over waar je je capaciteit aan gaat besteden. Het betreffende lek zal gewoon niet een prioriteit gehad hebben dat het onmiddelijk opgelost diende te worden.

Ik wil ook niet een situatie dat security researchers gaan bepalen dat hun eigen lekje belangrijker is dan de rest van de openstaande issues waar de ontwikkelaar mee zit en daarom maar de gebruikers benadelen met de publicatie van exploits.
[...]

Dat is helemaal niet triest.
In software onderhoud ben je continu bezig met het maken van afwegingen over waar je je capaciteit aan gaat besteden. Het betreffende lek zal gewoon niet een prioriteit gehad hebben dat het onmiddelijk opgelost diende te worden.
Dus dan doen ze het acht maanden later nog steeds niet? Sorry hoor, als een exploit waarbij code kan worden uitgevoerd na al die tijd nog steeds niet gefixed is dan doe je iets verkeerd.
Als ik het goed begrijp is dit lek eerder gedicht voor Opera 10.x, echter lijkt de bug weer op een andere manier te zijn terug gekeerd in Opera 11.5, en daar heeft de onderzoeker Opera niet van op de hoogte gesteld (tenminste, dat lees ik op www.security.nl). En dat laatste is iets wat ik zeer kwalijk vind als dat inderdaad het geval is.
Ik zeg dan ook "als", want als het wel degelijk gemeld is, dan is het uiteraard wel nalatig te noemen van Opera dat niet heeft gefixt.
Ook daar hebben we in de developers wereld een oplossing voor. Dat noemen we namelijk regression tests. Ofwel van elke bug dient een test te worden geschreven welke de bug bevestigd en deze moeten tijdens een run allemaal negatief zijn..

En daarnaast lijkt het probleem zelfs erger te worden, 3 van de 10 op versie 11 en 6(!) van de tien voor 12 Alpha.

Ik weet niet wat ik erger vind, een bug welke nooit opgelost wordt of een bug welke progressief terug keert en dus eigenlijk aangeeft dat de suite met regression tests ondermaats is. Want als deze exploit kan terug keren, welke zijn er dan nog meer terug gekomen?
Wat ik typte was schijnbaar toch niet geheel correct. Opera heeft hun versie van het verhaal neergezet in een blog: http://my.opera.com/secur...y-that-was-fixed-in-11-52

Korte samenvatting:

Volgens hun heeft de betreffende onderzoeker contact met hun opgenomen, ruim een half jaar geleden over een x aantal (security) bugs welke inderdaad bleken te kloppen. Deze zijn opgelost. Echter had hij ook een andere bug nog aangegeven, welke ze echter op geen enkele manier konden reproduceren in de toen stable release. De mensen van Opera hebben geprobeerd contact te zoeken met deze onderzoeker, echter kwam er zero response op hun vragen over deze bug.
Nu publiceert iemand echter wel de details van deze bug, en kunnen ze deze eindelijk fixen (wat inmiddels gebeurd is in Opera 11.52).
Maak daar maar 10 maanden van:
Josť Vazquez zou het lek al een jaar geleden hebben ontdekt en Opera na twee maanden op de hoogte hebben gesteld.
12 - 2 = 10. :)
Dit is een veelvoorkomend probleem; laat je de gebruikers in het ongewisse terwijl mogelijk anderen deze bug ook al hebben ontdekt en al aan misbruiken zijn, of forceer je Opera om de bug te fixen door alles te publiceren?

Het laatste garandeert dat de bug misbruikt gaat worden, maar forceert Opera om het op te lossen, en het geeft gebruikers ook de mogelijkheid zichzelf te beschermen (door tijdelijk een andere browser te gebruiken).

[Reactie gewijzigd door Aphax op 18 oktober 2011 14:11]

maar forceert Opera om het op te lossen
Dat gaat altijd ten koste van iets anders.

Het is naief om te denken dat er maar 1 lek zit in een dergelijk complex stuk software.

Opera zelf heeft er belang bij om de lekken zelf te prioriteren naar mate van belangrijkheid en die in een logische volgorde op te lossen. Deze publicatie maakt dat onmogelijk omdat nu aandacht besteed moet worden aan dit lek en daardoor kunnen onnodig andere hoger geprioriteerde lekken open blijven staan.

Door een exploit te publiceren kan een redelijk onbelangrijk lek onnodig extra prioriteti vereisen en er is geen enkel bewijs dat dit voor de gebruikers tot een betere of veiliger browser zal leiden.
Als ik de ontdekker van het hack mag geloven is Opera al 10 maanden van het lek op de hoogte. Dit lek oplossen gaat zeker ten koste van iets anders maar ik geloof niet dat het development team van Opera de afgelopen 10 maanden full time bezig is geweest met het dichten van lekken die een grotere prioriteit hebben.

Kijken we in de changelogs van Opera dan zien we ook al dat er genoeg andere dingen gebeurd zijn in de afgelopen periode. De prioriteiten van de todo items kunnen daarom geen excuus zijn om dit lek zo lang te laten bestaan.
Nou, nee,
a) je wilt als eindgebruiker uiteindelijk wel weten dat er veiligheidslekken inzitten. Als Opera het vertikt (wat niet 100% zeker is uit het bericht), dan heb jij als eindgebruiker nog steeds recht die informatie te weten.
b) security through obscurity = geen security. En het is niet omdat je je hoofd in 't zand steekt dat het probleem overwaait...
c) het vrijgeven van de exploit zal er in elk geval toe leiden dat er ZEKER iets aan gedaan wordt simpelweg omdat ze het niet kunnen maken van dit niet verder te onderzoeken.
Binnen een SVG -> frameset dus. Niet iets wat je gauw verwacht... Maar dat 'ie het al een jaar heeft, dat geloof ik niet.
Wacht eens, dit is van 10 October 2011 (volgens bron). Dan is tweakers wel laat eigenlijk...


*edit: typo

[Reactie gewijzigd door Webmail op 18 oktober 2011 14:06]

een weekje later dan de bron... Tweakers krijgt nieuws ingestuurd door mensen, het is dus gewoon "laat" gevonden
Vreemd dat ze bij eerdere leaks niet voor een oplossing gezorgd hebben? Dat maakt dit product toch tot een wanproduct?


(0-day wil toch gewoon zeggen dat het ontzettend nieuw en hot is?)
0-day wil zeggen dat er geen oplossing voor is op het moment dat de exploit gepubliceerd wordt.

edit:
Overigens, ook dat de exploit al gebruikt wordt. In dit geval heeft de onderzoeker zelf een tool gemaakt die de exploit gebruikt, maar het is niet bekend of er ook anderen zijn die de bug al gebruiken

[Reactie gewijzigd door BRAINLESS01 op 18 oktober 2011 14:18]

als 60 % opera 30% mozilla en 10% ie browser gebruiker wil ik even vermelden dat als iemand het heeft gemunt op je data, hij dat toch wel voor elkaar krijgt. Is het niet via opera, dan vindt die kwaadwillende een andere manier om je data te nemen.
Werkt vaak wel het snelst deze manier van bugs aankaarten, maar om zoveel mensen in de tussentijd bloot te stellen aan het gevaar dat kwaadwillenden zomaar code in hun browser uit kunnen voeren is niet ok.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True