Opera patcht lek en weerspreekt claims over laksheid

Opera heeft een lek dat voor zijn browser verscheen, binnen een dag na media-aandacht hierover gedicht. Het lek was bij Opera al een tijd bekend, maar de Noorse browsermaker ontkent laks met de eerste melding omgesprongen te hebben.

Het beveiligingslek deed zich voor in de afhandeling van svg-afbeeldingen binnen een frameset op Windows XP SP3. De exploit liet kwaadwillenden eigen code uitvoeren op systemen van Opera-gebruikers. Daarvoor moest wel de data execution prevention-bescherming in Windows zijn uitgeschakeld.

Beveiligingsonderzoeker José Vazquez zou het lek al ruim een jaar geleden hebben ontdekt en Opera na twee maanden op de hoogte hebben gesteld. Opera stelt echter dat het bedrijf het lek, ondanks uitvoerig testen, niet kon reproduceren en dat het daarom vroeg om meer informatie. Die gegevens heeft Opera echter nooit gekregen, schrijft het bedrijf in een blogpost. Uiteindelijk maakte Vazquez het lek deze week openbaar.

De exploit werd als module voor het penetratie-test-framework Metasploit uitgegeven. Ook is de broncode gepubliceerd. Daardoor kon in principe iedereen de exploit gebruiken. Vazquez geeft niet expliciet aan waarom hij ervoor heeft gekozen om de exploit voor iedereen toegankelijk te maken, maar hij leek ontevreden over de aanpak van Opera met betrekking tot beveiligingslekken.

Reacties (32)

Verwijderd 19 oktober 2011 17:37

http://my.opera.com/secur.../36705282#comment72845682

We have no way of knowing if it was Jose Vazquez who found the bug we were told about 6 months ago. We have no record of any communication with Jose Vazquez (or his name) in our files. The first time his name came up was last week, there would have been no way for us to contact him before.

The bug we were told about was fixed, and we checked for any variants. Unfortunately, it sometimes happens that one can miss a variant of a bug, which we did in this case. I would love it if we somehow found a way to find every possible bug in Opera before releasing. Even though we try very hard, we still fail at this Luckily, when we are notified of bad bugs, we are able to fix them quickly, as in this case.

6 months ago we were contacted by a security group, who passed on several old crashers. The security group had not found the crashers themselves, and did not pass on the name of the finder (both of which is quite normal). They were not able to get any more information about the crashers than the initial reports. They seem to have done some testing themselves, which confirmed what we had found ourselves.

I do not know anything about any communication between the finder and the security group.

I do not know anything about what happened in the 6 months between when the original variant of this bug was appearantly found, and when it was passed on to us by a third party.

Irresponsible disclosure puts users at risk, but allows us to fix the issue, so is better than no disclosure at all (or selling the issue to the black market). However, responsible disclosure will also get the issue fixed, without putting users at risk, so we greatly prefer this. Had we been notified of this issue earlier, we would also have fixed it earier.

Ik raad iedereen aan even de hele blog te lezen: http://my.opera.com/secur...y-that-was-fixed-in-11-52

Dlocks @Verwijderd • 20 oktober 2011 00:56

Vond onderstaande reactie op die blog ook wel 'grappig':

[..]

1. They failed to understand the issue.
2. They failed to communicate with the researcher who found it.
3. They failed to admit 2 above fails, and blamed the researcher, therefore making it less likely for people to cooperate with them, putting us all at risk.

[..]

Wat in de daarop volgende reacties dan weer onderuit wordt gehaald.

[Reactie gewijzigd door Dlocks op 23 juli 2024 19:57]

serkoon 19 oktober 2011 15:21

DEP wordt ook helemaal niet uitgeschakeld. De exploit werkt juist alleen als DEP al uitgeschakeld is (uit de Metasploit exploit):

NOTE: This module is incomplete because Opera by default supports DEP (since version 9), but this exploit only works with /noexecute=AlwaysOff. The following explains the challenge we need to overcome in order to support DEP-bypass:
...

MSalters @serkoon • 20 oktober 2011 01:23

Oftewel: nadat we de beveiliging uit hebben gezet, is Opera niet goed beveiligd.

Als ik Opera was geweest, had ik 't gefixed door simpelweg niet op te starten als DEP uit staat.

Twazerty 19 oktober 2011 15:15

Daarmee kon de data execution prevention-bescherming in Windows worden uitgeschakeld.

Dit vind ik eigenlijk veel ernstiger. Hoe kan een lek in een browser als gevolg hebben dat DEP uitgeschakeld kan worden?

-ION- @Twazerty • 19 oktober 2011 16:42

Er staat dat je in Windows XP SP3 moet hebben met DEP uitgeschakeld om vatbaar te zijn voor deze exploit. Opera zet dus in geen geval DEP uit

Verwijderd @Twazerty • 19 oktober 2011 15:16

Omdat je de browser als Admin hebt draaien (oeps)

Twazerty @Verwijderd • 19 oktober 2011 15:19

Als je de applicatie als admin wilt draaien krijg je minstens een UAC melding. Je kunt een applicatie niet opstarten zonder UAC melding (als UAC gewoon aan staat). Ik mag toch hopen dat Opera met User rechten wordt gestart. Windows zelf zou ook in moeten grijpen als je DEP uit wilt schakelen zonder de juiste rechten.

[Reactie gewijzigd door Twazerty op 23 juli 2024 19:57]

Verwijderd @Twazerty • 19 oktober 2011 15:21

Niet op Windows XP, die heeft nog geen UAC. En deze exploit was alleen voor XP SP3

Twazerty @Verwijderd • 19 oktober 2011 15:29

In het andere bericht staat idd XP only (heb dat andere bericht niet gelezen). Mag wel worden verduidelijkt in dit bericht

Verwijderd @Twazerty • 19 oktober 2011 16:03

Het is zelfs nog erger, de bug was alleen lastig als DEP al uit stond en ik ken geen XP pc's waarbij DEP uit staat. De kans dat je er zo één tegenkomt is wel héééél klein namelijk.

Speedfightserv 19 oktober 2011 15:17

Elk verhaal heeft 2 kanten. Vind het wel vreemd dat Opera aan de hand van de melding zelf de fout niet kon vinden. ik gebruik zelf ook Opera en heb hem gelijk geupdate.
Vind het echt een grote beveiligingslek wat een behoorlijke impact kan hebben!

[Reactie gewijzigd door Speedfightserv op 23 juli 2024 19:57]

RuddyMysterious @Speedfightserv • 19 oktober 2011 15:20

Volgens Opera heeft de persoon die de exploit/bug zoveel maanden terug had vermeld geen extra informatie gegeven toen Opera daarnaar vroeg nadat is gebleken dat ze het probleem niet konden reproduceren met wat er aan informatie was gegeven.

Langs de ene kant is het voor de devs onbegonnen werk om elke melding van een bug die niet reproduceerbaar is proberen op te sporen tot hij gevonden is, zonder dat er echt geweten is dat waar ze naar zoeken ook bestaat. Langs de andere kant kan het inderdaad zijn dat ze te laks zijn geweest en er niet genoeg hebben achter gezeten. Welk van beide hier het geval is, en in hoe ver, dat zullen we waarschijnlijk nooit weten.

WimBarelds @RuddyMysterious • 19 oktober 2011 17:29

De bugs die waren gereport waren ge-report op een toen al out-of-date versie van opera. Desondanks zijn de meeste van deze bugs wel gefixed (in dezelfde week) en is er voor meer informatie gevraagd over de bugs die niet konden worden gerepliceerd.

DataGhost

@Speedfightserv • 19 oktober 2011 15:20

"Hee er zit een fout in jullie programma, succes he"
en daarna stil blijven en na een tijd klagen dat ze laks zijn. Natuurlijk weten wij niet het hele verhaal maar plausibel is het in ieder geval.

Speedfightserv @DataGhost • 19 oktober 2011 15:22

"Opera stelt echter dat het bedrijf het lek, ondanks uitvoerig testen, niet kon reproduceren "

ik denk dat ze wel geweten hebben wat het lek was

WimBarelds @Speedfightserv • 19 oktober 2011 17:27

Ik raad je aan het opera blog te lezen.

Er waren een aantal lekken gereport, dezelfde week nog hebben ze de meeste daarvan gepatched. De bugs waren gereport op een destijds al out-of-date versie van opera, en een aantal van de bugs konden ze niet repliceren- waarna ze hebben gevraagd naar meer informatie (die ze dus nooit hebben gekregen).

Het feit dat ze dezelfde week de meeste van de ge-reporte bugs hebben gepatched vind ik toch wel duidelijke aanwijzing dat ze wel serieus met de reports om zijn gegaan.

knirfie244 @Speedfightserv • 19 oktober 2011 15:48

Uitgaande van het eerdere bericht: de fout is alleen aanwezig icm Windows XP SP3, en zelfs dan werkt het blijkbaar niet altijd (10% kans ofzo?).

Met weinig details lijkt het me inderdaad dat het dan moeilijk te reproduceren is.

quartex @Speedfightserv • 20 oktober 2011 01:56

Gebruik je nogsteeds XP dan?

Sir_Eleet 19 oktober 2011 15:33

Meneer Vazquez is duidelijk alleen maar uit op naamsbekendheid en geeft geen moer om de veiligheid van de gebruikers. Anders zou je geen exploit-module op je privé blog neerzetten, nota bene een WEEK voor het op de hoogte brengen van de media. Erg jammer. Hulde aan Opera om het probleem zo snel op te lossen.

IStealYourGun @Sir_Eleet • 19 oktober 2011 15:56

Vermoedelijk heb je gelijk, Opera stond vroeger bekend voor het snel dichten van dit soort lekken. Tegenwoordig komt dat niet meer zoveel in de media, maar het zou verbazen mocht ze daar nu een anders mee omgaan. Al was het maar dat de meeste developers (net zoals bij Mozila trouwens) zeer makkelijk te bereiken zijn.

Verwijderd 19 oktober 2011 15:22

Het ging om een lek in windows XP sp3 met dep uitgeschakeld.

Verwijderd 19 oktober 2011 15:16

Tja, na de media druk moeten ze wel. En dan nog claimen dat ze niet er laks mee om zijn gegaan, wat moeten ze anders zeggen?

Verwijderd @Verwijderd • 19 oktober 2011 15:50

Gewoon de waarheid? Niet alle bedrijven hebben de zelfde mentaliteit hoor. Je kunt wel blijven zoeken naar een niet reproduceerbare fout maar zonder nadere gegevens houd het op een gegeven moment op en zijn er belangrijkere zaken.

Het kan ook heel goed een afleidingsmanoeuvre zijn of gewoon een poging om te zieken. Opera is al tijden de meest veilige browser. Heel goed mogelijk dat fanatieke aanhangers van de concurrent zoiets doen. Het beste wat je als serieus bedrijf kunt doen is checken en dan over tot de orde van de dag zoals ze nu gedaan hebben.

Dlocks @Verwijderd • 19 oktober 2011 16:58

Heel goed mogelijk dat fanatieke aanhangers van de concurrent zoiets doen.

Dus jij vindt dat het goed mogelijk is dat José Vazquez die deze exploit één jaar geleden ontdekt heeft een aanhanger is van een concurrent van Opera? En dat het goed mogelijk is dat José Vazquez deze zeer lange termijn plan al van te voren bedacht heeft.

Ik zie het al voor me, José Vazquez zat ca 15 maanden geleden op zijn zolderkamertje te bedenken hoe hij die stomme Opera browser eens goed te pakken kon nemen:

Hmmm... hoe kan ik ervoor zorgen dat Opera in een kwaad daglicht komt te staan. Weet je wat, ik ga zoeken naar een exploit in Opera en de resultaten naar Opera. Voorwaarde is dat Opera deze exploit niet kan reproduceren. Dan laat ik ze vervolgens 10 maanden aanmodderen en dan ga ik een jaar na het ontdekken van deze exploit het groot in het nieuws brengen.

Haha... dat zal ze leren bij Opera met hun stomme browser!

Zo, nu zoeken naar een exploit en ervoor zorgen dat Opera zelf deze exploit niet kan vinden. Zelfs niet als ik hun informatie over de exploit opstuur.

Lijkt mij al met al een zeer onwaarschijnlijk scenario.

[Reactie gewijzigd door Dlocks op 23 juli 2024 19:57]

Precision @Dlocks • 19 oktober 2011 18:22

Dat is wat jij ervan maakt...
Ik denk dat Jeep bedoelt dat het gaat om een bug met een minieme kans om ze tegen te komen, dus heeft ze geen prioriteit. Wat daarom niet wil zeggen dat ze niet kritiek kan zijn (de kans dat ze voorkomt is miniem maar als ze voorkomt zijn de gevolgen groot). Het gaat om mierenneuken en de media nemen dit soort dingen blind over. Het kan dus perfect zijn dat iemand een kritieke bug van een jaar ziet staan en dat even meldt.

Innsewerants @Dlocks • 19 oktober 2011 22:22

Toen die bug gemeld werd door die man wist opera toch niet dat hij echt een bug had gevonden.

Iemand belt je, je hebt een bug, geeft weinig details.

Wat ga je doen, een tijd zoeken of je wat vind of zoeken tot het einde der tijden vanwege een bug die je zelf niet kan vinden of reproduceren binnen een bepaalde tijd?

Ik weet niet hoe jij redeneert, alsof ze magisch wisten dat die persoon aan de lijn echt een bug gevonden heeft of echt kundig is, ze vragen om meer details, en krijgen verder geen reactie.

Je verhaal had moeten beginnen met Jose verzint een bug om te melden, niet met jose gaat ellenlang naar een bug zoeken om te melden

, zou wel een beetje erg idioot veel werk zijn als je alleen maar de concurrent z'n tijd en geld wil verspillen...

[Reactie gewijzigd door Innsewerants op 23 juli 2024 19:57]

Dlocks @Innsewerants • 20 oktober 2011 00:55

Het kan dus perfect zijn dat iemand een kritieke bug van een jaar ziet staan en dat even meldt.

Dus de exploit was al openbaar en José heeft het dus niet openbaar gemaakt (want het was al openbaar). Wat loopt iedereen dan moeilijk te doen dat José een openbare exploit openbaar heeft gemaakt?

Tevens staat er in het artikel:

Beveiligingsonderzoeker José Vazquez zou het lek al ruim een jaar geleden hebben ontdekt en Opera na twee maanden op de hoogte hebben gesteld. Opera stelt echter dat het bedrijf het lek, ondanks uitvoerig testen, niet kon reproduceren en dat het daarom vroeg om meer informatie.

Opera ontekent dus niet dat het destijds geen informatie van José heeft ontvangen, maar zegt enkel dat ze het niet konden reproduceren en geen gehoor kregen toen ze om meer informatie vroegen.

Je verhaal had moeten beginnen met Jose verzint een bug om te melden,

José heeft geen bug ofwel exploit verzonnen. Eerste paragraaf in het artikel:

Opera heeft een lek dat voor zijn browser verscheen, binnen een dag na media-aandacht hierover gedicht. Het lek was bij Opera al een tijd bekend,

Kortom, onderstaande waar ]eep mee kwam lijkt mij nog steeds een uitermate onwaarschijnlijk scenario:

Heel goed mogelijk dat fanatieke aanhangers van de concurrent zoiets doen.

Aan de andere kant moet ik ook wel zeggen dat het zaakje stinkt. Maar ik kan mij niet voorstellen dat José het heeft gedaan omdat hij Opera een stomme browser vindt en browser X een betere browser vindt.

[Reactie gewijzigd door Dlocks op 23 juli 2024 19:57]

db87 19 oktober 2011 23:27

Ach Windows XP SP3, dat draai ik niet meer sinds Windows 7...

WhizzKid-Eddy 20 oktober 2011 11:12

En hoe zit dat dan met mensen die een PC hebben met een BIOS waarin DEP uitgeschakeld kan worden door de gebruiker zelf?

Cronax @WhizzKid-Eddy • 20 oktober 2011 14:36

Ik volg je niet helemaal, wat heeft DEP te maken met een BIOS?

DEP is een feature van Windows welke standaard aanstaat in de betreffende versie (XP SP3. Een user kan dit waarschijnlijk wel afzetten vermoed ik maar de gemiddelde user zal de optie niet kennen en dus ook niet afzetten...

WhizzKid-Eddy @Cronax • 21 oktober 2011 09:54

Sorry voor de verwarring. Ik had het hier dan ook niet over de gemiddelde huis-tuin-en keuken PC, maar over custom hardware. Blijkbaar zijn er bepaalde bedrijven en mensen die deze optie graag in hun BIOS ingebouwd willen zien. Kortom, bij deze moederborden kun je dus DEP al uitschakelen voordat er überhaupt een besturingssysteem geladen is.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (32)

Sorteer op:

Weergave: