Tijdelijke oplossing voor lek in Internet Explorer

Het CERT heeft eerder deze week gewaarschuwd voor een kritieke fout in Internet Explorer. Als feature voor HTML Help ondersteunt de browser ITS-links, waarmee het mogelijk is om een alternatieve lokatie op te geven voor het geval de eerste niet beschikbaar is. De fout die Internet Explorer maakt is dat aangenomen wordt dat de alternatieve link zich in dezelfde beveiligszone bevindt als de primaire. Door expres naar een niet-bestaand bestand op C:\ te verwijzen en als alternatief een pagina ergens op internet op te geven, zal die internetpagina dus worden behandeld alsof deze zich in de Local Machine-beveiligingsring bevindt. Scripts of ActiveX-componenten die op de pagina draaien krijgen op die manier evenveel rechten als de gebruiker van de browser. Alle versies van IE sinds 5.01 zijn kwetsbaar, op alle versies van Windows van 95 tot Server 2003.

Internet Explorer logo Er zijn al verschillende virussen verschenen (Ibiza, BloodHound, BugBear.E) die misbruik maken van de fout, maar Microsoft heeft vooralsnog geen patch beschikbaar gesteld om het lek te dichten, en er is op dit moment dan ook nog geen echte oplossing voor. Het CERT raadt iedereen aan om geen verdachte links te volgen, anti-virussoftware scherp te houden of een andere browser te gebruiken. Tweakers.net-bezoeker MandersOnline stuurde ons een hulpmiddel voor de laatste tijdelijke oplossing; het aanpassen van het register om het afhandelen van ITS-links uit te schakelen. Het RAR-bestand bevat zowel een .reg met de oplossing als een .reg om de aanpassing ongedaan te maken, voor het geval er problemen ontstaan door het ontbreken van deze functionaliteit in IE. Op deze site kan getest worden op kwetsbaarheid. Wanneer doorgeklinkt wordt naar "proceed to demo" zal op systemen die last hebben van de bug Windows Media Player worden opgestart.

Door Wouter Tinus

Feedback • 10-04-2004 13:08
76 • submitter: MandersOnline

10-04-2004 • 13:08

76

Submitter: MandersOnline

Bron: CERT

Lees meer

Nieuwe kwetsbaarheden ontdekt in internetbrowsers
Nieuwe kwetsbaarheden ontdekt in internetbrowsers Nieuws van 22 oktober 2004
Vijf nieuwe kritieke updates voor Windows
Vijf nieuwe kritieke updates voor Windows Nieuws van 14 juli 2004
Microsoft past mogelijkheden ActiveX-object aan
Microsoft past mogelijkheden ActiveX-object aan Nieuws van 3 juli 2004
Microsoft gaat IE-ontwikkeling nieuw leven inblazen
Microsoft gaat IE-ontwikkeling nieuw leven inblazen Nieuws van 21 juni 2004
Zafi.b bezig aan een opmars
Zafi.b bezig aan een opmars Nieuws van 14 juni 2004
Lekken in Internet Explorer 'extreem kritiek' bestempeld
Lekken in Internet Explorer 'extreem kritiek' bestempeld Nieuws van 10 juni 2004
Lek in Internet Explorer oorzaak van e-mailhacks bij Chello
Lek in Internet Explorer oorzaak van e-mailhacks bij Chello Nieuws van 9 juni 2004
Microsoft-update zorgt voor blokkering inlogfunctie
Microsoft-update zorgt voor blokkering inlogfunctie Nieuws van 29 april 2004
'Ernstig lek' in Windows en Internet Explorer
'Ernstig lek' in Windows en Internet Explorer Nieuws van 27 april 2004
Microsoft brengt vier nieuwe beveiligingspatches uit
Microsoft brengt vier nieuwe beveiligingspatches uit Nieuws van 15 april 2004
Steeds grotere bezorgdheid over browserveiligheid
Steeds grotere bezorgdheid over browserveiligheid Nieuws van 13 april 2004
Microsoft verstuurt gratis Windows Security Update CD
Microsoft verstuurt gratis Windows Security Update CD Nieuws van 18 februari 2004
Kritiek op passwordprotectie Microsoft Office-documenten
Kritiek op passwordprotectie Microsoft Office-documenten Nieuws van 8 januari 2004
Open source-bedrijf brengt patch uit voor Internet Explorer
Open source-bedrijf brengt patch uit voor Internet Explorer Nieuws van 19 december 2003
Vervalste url's mogelijk met Internet Explorer
Vervalste url's mogelijk met Internet Explorer Nieuws van 10 december 2003
Opnieuw veiligheidsgaten in Internet Explorer ontdekt
Opnieuw veiligheidsgaten in Internet Explorer ontdekt Nieuws van 27 november 2003
Microsoft zoekt beta-testers voor Windows XP SP2
Microsoft zoekt beta-testers voor Windows XP SP2 Nieuws van 23 november 2003
Surfers kunnen kwaadwillige webaanvallen verwachten
Surfers kunnen kwaadwillige webaanvallen verwachten Nieuws van 10 november 2003
Bill Gates schrijft over Palladium en beveiliging
Bill Gates schrijft over Palladium en beveiliging Nieuws van 24 januari 2003
Meer producten en artikelen
Bedrijfsnieuws

Reacties (76)

-Moderatie-faq
76
73
47
15
5
0
Wijzig sortering
Superstudent 10 april 2004 13:18
Hehe grappig, ik heb ook een fix gevonden :).
Als je Getright hebt geinstalleerd onderschept deze exploit.exe :P. Dus ipv dat ie uitgevoerd wordt, krijg je een downloadscherm van Getright, en daarna een script error in IE.
Anoniem: 55140 10 april 2004 14:04
Eerste spotting van malware die gebruik maakte hiervan ITW: 27 maart.

Bloodhound is geen virus, maar een heuristics detection van NAV voor(in dit geval)een bepaalde soort exploit.
BugBear.E is door zo goed als alle vendors gerenamed naar BugBear.C.

De demo is _erg_ misleidend..
De demo gebruikt JS, wat lang niet in alle gevallen gebruikt wordt, de JS gevallen zijn zelfs in de minderheid.
Mensen die hun JS settings aangepast hebben in IE, kunnen nu dus denken dat ze hiervoor veilig zijn, terwijl dat dus zeker niet het geval is.

Ditzelfde geldt voor de mensen die SP2 beta draaien..
Dit staat ook compleet los van (Sun) Java.

Mensen die regelmatig in BV kijken op GoT, weten dat er al een hele zwik IRC-Worms gebruik heeft gemaakt van deze vulnerability...

Dit is waarschijnlijk de meest gebruikte exploit atm.
star-saber 10 april 2004 13:30
ik heb ie en bij mij word er ook niets gestart.
misschien komt het omdat ik sp2 beta draai
Bosmonster @star-saber10 april 2004 15:50
Ik draai geen SP2 beta en ik zie alleen maar scriptfouten voorbij komen.. er wordt niks gestart..

XP/SP1 met alle patches
eamelink 10 april 2004 13:34
Okee, als er in het rood bijstaat dat je eerst mediaplayer moet backuppen, kan je dat het beste ook doen :+

Mijne was weg :Y)
RèLF @eamelink10 april 2004 13:49
Dat weet ik nu ook jah :+
Priet @RèLF10 april 2004 18:17
Dan maar systeemherstel weer eens gebruiken :'(
RSpliet @eamelink10 april 2004 19:03
Moeten ze die exploit op de eu-site plaatsen, is t probleem ook weer opgelost :+
Anoniem: 94640 10 april 2004 13:12
Oplossing van Microsoft: niet meer op links klikken :+
de Rochebrune 10 april 2004 13:13
Er staat een foutje in de link:

http://crew.tweakers.net/Mirror/ie-fix.rar/

moet zijn:
http://crew.tweakers.net/Mirror/ie-fix.rar
Anoniem: 42323 10 april 2004 13:27
Lol, Iedereen zit wel vol te houden dat alternative browsers niet veilig zijn, maar bij mij met Firefox werkt het toch echt niet, ik heb het net getest, er word helemaal niks gestart, en niks vervangen ik krijg gewoon een wit scherm.

Net nog ff getest met IE6, daarmee word windows media player wel gestart, ben ik blij dat ik Firefox gebruik. :P

[edit]
Zou goed kunnen, maar als er een Mozilla/Firefox variant komt, hoe groot is de kans dan dat je een IE6 of een Firefox variant tegen komt?
Denk dat de kans op de IE6 variant 100x groter is, en laat je daar dan nou net beschermt tegen zijn als je Firefox gebruikt.
alt-92 @Anoniem: 4232310 april 2004 13:31
niet bij deze proof-of-concept.
Maar je kan er rustig vanuit gaan dat je een variant krijgt die dat wel doet.
LeNNy 10 april 2004 13:31
Het lijkt erop dat de bug is verholpen in Sp2 voor XP. Net ff die site bezocht en er wordt geen media player opgestart.

Blijkbaar is er dus wel een bugfix, maar da's dus een release candidate (xp sp2).

Edit:
Laat star-saber me net een minuutje voor zijn :-)
/Edit
GekkeR 10 april 2004 13:52
Ik heb er zelf nooit last van gehad , kan het komen omdat ik Sun Java draai ?

Er moet iets geinstalleerd zijn dat het tegenhoudt , maar ik ben er nog niet 100% achter wat :)

(krijg ook zoals Superstudent een script error , draai alleen geen Getright of andere download manager).

--edit

Mocht iemand een voorbeeld hebben zonder JS zou ik de link wel willen hebben :)
0rbit 10 april 2004 13:10
Permanente oplossing voor lek in Internet Explorer :

http://www.mozilla.org :P
alt-92 @0rbit10 april 2004 13:12
of je leest de write-up beter en komt erachter dat ook dat geen oplossing is aangezien je nog steeds die handlers kan aanroepen ook al gebruik je een andere browser....
Use a different web browser

There are a number of significant vulnerabilities in technologies relating to the IE domain/zone security model, the DHTML object model, MIME type determination, and ActiveX. It is possible to reduce exposure to these vulnerabilities by using a different web browser. Such a decision may, however, reduce the functionality of sites that require IE-specific features such as DHTML, VBScript, and ActiveX. Note that using a different web browser will not remove IE from a Windows system, and other programs may invoke IE, the WebBrowser ActiveX control, or the HTML rendering engine (MSHTML). It is possible for a different browser on a Windows system to invoke IE to handle ITS protocol URLs.
Q @alt-9210 april 2004 13:21
Inderdaad. Als je goed leest staat er het volgende: voor gewoon surfen is het weldegelijk een goede oplossing. Echter, sites die gebruik maken van ie-specifieke technieken zijn niet te bezoeken.

De eerste nuttige site die niet werkt in mozilla moet ik nog tegenkomen.

Het andere probleem is het feit dat sommige software ie rechtstreeks aanroept of api gebruikt(?) en dan heb je nogsteeds een probleem.

Maar voor gewoon surfen is firefox denk ik een prima bugfix

@Kris: tja, 99 van de 100x betreft het dan een niet-standaard compliant site en ligt het dus aan de site.

@Jeroen87: okee, windows update. Daar komt dan het gezond verstand om de hoek kijken: welke sites vertrouw je wel en niet? .<div class=r>[Reactie gewijzigd door [Q]]</div><!-- end -->
Brickman @Q10 april 2004 15:20
Het is niet moeilijk om een site te zoeken waar Mozilla niet werkt.

Ga maar eens naar de site van Windows Update, krijg je en leuke mededeling.
Windows Update is de on line uitbreiding van Windows die nog meer mogelijkheden binnen handbereik brengt.

Voor Windows Update is Internet Explorer 5 of hoger vereist.
MS moet ook maar eens aan comptabiliteit gaan werken
Anoniem: 56887 @Q10 april 2004 13:48
De site van mijn school werkt goed in Mozilla tot je gaat inloggen. Dan krijg je een scherm vol her en der verstrooide vensters waar niks mee aan te vangen is.
Boze mails naar de admin leveren op : "is het niet mogelijk voor die site IE te gebruiken?"
Ja zo komen we er dus niet uit.
Rafe @Q10 april 2004 21:09
MS gebruikt een ActiveX control voor Windows Update. Zo gek is het imho ook niet dat je die fout krijgt: met elke niet-IE browser zou er toch niets gebeuren op die pagina.

Je zou natuurlijk eens kunnen proberen hoever je komt met ActiveX voor Mozilla en eventueel een aangepaste useragent string.
Adm.Spock @Q10 april 2004 23:52
ff voor de duidelijkheid:

richtlijn van de RIJKSOVERHEID:

Informatie (van de rijksoverheid, provincies, gemeenten, (openbare)scholen etc.) op het internet dient toegankelijk te zijn voor iedereen.

Dit impliceert dus dat een website ook te gebruiken moet zijn voor iemand die bijvoorbeeld Konqueror (of opera/safari/mozilla) gebruikt.

Het slechte nieuws: het is een richtlijn, het is dus (helaas) niet bindend.

* 786562 Adm.Spock
musiman @Q11 april 2004 09:41
[quote]
@[Q]
Hij zei een nuttige site!

Een permanente oplossing tegen gelijk welk virus:

http://www.linux.org
[/quote]

<off-topic>
Dom, dom, dom.

Denken dat Linux virusvrij is.... TSSSSS...

Er zijn gewoon nog te weinig mensen die Linux op de desktop gebruiken om bij een Linux virus de noodklok te moeten slaan.
Wanneer Linux ipv Windows op 99% van de desktops had gedraaid, was het verhaaltje omgekeerd geweest.
</off-topic>
Superstoned @Q11 april 2004 18:55
als je *iets* meer zou weten van linux, zou je weten dat dit gewoon niet waar is.

Linux is gewoon veiliger dan windoos. en daar zijn een heleboel redenen voor, qua geschiedenis (linux = gebaseerd op unix, wat altijd multi-user is geweest, dus sowieso een hogere focus had op veiligheid als een single-user, single-program systeem als dos/windoos), qua prioriteiten (tegenwoordig ligt bij microsoft de focus ook op veiligheid, maar dat is nog maar kort, bij linux is dat altijd al een issue geweest), en qua ontwikkelingsmodel (bij microsoft worden de mensen betaald om features toe te voegen, en /gevonden/ fouten eruit te halen. bij linux bestende veel vrijwilligers hun tijd aan het *vinden* van fouten en optimalisaties, en er worden regelmatig hele stukken code herschreven omdat ze niet "mooi" genoeg zijn - iets wat bij het commerciele microsoft natuurlijk never gebeurt - vandaar dat ze nu internet explorer van de grond af aan opnieuw moeten gaan maken...).

en dan heb je nog de diversiteit (die bij linux gewoon veel groter is als bij windoos, door de vele aanbieders, en vele forks van bestaande code, die bij windoos nooit zouden kunnen gebeuren omdat die code simpelweg proprietary is)

moraal: inbreken zal altijd kunnen, of je nu linux of windoos gebruikt, maar die virussen zijn echt te wijten aan fundamentele blunders bij de bouw van windoos, en als iedereen linux gebruikte zouden virussen nooit zover gekomen zijn als nu.
Superstoned @Q11 april 2004 18:58
indeed. ik heb net op het systeem van mijn vader firefox gezet. ik heb geen administrator rechten, en het bedrijf waar hij werkt heeft gezorgd (zo goed als mogelijk is, kennelijk) om het systeem zo te maken dat er nix te vernielen valt. niet gelukt, dus - als dat met windoos uberhaupt kan: ik zou zo de hele map program files kunnen verwijderen. ongelofelijk. en een of ander virus of wat dan ook zorgt steeds weer det de homepage van inet exploder een of andere pron site is, dus vandaar dat pappie een andere browser krijgt... en die kan ik gewoon installeren door niet de setup te nemen, maar het zip bestand uit te pakken in program files!!! hoe is het in godsnaam mogelijk - dat zou je in linux dus echt niet voor elkaar krijgen, he, in systeem mappen gaan klooien als gewone user!!! schaam je, microsoft!
Anoniem: 98237 @Q11 april 2004 21:09
Als je er niks van weet, moet je je mond houden. Ik raad iedereen aan dit artikel te lezen: www.theregister.co.uk/2003/10/06/linux_vs_windows_viruses/
Cyberdeck @Q11 april 2004 22:20
Nee dat impliceert helemaal niet dat het beschikbaar moet zijn voor die andere browsers. Het impliceert wel dat de gebruiker in ieder geval EEN manier heeft om er bij te komen. En dat is mogelijk, met IE.

Voor iedereen betekent niet voor iedere browser. Het betekent dat mensen met handicaps en allerlei andere verschillende gebruikers de informatie moeten kunnen verkrijgen.

Oh en Jeroen_91. Leuk artikel, maar wel HEEL erg makkelijk en open deuren. Ze spreken zichzelf tegen in dat artikel. Eerst zeggen ze dat als Linux veel meer gebruikt zou worden door de "gewone" gebruiker dit niet virussen zou opleveren. Later in het document halen ze juist aan dat Windows gebruikers bijna allemaal met Outlook of Outlook Express werken en daardoor erg kwetsbaar zijn. Dat zou in Linux wereld ook kunnen gebeuren, waarmee ze zichzelf op meerdere maniere tegenspreken. Ok Er zit zeker waarheid in het verhaal, maar ze gaan ook wel erg makkelijk voorbij aan een aantal zaken en zijn wel HEEL erg Pro linux.
blackd @Q12 april 2004 11:31
@cyberdeck:
Nee dat impliceert helemaal niet dat het beschikbaar moet zijn voor die andere browsers. Het impliceert wel dat de gebruiker in ieder geval EEN manier heeft om er bij te komen. En dat is mogelijk, met IE.
En wat nou als IE niet beschikbaar is voor jouw platform? (Linux, FreeBSD, etc)
Dus als het zou gaan om een IE only site, dan zou het niet in alle gevallen beschikbaar zijn.
thegve @Q10 april 2004 14:30
Sinds de Rabobank VORIGE MAAND zijn telebankieren Mozilla compatible heeft gemaakt ben ik het met je eens......
Confusion @Q10 april 2004 14:44
Ehmmm thegve, ik telebankier al twee jaar met Mozilla bij de Rabobank :?.
gomaster @Q10 april 2004 17:13
Maar dat is natuurlijk logisch ;) Zij willen dat je ie gebruikt. En btw gebruikt windowsupdate allerlei meuk om in je systeem te kijken wat gelukkig niet met moz kan :)
Verwijderd @Q11 april 2004 11:44
Tsssssssssssssss, het is zeer dom om te denken dat de Linux desktop dezelfde naieviteit heeft als de Windows desktop.

Linux is zowiezo anders op gebouwd, hierbij heeft een gebruiker standaard uit de installatie alleen rechten in zijn gebruikersomgeving (/home/gebruiker) en niet over het hele systeem.

Tevens als je als randdebiel een gebruiker aanmaakt zal die geen "administrator" rechten krijgen, dit in tegenstelling tot wat ik in mijn omgeving zie, 4 administrators voor 4 gebruikers.

Het gaat om de opbouw van het OS om dit zowiezo te verminderen en/of te ontmoedigen.

Executeerd iemand dan toch de "virus": als administrator", dan ligt het aan de gebruiker, niet aan het OS !!!!
crisp Senior Developer @alt-9210 april 2004 13:55
...IE-specific feautures such as DHTML, ...
Sinds wanneer is DHTML een specifieke IE-feature? De laatste keer dat ik checkte kon Mozilla prima overweg met HTML, CSS en javascript - zelfs nog beter dan IE ;)
Dat er inderdaad nog idioten rondlopen die scripten met het document.all model zegt meer iets over gebrek aan kennis dan over de DHTML-mogelijkheden van andere browsers.
nero355 @crisp10 april 2004 16:11
Crisp : De Verdediger van DHTML :+ :Y)
Brickman @crisp10 april 2004 18:20
xHTML is zeker van Mozilla dan :P

IE verkloot elke wc3 correcte site maar dan hebben we het nog niet over het PNG(opvolger van gif) verhaal gehad.
Dat werkt al helemaal niet fatsoenlijk onder IE(transparantie dan he).
Verwijderd @alt-9210 april 2004 13:24
It is possible to reduce exposure to these vulnerabilities by using a different web browser.
Mozilla gebruiken is dus in ieder geval beter dan IE blijven gebruiken, maar helemaal veilig is het niet.
Note that using a different web browser will not remove IE from a Windows system,
Het heeft te maken met dat IE toch op het windows systeem staat. De oplossing is dus IE volledig van je systeem te verwijderen.

Gelukkig heb ik IE niet op mijn systeem.

* 786562 Flipz
Jit @0rbit10 april 2004 13:53
Helaas helpt dat in dit specifieke geval geen ene moer. Het gaat in dit geval om het help-systeem in Windows en ook als je een andere browser als default instelt, zul je IE blijven krijgen als je in een app de help-functie gebruikt. Dat kun je niet omzeilen, met dank aan de diepe integratie van IE in Windows.
Anoniem: 41164 @0rbit13 april 2004 10:21
Permanente oplossing voor lek in Internet Explorer :
http://www.mozilla.org
Zorg dan ook dat je firewall MsIE voor alle protocollen en adressen blokeert.

Deze "kritieke fout" lijkt verdomd veel op een probleem dat dat reeds in MsIE 4.0 zat!

Met een foute URL wordt shdoclc.dll op lokaal nivo aangesproken en vervolgens met deze lage beveiliging krijg je een druiper.

res://C:\WINNT\system32\shdoclc.dll/pagerror.gif of res://mshtml.dll/repost.htm
-=bas=- @0rbit10 april 2004 17:56
[sukkel-mode]
Ik verbaasde me als dat de test bij mij niet werkte |:( :+
Even vergeten dat ik altijd met Mozilla werk.
[/sukkel-mode]
Het is nog vroeg vandaag. :P
dasiro @0rbit10 april 2004 20:19
en als je batterij van de wagen plat is ga je ook een andere kopen, omdat er momenteel geen in voorraad zijn in de garage ?

ik snap niet dat mensen hier een inzichtvol voor durven geven

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq