Ernstig lek in Windows XP zonder SP1

Er zit een ernstige fout in het 'Help and Support Center' van Windows XP die door SP1 wordt gerepareerd. Kwaadwillende personen kunnen een link maken die bestanden uit willekeurige directories wist. Als iemand op zo'n link klikt lijkt het alsof hij gewoon wordt doorgestuurd naar het 'Help and Support Center' van Windows, maar zodra hij de window sluit kunnen er bestanden van zijn hardeschijf worden gewist. Microsoft heeft besloten dit lek stil te houden tot na het uitbrengen van SP1.

De exploit werkt door een fout in het script uplddrvinfo.htm, wat wordt uitgevoerd met extra rechten door het hcp protocoll. In dat script komen deze regels voor:

var oFSO = new ActiveXObject ( "Scripting.FileSystemObject" );
try
(
oFSO.DeleteFile( sFile );
)

De waarde van sFile komt uit de url en kan dus alles bevatten. Bijvoorbeeld de link:
hcp://system/DFS/uplddrvinfo.htm?file://c:\test\*
wist alle bestanden in de test directory. In samenwerking met een redirect in een webpagina of door een grappig persoon in een IRC-kanaal kan een PC onbruikbaar gemaakt worden. Gelukkig zijn er een aantal oplossingen om het gevaar uit de wereld te helpen:
Windows XP logo (klein)

Windows XP SP1 installeren

uplddrvinfo.htm deleten of verplaatsen

het script aanpassen

het hcp protocol verwijderen

deze patch installeren

Ironisch genoeg kan je de exploit verwijderen door gebruik te maken van de exploit. Als je administrator rechten hebt en windows op c:\windows staat geïnstaleerd, kan je met deze link het gevaarlijke script verwijderen.

Anoniem: 32525 bedankt voor de tip.

Reacties (90)

Paul 12 september 2002 21:16

Kijk, dit soort meldingen vind ik nou nèt iets betrouwbaarder dan die viruswaarschuwingen in je mail:
'Verwijder nu kernel32.dll, dit is een ernstig virus!!!!!111'

Wel krijgen we natuurlijk nu weer een hele hetze tegen Microsoft, omdat zij zoveel bugs bevatten.

Nou sorry hoor, maar ik ben ook softwareontwikkelaar, en onze software bevat net zo goed bugs. Alleen komen die niet zo uitgebreid in het nieuws.

Mensen leer nou eens dat in vrijwel iedere, zoniet alle, software bugs zitten. Is wel makkelijk karma scoren, allemaal +1 van andere mensen die 'M$' etc nodig vinden...

En dat het een verkooptruc zou zijn: SP1 valt toch gewoon te downloaden (legaal!)

Buiten dat, staan er nog 3 opties om er vanaf te komen, dus niet zeuren.

tim-w @Paul • 12 september 2002 21:47

Wel krijgen we natuurlijk nu weer een hele hetze tegen Microsoft, omdat zij zoveel bugs bevatten.

Das ook niet persé het probleem... wat echt erg is, is dat ze het verzwegen hebben! ze wisten het al een paar maand!!

dat vind ik dus NIET kunnen...

verder heb je inderdaad gelijk, bug-loze software schrijven is (vrijwel) onmogelijk...

tim-w

Anoniem: 7169 @tim-w • 13 september 2002 00:09

Je hebt natuurlijk gelijk "bugloze software schrijven bestaat niet" maar je moet het dan wel kanaliseren in onschuldig of ernstig.
Onschuldig maar wel hinderlijk is een actie uitvoeren dat op een bepaald systeem onder niet alledaagse omstandigheden waardoor het programma crashed of erger de pc.

Ernstig is bewust of onbewust mogelijkheden creëren om wederom onder bepaalde omstandigheden taken van buitenaf op je pc mogelijk te maken.

En windows xp is wel groot maar het merendeel is opgesplitst in aparte programma's, en die programma's kunnen die dan niet, welke met internet toegang te maken hebben, even wat beter onder de loep gezet worden

En dan helemaal deze code, gaat er dan geen belletje rinkelen bij de hoofdchef

var oFSO = new ActiveXObject ( "Scripting.FileSystemObject" );
try
(
oFSO.DeleteFile( sFile );
)

Ach zij zijn groot en ik ben klein.

Anoniem: 47550 @tim-w • 12 september 2002 22:11

tja dat ze het verzwijgen is wel slim denk ik ... want mensen zouden toch nog op een patch moeten wachten (de SP1) anders waren er een maand geleden al allemaal script kiddies die deze bug zouden exploiten .. nu is het tenminste een goede fix.

berzelius @Paul • 13 september 2002 14:48

Bugloze software bestaat wel: In de originele TEX-versie van Donald Knuth is al meer dan 7 jaar geen bug meer gevonden.

Berzelius

Anoniem: 61323 @Paul • 12 september 2002 21:47

Mja, dat vind jij...

Ik ben ook software ontwikkelaar en de meeste bugs ontstaan door slecht of niet ontwerpen (meestal het laatste) en door het rushen van de implementatie. Of gewoon clueless programmeurs.

Ervaring leert dat

En ja ach... deze bug is net zo lame als alle andere voorgangers.

edit:

aan hiostu: ervaring.
White-box testen en black-box testen is allemaal onzin die jij op school leert... als je tijdens de implementatie alles goed test zoals alleen een echte programmeur dat kan, dan pas kun je goede software leveren.

aan likkie: inderdaad.
10 jaar geleden was het inderdaad nog niet echt gebruikelijk om veel op je beveiliging te letten, toen was de hele cracking scene ook nog erg ondergronds en onbekend, tegenwoordig wordt daar meer aandacht aan besteed. Maar bijvoorbeeld op hogescholen en universiteiten nog veel te weinig naar mijn mening... terwijl dat toch de programmeurs van de toekomst zijn.

hiostu: je edit is wederom onzin.
CMG, Cap gemini en al die bedrijven maken boeken... zijn dat goede programmeurs? NEE.
Zij zijn de mensen die van een stel lame net afgestudeerde studenten zoveel mogelijk GELD proberen te maken. Bij CMG, Cap wordt je extreem onderbetaald naar mijn mening, maar dat terzijde...
Bij CMG, Cap, e.d. is er werkelijk niemand die ook maar iets van buffer overflows en andere common exploiting techniques en low leven programmeren, of manieren om het te omzeilen weet... ze hebben leuke speeltjes en hebben een vlotte management babbel en daar houdt het dan wel bij op.
Het zijn de ECHTE skills van een programmeur die ervoor zorgen dat hij een programma zo maakt dat het probleem niet voor zal komen.

hiostu @Anoniem: 61323 • 12 september 2002 21:55

Nou als jij software ontwikkelaar bent, moet jij ook weten dat er zo veel uitzonderingen kunnen zijn in een bepaalde situatie, dat je bijna nooit aan alle mogelijkheden kunt denken. Hierdoor kun je soms een situatie vergeten af te vangen. Als je dit wilt voorkomen moet je alles white-box gaan testen. En tevens moet je dit al doen bij het ontwerp.

Zou je op deze manier gaan testen, dus niet eens randvoorwaarden maar zelf meer. Dan ben je 6 jaar bezig met het ontwerpen van software.

En dan nog kan een programmeur een foutje maken, deze zijn namelijk nog steeds mensen. Dus zeg niet dat je een ontwikkelaar bent als je denkt dat foutloze software bestaat. Het eerste wat geleerd wordt aan ontwikkelaars is dat het eerste foutloze (complexe) programma nog gemaakt moet worden.

edit:
Nou als dat onzin is wat ik leer, waarom zijn dat soort methodes dan door CMG, Cap Gemini etc ontwikkeld. De boeken die wij gebruiken in ons laatste jaar HBO komen anders van dat soort bedrijven af. Daarnaast kan een programmeur nooit zijn eigen werk goed testen, dit vanwege dat ze volgens de zelfde denkwijze te werk gaan als dat ze programmeren. Dus als ze de 1e keer een denk fout maken, dan is de kans groot dat ze die de 2e keer ook maken. Dit is gewoon een psychologisch effect. Zelfcontrole is erg moeilijk.

[edit2]Mmm en hoeveel van die superprogrammeurs zoals jij ze omschrijft lopen er rond op deze wereld? 5? Zolang menselijke fouten gemaakt worden zal testen wel degelijk nodig zijn in het ontwerp. Geen van de argumenten die jij geeft hebben mij overtuigd.

En als laatste die black & white box testen worden steeds meer geintegreerd in de ontwerp pakketten. Dus ze zullen wel degelijk nut hebben. Zeker als men gaat praten over wat grotere projecten, die iteratief gebouwd worden. Waarbij een programmeur geen overzicht meer kan houden over de algehele samenwerking van alle onderdelen van het systeem.[/edit2]

Anoniem: 25556 @hiostu • 13 september 2002 00:09

Als je dit wilt voorkomen moet je alles white-box gaan testen. En tevens moet je dit al doen bij het ontwerp.

sorry hoor, maar voor het gros der maatwerkapplicaties in nederland is dit echt je reinste nonsense.

Ja, testen kan van belang zijn, maar heeft niet het belang wat jij er aan hecht. 90% van de applicaties die tegenwoordig door bedrijven als de cap ontwikkeld word zijn niet veel meer dan veredelde NAW databeestjes met een front-end. Als jij als programmeur gewoon weet waar je mee bezig bent loont het meer tijdens het ontwikkelen 'de boel in de gaten te houden' dan achteraf hele testplannen op te gaan stellen.

Dat is dan ook gelijk wat er fout gaat bij bedrijven als Cap Gemini, Sogeti, enz. Deze bedrijven laten een dergelijk front-end in elkaar klungelen door een pas afgestudeerde HBO-er die eigenlijk helemaal geen aanleg voor programmeren heeft maar er wel brood in zag, op basis van een FO wat voor 80% uit CTRL-V werk bestaat. Die jongen klooit een beetje raak, levert z'n werk af en dan gaat men testen. Dit doet men door alle voorkomende gevallen te bedenken, en deze dan in een script samen te vatten. En, en hier zit 'm de kneep, daarbij vergeten ze altijd gevallen die wel voorkomen. Dit, gecombineerd met het feit dat het programmeerwerk maar zo/zo is levert de ingredienten voor dit soort bugs.

Kijk, als ik een functie schrijf die A en B bij elkaar moet optellen, kan ik heel eenvoudig schrijven Result:=A+B. Die functie werkt, hoeft niet getest te worden, en zal ook voor alle situaties werken. Ik kan ook een lap wollige code opleveren met daarin allerlei overbodige variabelen (booleans meestal, als ik een euro kreeg voor elke keer dat ik een 'stop'-boolean tegenkom..) en dan een halve verzameling rationele getallen er tegen aangooien om 'm te testen, maar je zult altijd zien dat dergelijke code voor 3+3 het getal 7 oplevert, terwijl hij het bij 2+2 wel goed doet.

Naar mijn mening zijn juist dat soort bedrijven de hele reden voor de 'malaise' in de IT-sector. Men levert broddelwerk en schuift net zo lang heen en weer totdat het doet wat het zou moeten doen. Je laat de ene bevinding oplossen en een oude komt ineens weer boven water, enz enz.

Daarnaast maakt men gebruik van onderbetaalde HBO-ers (niets mis met HBO-ers overigens, alleen iedereen moet eerst ervaring opdoen voordat ie aan 'het grote werk' kan beginnen) en rekent hier exorbitante bedragen voor. EUR 80 per uur ben je zo kwijt. 'Ja maar daar zitten de kosten van de aansturende managers etc ook in' hoor ik je zeggen, echter dit is quats want op praktisch elke offerte zie je tegenwoordig zaken als 'servicecoordinatie'.

The point being: goed testen volgens een beproefde methodiek kan nuttig zijn, maar het nut bewijst zich pas echt bij een grote, complexe applicatie. Mijns inziens is het bij de eenvoudigere applicaties belangrijker een goede programmeur te hebben, dat kan je een hoop ellende besparen.

Crazy D @hiostu • 13 september 2002 02:22

Ik benieuwd ben naar wat er gebeurt als 1 van de 2 een null pointer is, of als het resultaat groter is dan wat het datatype van je functie is.... Testen is _altijd_ belangrijk.

Whieee Moderator Apple Talk @hiostu • 12 september 2002 23:16

Eindelijk iemand die mijn taal spreekt!!!

Het gaat er niet om dat je als programmeur kan zeggen: "Ik kan VB, Java, C, C++, Delphi, etc. coden.." Het gaat erom dat je de algemene aspecten van het programmeren begrijpt.

Als je alleen maar de syntaxis kent en verder niet logisch en gestructureerd te werk gaat, krijg je dus bugs / gaten in je programma zoals dit gat in winxp; een enorm stupide gat...

Roland684 @hiostu • 12 september 2002 23:33

Daarnaast kan een programmeur nooit zijn eigen werk goed testen, dit vanwege dat ze volgens de zelfde denkwijze te werk gaan als dat ze programmeren. ... Zelfcontrole is erg moeilijk.

Daarom moet je ook altijd laten controleren door een ander (of liefst zelfs meerdere anderen). Een goede programmeur kan overigens wel degelijk foutloos programmeren net zoals een goede boekhouder foutloos kan boekhouden.
Maar een goede programmeur en nog een goede programmeur om te controleren kost wel handen vol geld terwijl een 17-jarige informatica-student hetzelde in elkaar kan draaien voor werkelijk een fractie van het geld. Maar dan neem je wel risico's en die zul je dan ook moeten accepteren.

En als je de software voor een kerncentrale of voor x honder miljoen computers gaat maken dan denkik dat veiligheid best wat waard is, het is namelijk wel een enorme verantwoordelijkheid die je hebt..

Anoniem: 3358 @hiostu • 13 september 2002 16:04

Dat broddelwerk komt meestal niet door de programmeur, maar door de eisen die aan een programma gesteld worden.

Ik maak regelmatig mee dat je als programmeur gewoon geen tijd krijgt om een programma goed op te bouwen. Ze zeggen gewoon daar en daar hebben ze het al, kopieer het daar maar van en dan zijn we snel klaar. Kost hooguit 2 dagen inclusief testen en wat kleine wel vooraf bedachte wijzigingen met het origineel. Na testen blijkt dan dat er nog meer wijzigingen nodig waren en die moeten er maar snel in, want er is gezegd dat het programma er in 2 dagen zou zijn. Dan blijkt dat waar ze het origineel vandaan gehaald hebben deze eigenlijk toch een iets andere functionaliteit had, dus dan wordt het alweer hacken om het werkende te krijgen in de korte tijd die er is. Dan wordt meestal nog wel gezegd dat we eigenlijk het programma opnieuw moeten gaan schrijven, maar omdat het uiteindelijk toch wel werkt mag het broddelwerk wel naar produktie en wordt het niet meer aangepast.

En dan komen er nog functionaliteitswijzigingen op functionaliteitswijzigingen op goede programma's. Soms al zelf tijdens de ontwikkeling ervan, omdat in het begin al niet duidelijk was wat het programma precies moest doen. Deze programma's worden daardoor vanzelf ondoorzichtelijker en broddelwerk. Ook dan kan je als programmeur zeggen dat het programma eigenlijk opnieuw geschreven moet worden om het weer overzichtelijk te krijgen, maar daar wordt gewoon geen tijd vrijgemaakt.

Het resultaat is in beide voorbeelden, die bij mij regelmatig voorkomen, onoverzichtelijke programma's, slechte code etc.. En dus wordt de kans op bugs steeds groter. De schuld ligt dan niet bij de programmeur, maar bij de opdrachtgever van de programmeur, die gewoon niet wist wat ie wilde hebben, maar het wel snel wilde hebben.

Het wijzen naar de programmeur vind ik daarom wel erg ver gaan, alhoewel ik niet zal ontkennen dat er ook programmeurs zijn die eigenlijk niet kunnen programmeren, maar alleen de syntax kennen. Die zullen nooit een goed programma opleveren.

Anoniem: 25556 @hiostu • 13 september 2002 20:31

Ik benieuwd ben naar wat er gebeurt als 1 van de 2 een null pointer is, of als het resultaat groter is dan wat het datatype van je functie is.... Testen is _altijd_ belangrijk.

Juist dat soort fouten moet je niet door testen ondervangen. Een goede programmeur ziet het of een dergelijke situatie mogelijk is, en houdt daar rekening mee.

Ik maak regelmatig mee dat je als programmeur gewoon geen tijd krijgt om een programma goed op te bouwen.

Dat is ook niet zo raar met die belachelijke uurtarieven...

MaxxBass @Anoniem: 61323 • 12 september 2002 22:01

Maar sommige bugs zijn ook gewoon opties of mogelijkheden van een scripting taal o.i.d... later komen ze er achter dat deze makkelijk misbruikt kan worden....

Een paar jaar geleden gingen ze er nog niet standaard van uit, dat alles wat jij verzint wordt doorzocht op mogelijkheden tot misbruik....dat is gewoon het hele probleem...

Anoniem: 1197 @Anoniem: 61323 • 12 september 2002 22:17

<OFF-TOPIC denk ik>
Ik kan me voor een groot deel bij the void aansluiten. Ik houd mijn hart dan ook vast voor die nieuwe geweldige wereld van .NET, waarbij het mogelijk wordt/is om alles met alles te laten praten, dieper dan xml-niveau. Ik denk dat beveiliging ook naar een nieuw niveau gebracht moet worden. Als een object (wellicht een van derden) legaal toegang heeft tot een database, dan mag de houder van de database er wel heel goed zicht op houden dat het betrefende object waterdicht is en niet een portal wordt voor personen die er eigenlijk niet zouden mogen ronddwalen. Dat was eigenlijk het eerste wat bij me opkwam toen ik (al een tijdje terug) hoorde van deze bug. Al gaat de vergelijking wel heel ver geef ik toe.
</OFF-TOPIC denk ik>

Smylodon @Paul • 12 september 2002 21:37

Ja, maar toch.. Kom op, je hebt het hier wel over een OS dat wordt gebruikt door mensen over de hele wereld.. En dan nog wel van de grootste softwaredeveloper ter wereld.. Dan mag je ook wel wat verwachten, zonder dat je het risico loopt dat iemand al je data wist met een truukje.. Betalen de meeste mensen ook voor.. of.. naja, misschien de helft.....?

Als het nou freeware was.. Ach, dan klaag ik ook niet..

Anoniem: 1197 @Smylodon • 12 september 2002 22:02

voor veel mensen is het dan ook freeware

stunn0r @Paul • 13 september 2002 00:22

en windows xp + sp1 is ook al illegaal in omloop

edit: dit was dus bedoeld als aanvulling op de post van
Paul Nieuwkamp

Anoniem: 62272 @Paul • 13 september 2002 00:26

Ik het compleet met Paul Nieuwkamp, niets is BUG vrij!
Windows XP SP1 is gratis en voor niets te bestellen op CD-rom via de website van Microsoft. Je kunt er maximaal 5 bestellen.
Dus "WAT NOU VERKOOPTRUC!!!!!!"

en dat MS zijn programma's beschermt tegen diefstal, dat moeten ze zelf weten

Shunt 12 september 2002 21:55

punt 1:
ik hoor nu echt mega veel mensen klagen

dat snap ik niet stap dan over naar linux ?die kan je zelf aan passen en is gratis

je kan het er zo mooi uit laten zien als je wil en het is nog snel ook

punt 2: ik zie nu ook een hoop mensen die zeggen van ik snap niet dat ze zo iets achterhouden nou ik wel. als jij een groffe fout ondekt van je zelf die ook nog eens mega lomp is, en makkelijk door jan alleman te misbruiken is tog niet zo effe iedereen mee bang maken

punt 3:
jah idd microsoft spul is meestal aan het begin mega buggy moet je wel even na gaan over de werk druk waar die mensen werken

deadlines en al die zooi dan is het nog eens wat moeilijker om foutloos te werken. ik vind het fijn dat ze nog zo eerlijk zijn om de fouten later bekent te maken en dan een sp uit te brengen

punt 4:
als je het niet eerlijk vind dat microsoft zijn software liever niet ilegaal heeft is DOM ik heb al mijn osen legaal via school of via beta testing. als je het oneerlijk vind wat er in sp zit dan verwijs ik je naar punt 1 vind je het te duur zie punt 1 vind je het te buggie zie punt 1

SIM-PEL

tot slot:
ik vind het ook niet fijn dat ms een monopolie positie heeft maar het is niet anders en jij kan er niets aan doen dus flamen op ms is nutteloos en vervuilt alleen topics.

ook vind ik het een beetje vreemd dat mensen denken dat sp op gedrongen wordt nou als je een legale versie heb maakt dat tog niet uit

want ik neem aan dat als je een kopie heb dat je niet gaat klagen tog

als het flamerig overkomt dan is dat half om half mijn bedoeling ik vind het gewoon vervelend dat ms steeds wordt uit gezeken over dingen waar je zelf voor kiest.

Anoniem: 9966 @Shunt • 12 september 2002 22:24

Je punt 2 vind ik jammer.
Als je een fout in de software ontdekt die je zelf hebt ontwikkeld vind ik het je plicht iedereen daar zo snel mogelijk van op de hoogte te stellen.
Zodat iedereen rekening kan houden met deze fout.
En iedereen desnoods zelf een workaround of een fix kan verzinnen totdat de maker van het programma met iets devinietiefs komt.
Ik vind dit zeer zeker niets met bang makerij te maken hebben.
Maar wel alles met het vertrouwen dat de gebruikers stellen in de maker van een programma.
Ik vindt dit dus absoluut niet software afhankelijk het maakt dus niet uit of dit een linux distro is of een MS OS.

frankvdtillaart @Anoniem: 9966 • 13 september 2002 11:22

Vind ik deze opmerking toch weer jammer ...

Ook jij weet wel hoeveel n00bs er met windows werken, om dan te zeggen dat Microsoft de fout openbaar moet maken, opdat 'iedereen desnoods zelf een workaround kan verzinnen' vind ik wel erg kort door de bocht.

Met de 'links' die hier bij dit nieuwsbericht staan word het wel erg makkelijk gemaakt, maar niet iedereen leest deze site.

Ik vind het dus nog niet zo slecht van Microsoft om dit geheim te houden, zo hou je toch een hoop script-kiddies tegen (Denk ik).

Anoniem: 55964 @Shunt • 13 september 2002 12:37

punt 1: Linux is gratis ja, maar zoals eergisteren bleek gebruikt maar een half procent van de thuisgebruikers linux, en de rest is dus gevoelig voor bugs die in M$ software zitten.

punt 2: Als je een fout in je eigen produkt vindt kun je twee dingen doen, het zolang mogelijk verzwijgen, hopen dat mensen er niet achter komen en dan stilletjes een fix uitbrengen in de hoop dat niemand er ooit achter komt of zo snel mogelijk een snelle fix uitbrengen en mensen op de hoogte brengen. Waar hebben ze die Windows update eigenlijk voor?

punt 3: Wat kan mij de werkdruk van Microsoft werknemers nou weer schelen? Ze moeten hun werk gewoon goed doen, ze verdienen er meer dan genoeg voor en als de werkdruk echt zo hoog is dan kunnen ze altijd wat meer programmeurs in dienst nemen of gewoon iets minder concentreren op elk jaar een nieuwe windows en een keer eentje gewoon stabiel en veilig proberen te maken.

punt 4: Natuurlijk is het begrijpelijk dat M$ liever niet wil dat er van hun gestolen wordt, maar de manier waarop ze ermee omgaan zorgt er dus wel voor dat er heel veel onveilige systemen zijn die niet alleen maar gevaarlijk zijn voor de gebruikers van dat systeem maar ook gebruikt kunnen worden om de systemen van onschuldige eerlijke klanten aan te vallen en zelfs hele delen van internet lam te leggen.

en tot slot: ik snap niet dat er mensen zijn die het nodig vinden om als een soort beschermer van microsoft op te treden als weer eens blijkt dat ze iets verzwijgen en de veiligheid van hun eigen klanten in gevaar brengen daardoor. M$ is niet heilig ofzo!

En ja ik schrijf M$, en als je je afvraagt waarom moet je maar eens op de bankrekening van B. Gates kijken.

Anoniem: 58198 @Shunt • 12 september 2002 22:31

'punt 2: ik zie nu ook een hoop mensen die zeggen van ik snap niet dat ze zo iets achterhouden nou ik wel. als jij een groffe fout ondekt van je zelf die ook nog eens mega lomp is, en makkelijk door jan alleman te misbruiken is tog niet zo effe iedereen mee bang maken"

Ja, maar MS heeft wel een verantwoordelijkheid als softwaregigant. Als zoveelennegentig % van de desktops op Windows zit, dan kan MS het zich niet veroorloven om fouten lang in Windows te laten. Sommige mensen zijn namelijk nogal afhankelijk van MS's software.

edit:

'k typ weer es te traag

Roland684 @Shunt • 12 september 2002 23:33

Punt 1: Als je vindt dat zoveel mensen klagen, dan ga je toch naar een andere website? (zie je dat dat allemaal wat complexer is dan jij zelf voorsteld? je kunt niet zomaar even naar een ander OS, dat heeft [/i]gevolgen[/i])
De fiets is niet geen mogelijk alternatief wanneer je de files met je vrachtwagen zat bent.

Punt 4: ik Heb mijn OS ook via een licentie van de universiteit, helemaal gratis! Maar van mij mogen mensen die wél 200 euro hebben neergelegd voor hun software best klagen. En zelfs als ze de software gratis weggeven dan is dat nog geen reden voor de consument om maar ondeuglijke produkten te moeten accepteren (sterker nog, dat is zelf in de wet vastgelegd)
Als je de software voor een prikkie hebt gekocht dan wil je best wat moeite doen, maar als je veel geld neerlegd en de problemen beginnen dan pas...

Wie heeft er trouwens gekozen voor beveiligingsproblemen in windows? je hebt helemaal geen keuze, jouw opmerking dat mensen er zlf voor gekozen hebben is een beetje onzin.

sab @Shunt • 13 september 2002 17:03

Punt 1 -
Je doet net alsof het voor elke gebruiker mogelijk is om die overstap te maken. Denk maar aan expertise, support en er zijn natuurlijk genoeg programma's die geen linux/unix-variant hebben.

punt 2 -
Ik vind, en velen met mij als ik het zo zie, dat ze die bug gelijk bekend hadden moeten maken toen er een oplossing voor bekend was. En te zien aan de complexiteit, zal dat niet langer dan een dag na het vinden van die exploit zijn geweest.

punt 3 -
Uiteraard is software buggy, zie wet van murphy

.
Maar ik vind gewoon dat je niet lang moet wachten met het bekendmaken van een exploit/fix.

punt 4 -
Ik kan me niet voorstellen dat een normaal denkend mens kan zeggen dat het oneerlijk is.

tot slot;
Ik vind het ook niet leuk dat ms een monopoliepositie heeft, en zie windows als een noodzakelijk kwaad. Ik gebruik een illegale versie van windows (ben waarschijnlijk een van de weinigen die er voor uitkomt).

Ik vind het niet vreemd dat mensen denken dat sp opgedrongen word want dat is ook zo. Als het aan microsoft ligt kan je dit probleem alleen oplossen als je die patch installeert. Mag jij mij uitleggen wat daar niet-opdringerig aan is.
Als je een illegale versie hebt maakt het trouwens ook niet uit, zie thread op forum ergens

.

Overigens hoorde ik gisteren dat met de servicepack het niet meer mogelijk is om je bootscreen aan te passen. Dit heb ik nog niet bevestigd gezien, maar is voor mij een reden dat ik ertegen opzie.

Als het flamerig overkomt dan is dat ook half om half mijn bedoeling omdat ik vind dat microsoft misbruik maakt van z'n monopoliepositie door patches op te dringen en dingen geheim te houden.

voor de duidelijkheid, ik vind Windows geen slecht product, ik vind alleen dat ik allerlei software mn strot doorgeduwd krijg ("gratis bij windows") en dat de prijs te hoog is.

*hijg*

PhOneman 12 september 2002 21:12

Slim van Microsoft om hier over te zwijgen tot na de release van SP1. Nu moet je wel upgraden naar SP1. Met als voordeel voor Microsoft dat ze een hoop meer mensen verplichten om XP officieel aan te schaffen, vanwege de check die plaats gaat vinden bij de windows update site.

SiliconError @PhOneman • 12 september 2002 21:17

Nou ehh, laat dat upgraden maar mooi zitten

Ik heb gewoon ff gezocht naar het betreffende bestandje (\windows\pchealth\helpctr\system\dfs\uplddrvinfo.htm ofzo), en dat geopend met een texteditor.

Mooi ff de betreffende regel veranderen in:
/*** oFSO.DeleteFile( sFile ); ***/
en hoppa, klaar

Anoniem: 63982 @SiliconError • 13 september 2002 11:56

Of je draait gewoon de patch (60KB) die hier boven in de link te downloaden is. Kost waarschijnlijk minder tijd dan dat bestand opzoeken.

[off topic]
Al is jou oplossing wel creatiever

[/off topic]

Anoniem: 64728 @PhOneman • 12 september 2002 21:20

deze bug is wel al langer gekend, maar MS heeft gewoon gewacht met het uitbrengen van de info, hoewel hij al enkele maanden te vinden is op de vele security sites

WimB @PhOneman • 12 september 2002 21:59

Ze hadden dan wel even mogen wachten totdat SP1 ook in het NL beschikbaar is. Want ik ben momenteel nog onbeschermd.

freaky @PhOneman • 13 september 2002 08:48

Ik denk dat het niet slim is om tegen te houden, maar ok heb geen zin in flames dus laten we het hierbij houden. Als je d'r meer over wilt weten waarom wel/niet een paar maanden geleden hele discussie over geweest op security-basics (@securityfocus.com).

Anyways:

Microsoft heeft besloten dit lek stil te houden tot na het uitbrengen van SP1.

Dat hoeven ze niet te besluiten. Het is company policy.....

Ze hadden dan wel even mogen wachten totdat SP1 ook in het NL beschikbaar is. Want ik ben momenteel nog onbeschermd.

En jij bent in de illusie dat de mensen die dit soort dingen gebruiken het niet weten omdat MS z'n mond d'r over dicht houd? Haha, het enige wat ze bereiken is dat jij en vele anderen die graag beschermd zijn het niet weten. Zij die het willen gebruiken wisten het allang.

Anoniem: 51493 @freaky • 13 september 2002 10:53

Dat hoeven ze niet te besluiten. Het is company policy.....

Hoe lang was deze bug dan al bekend?

En jij bent in de illusie dat de mensen die dit soort dingen gebruiken het niet weten omdat MS z'n mond d'r over dicht houd? Haha, het enige wat ze bereiken is dat jij en vele anderen die graag beschermd zijn het niet weten. Zij die het willen gebruiken wisten het allang.

En jij hebt de illusie dat elkebugdie gevonden wordt van tevoren al lang en breed door elke cracker gevonden was, van welke geen enkele het gemeld had, en dit dus 0day was? Kommop zeg...

Makkelijk @PhOneman • 12 september 2002 21:32

Deze strategie past microsoft al een tijd om een anderereden toe... ze hopen dat als ze het zo stil mogelijk houden het niet teveel wordt gebruikt. Voor oem's is het niet echt een probleem het servicepack te gebruiken dus dan kunnen ze nu wel de lekken vertellen

Bosmonster @PhOneman • 13 september 2002 09:32

Sinds wanneer moet je XP officieel aanschaffen voor de SP?

Ik bedoel.. als je het zo zegt draaide je al een illegale versie van XP.. dan moet de SP-hack je ook niet ontgaan zijn..

Anoniem: 61716 @PhOneman • 13 september 2002 13:10

Bovenstaande link werkt NIET meer. Iemand een andere!

Anoniem: 14842 @PhOneman • 12 september 2002 22:17

Nou, ik denk niet dat ze het zo lang geheim hebben gehouden zodat de mensen de SP1 aan moeten schaffen en daarvoor een officiële key nodig zijn.

Ik denk dat MS weer eens niet zo'n haast had met het maken/vrijgeven van de oplossing en dach "och, dat kan nog wel even wachten tot de 1e SP...".

Immers de mensen die XP illegaal hebben zullen wel al allemaal een "legale" key hebben.

Toch handig die generatortjes, die wekken bijvoorbeeld niet alleen stroom op voor je pc, maar ook de sleutels

bamboe @Anoniem: 14842 • 13 september 2002 11:44

ach ja, wat moet je hierop zeggen,..
ik blijf er bij dat m$ volledig in hun recht staan als ze
hun software beveiligen tegen illigale coppieen.
Dus we moeten niet zeuren over dit soort dingen.
als jij in hun plaats stond had je het zelfde gedaan.

Anoniem: 58763 @PhOneman • 13 september 2002 10:50

hallo er staan boven 4 andere manieren om deze bug te fixen!, doe toch normaal man

Boss

12 september 2002 21:50

De waarheid over deze bug:

Microsoft kon al lang van te voren op z'n vingers natellen dat de Activation die in CP gebruikt wordt ooit een keer gekraakt zou worden. Het wachten was alleen maar op de gebruikte methodes. Die zijn inmiddels allemaal wel bekend bij Microsoft. In SP1 worden al de methoden om een illegale XP te gebruiken onklaar gemaakt.

Hierdoor is het voor een heleboel mensen niet mogelijk om SP1 te installeren, omdat ze een illegale versie gebruiken. Bovendien hebben de OEM's al aangegeven SP1 niet mee te installeren, omdat het weinig oplost.

Wat doet Microsoft nu? Precies. Stop er bij de eerste release een bug in, die in princiepe niemand zal tegenkomen en waar niemand last van heeft. Dan breng je SP1 uit, en breng je het nieuws naar buiten van een 'ernstige beveiligingsfout'. Alle nieuwssites nemen dit bericht klakkeloos over en iedereen zal SP1 downloaden. Ben je meteen van al die illegale kopiën af.

Da's mijn theorie

Not Pingu @Boss • 12 september 2002 22:07

er kloppen helaas 3 dingen niet aan jouw redenering:

In SP1 worden al de methoden om een illegale XP te gebruiken onklaar gemaakt.

1. Als Microsoft niet kon garanderen dat de activatie van XP waterdicht was, hoe kunnen ze dan garanderen dat de activatie van SP1 dat wel is?

Bovendien hebben de OEM's al aangegeven SP1 niet mee te installeren, omdat het weinig oplost.

2. Microsoft kon een jaar vantevoren niet weten dat er zo weinig belangstelling zou zijn voor SP1. Dit zal dus waarschijnlijk geen factor zijn geweest in de vermoedde beslissing om XP moedwillig een lek mee te geven.

3. Een theorie hoor IMO je niet te beginnen met: 'Dit is de waarheid'.

Anoniem: 1197 @Not Pingu • 12 september 2002 22:28

3. Een theorie hoor IMO je niet te beginnen met: 'Dit is de waarheid'.

precies, dat mag alleen Marco Borsato!

Anoniem: 64587 12 september 2002 23:06

Ik heb op meerdere nieuwssites hierover gelezen en de implicaties zijn iets zwaarder dan je op het eerste gezicht zou vermoeden:

1) Het Help en Support Center-principe schijnt (geen ervaring mee) oorspronkelijk uit Windows Millennium te stammen. Als dat zo is lijkt de software mij oud genoeg om dit soort serieuze bugs door een security bedrijf (bv XDegrees

) eruit te filteren.
Bovendien blijf ik erop hameren dat ik als klant de mogelijkheid zou moeten hebben om dit soort "features" niet te hoeven installeren <Period>. In Office kan ik voor een typical, complete en custom install kiezen, waarom bij Windows dan niet?
2) Door SP1 te installeren na acceptatie van de EULA geef je Microsoft rootrechten op je box. Ik weet het, niemand leest die dingen, maar je bent de lul / je privacy kwijt voor je het weet. Ze mogen je box dan updaten wanneer en hoe ze willen, en de info daarover zetten ze (misschien) op "een website".

Dus niet komen mekkeren als MS een 'update' plaats om al je MP3s te catalogiseren en vervolgens in een grote database aan de platenmaatschappijen aanbiedt onder het mom van "wij hebben een standaard die rechten beter beschermt".

Just my two cents (te laat om nog een derde argument te verzinnen

)

BurningSheep @Anoniem: 64587 • 12 september 2002 23:20

2) Door SP1 te installeren na acceptatie van de EULA geef je Microsoft rootrechten op je box. Ik weet het, niemand leest die dingen, maar je bent de lul / je privacy kwijt voor je het weet. Ze mogen je box dan updaten wanneer en hoe ze willen, en de info daarover zetten ze (misschien) op "een website".

Dat lijkt me eerlijk gezegd wel erg sterk en is waarschijnlijk ook nog eens in strijd met de wet. Ik ben geen expert op het gebied van recht, maar op het moment zijn die EULA's een soort afschrikmiddel waarin bedrijven de meest bizarre eisen stellen die door geen hond gelezen wordt. Volgens mij houd zoiets echt nooit steek in een rechtzaak.

Anoniem: 64587 @BurningSheep • 12 september 2002 23:35

Oops, when you're right, you're right.

Gisteravond iets te lang doorgesurfd en in de brei twee dingen aan elkaar verbonden

:
1) Bij het downloaden van de aparte security patch voor Windows Media Player geef je Billy Boy rootrechten (zie ook http://www.theregister.co.uk/content/4/25956.html)
2) Na het installeren van SP1 op XP (en SP3 op Win2K) heb je alleen maar WIndows Update automatisch aangezet. Sterker nog, je geeft Bill toestemming om het aan te zetten als jij het hebt uitgezet! Now ain't that sweet.... (zie ook http://www.theregister.co.uk/content/4/26517.html)

"You acknowledge and agree that Microsoft may automatically check the version of the OS Product and/or its components that you are utilizing and may provide upgrades or fixes to the OS Product that will be automatically downloaded to your computer,"

Anoniem: 63091 @BurningSheep • 13 september 2002 02:51

maar het feit dat zo'n eisen in de EULA staan geeft wel impliciet de richting aan waar MS in de toekomst heen wil...

-Dr. D.

Whieee Moderator Apple Talk @Anoniem: 64587 • 12 september 2002 23:34

euhm... je 2e argument klopt niet helemaal.

Je geeft na acceptatie van die EULA idd Microsoft rootrechten op je bak; MAAR ook daar kun je vrij easy onderuit komen.

Microsoft gebruikt (volgens mij - correct me if I'm wrong!) namelijk de support-account die in winxp zit ingebakken (de account: SUPPORT_<code&gt

. Deze account is echter niet zichtbaar in de usermanager van het configuratiescherm. Echter, herinnert iemand zich de lusrmgr console uit Windows 2000 Pro nog?

In die usermanager-console is die account wel zichtbaar. En dus ook te verwijderen / uit te schakelen!!!

Dus:
allemaal die support-account uitschakelen!!!

PS: volgens mij verlies je dan wel de "Hulp op Afstand" functie (Remote Assistant) van Winxp.

my E0.02

Anoniem: 64587 @Whieee • 12 september 2002 23:51

Potdomme mien jong, ge het g'lijk! Tenminste, bijna. In mijn XP Professional is het Support account gewoon zichtbaar onder de lokale gebruikers en groepen (en stond bij mij al keihard uitgeschakeld; moet een helder moment tijdens de installatie zijn geweest

). Hoe dat met XP Home dan zit weet ik niet precies....

Overigens wil mijn Remote Assistant nog steeds vrolijk hardware verzamelen, dus die heeft van het uitgeschakelde account niet veel last gehad

.

Hmmm, come to think of it, het Support account voor de jongens uit Redmond staat onder lokale gebruikers en groepen.... Betekent dat dat wij allemaal ongewild deel uitmaken van het MS-netwerk? AAAAAAAAARGH.

Anoniem: 51493 @Anoniem: 64587 • 13 september 2002 14:59

Zoals jij al zegt idd. Kan ook op deze manier:

Administrative Tools -> Computer Management -> Local users and groups -> Users -> Guest uitzetten en Support_nummer uitzetten en -> Groups -> Kun je ooknog even rondkijken.

Remote desktop kan best handig zijn, staat bij mij ook uit. Zelf gebruik ik namelijk VNC.

Note: Check de Full name van je Support_nummer eens, da's een LDAP entry! Wel grappig vond ik.. maar,daarachter staat ook de bedoeling van het account: om te helpen dus. Dan zeg ik: vertrouw MS of kies een non-MS product!

Potdomme mien jong, ge het g'lijk!

Lolz

Ruuddie @Whieee • 13 september 2002 07:40

Misschien best een domme vraag (tja, ik ben ook nog lang niet volleerd

), maar hoe voer je die lusrmgr uit? Niet vanuit uitvoeren iig...

doubleduh 12 september 2002 23:04

is dit echt een lek in WinXP of werkt het alleen in combinatie met IE?

Anoniem: 64587 @doubleduh • 13 september 2002 00:47

Het heeft ActiveX nodig, dus volgens mij alleen in combinatie met IE

Liam 13 september 2002 00:09

Het lijkt me ook dat het geen stand houdt.

Zo gauw als MS op jou HDD aan het turen is en er achterkomt dat jij een grote collectie mp3 hebt, zijn ze een beetje strafbaar. Je schendt namelijk de privacy van andere mensen. Het probleem zit hem er natuurlijk in dat je moet gaan bewijzen dat het MS was die dat aan het doen was, en je moet het doorhebben, onderscheppen etc. etc.
Maar als ik bij mijn broertje zijn email ga bekijken ben ik volgens mij wel strafbaar. Als ik zijn temp dir van IE ofzo ga doorkijken ben ik volgens mij ook strafbaar.

Ik dacht zelfs dat het zo was dat er twee jaar geleden een rechtszaak is geweest tussen een man en een bedrijf. De betreffende man had het een en ander aan foute p0rn op zijn PC staan, in z'n tempdir. Het bedrijf wat zijn PC repareerde heeft dat gezien en de politie gewaarschuwd. Volgens mij hebben ze de zaak verloren op twee punten:
1) je mag niet zomaar op iemand anders zijn PC gaan lopen zoeken.
2) de man in kwestie zei dat hij via links ineens op de pagina in kwestie was gekomen, zonder dat dat zijn bedoeling was.

Dan ben je natuurlijk snel uitgelult.
Kortom: Volgens mij mag het niet zomaar om allemaal informatie te bekijken en op te slaan over andere mensen zonder dat ze daar weet van hebben.

Anoniem: 64587 @Liam • 13 september 2002 00:44

[Off-topic]
Strafbaar of niet is voor mij niet direct een issue. In een wereld waarin monopolisten met alles weg kunnen komen (lees: zich niet aan de wet hoeven houden) voel ik me niet direct geroepen om roomser dan de paus te zijn (lees: me wel aan de wet te houden). Wat niet wegneemt dat ik blij was met m'n legale XP Pro op m'n nieuwe bak

Maar naast het juridische en morele gelijk hebben we ook nog de ethische discussie en vindt mij maar paranoïde als ik langzamerhand het scenario zie opdoemen waarin MS de BSA een opsporingsapparaat in handen geeft. Natuurlijk, ze mogen illegale software niet herleiden naar aparte compu's, maar wel samenvatten in statistieken (x% illegale MS Office, y% illegale Adobe Photoshop). En dan wil ik weten wie MS heeft benoemt tot "judge & jury" en wie hen in die hoedanigheid uiteindelijk nog controleert.

Dit is een uitbreiding van monopolie-mogelijkheden, zoals elk marketingbedrijf die gebruikt. Stuur iemand een enquête en je weet in welke auto hij rijdt, waar-ie boodschappen doet, welke software hij gebruikt.... Uiterst interessante informatie voor softwarehuizen, en zo op te halen bij gebruikers van XPSP1 of W2KSP3. En let's face it, MS is in de eerste plaats een marketing bedrijf, in de tweede plaats een marketing bedrijf, in de derde plaats een marketing bedrijf.... Software, kan je dat eten

[/Off-topic]

En nu, lieve kijkbuiskinderen, oogjes dicht en snaveltjes toe

Markuzi 12 september 2002 22:02

Tja: http://www.tweakers.net/meuktracker/2648

Ruuddie 12 september 2002 22:38

Hmm, heb het net geprobeerd, door c:\test\ aan te maken, met daarin een leeg test.txt.
Toen hcp://system/DFS/uplddrvinfo.htm?file://c:\test\* uitgevoerd, en ja hoor, c:\test was leeg

Direct ff die patch geinstalleerd! Ik vind dit echt té leip worden hoor. 't Is dat me XP nu lekker draait, anders zou ik 'm er direct vanaf hebben gegooid! Zo'n gevaarlijk lek is gewoon niet normaal!!
Nu na het installeren van die patch, krijg ik trouwens het volgende te zien als ik naar die link ga: www.brunssum.net/~strypbam/xp_bug_safe.jpg

Anoniem: 51493 13 september 2002 11:00

Hint van de dag: Surf/IRC/ICQ/MSN etc. niet als Administrator. Het werkt nl. ookgewoon goed als user zijnde. Dit beperkt de schade, ook in dit geval. Onder Linux/*NIX hoort dat ook niet. Onder Windows ook niet. En wat dat betreft valt er vrees ik idd iets te zeggen over de sysadmins van Windows bakken vs. die van Linux/*NIX bakken...

Op dit item kan niet meer gereageerd worden.

Ernstig lek in Windows XP zonder SP1

Lees meer

Reacties (90)

Sorteer op:

Weergave: