Lek in Internet Explorer oorzaak van e-mailhacks bij Chello

Met een volledig gepatchte versie van Internet Explorer blijft de browser kwetsbaar voor kwaadaardige code op internetpagina's, zo laat Webwereld weten. De beveiliging van de browser is te omzeilen door bepaalde Javascript-code te gebruiken, die bijvoorbeeld via een link geactiveerd kan worden. Het lek is ook de oorzaak van de e-mailhacks bij provider Chello waar Webwereld eerder over berichtte. Op die manier krijgt een hacker volledige toegang tot de pc van het slachtoffer. Een hacker kan de browser ook via webmail misbruiken: simpelweg een mailtje in iemand's inbox met daarin de 'foute' code dat door het slachtoffer wordt aangeklikt, en de hacker heeft toegang tot alle mail en de pc van die persoon.

Internet Explorer logo Een directe oplossing is het uitschakelen van ActiveX en Javascript in de browser, maar daarmee wordt de functionaliteit van veel websites ook teniet gedaan. De Nederlandse researcher Jelmer kwam met het nieuws over de kwetsbaarheid in Internet Explorer naar buiten, en waarschuwde direct een aantal providers. Door Jelmer wordt dan ook geadviseerd een andere browser te gebruiken zoals Mozilla of Opera, ook omdat er nog geen patch voor Internet Explorer beschikbaar is.

IT-banen

Reacties (82)

Roberg 9 juni 2004 23:27

Het bericht is niet waar. Ik weet niet wie de bron is bij tweakers bij dit bericht, maar als dat chello is dan jokken ze daar een beetje.

Ik ken degene die het gat in de webmail van chello gevonden heeft (samen met een collega van hem). Hijzelf maakte me nu net via icq attent op dit nieuwsbericht.

Toen hij het aan de grote klok hing dat er iets mis wat met de chello mail, stuurde chello opeens oom agent achter hem aan. Ik treed nu namens hem op als woordvoerder..

Het gat in chello webmail is NIET het gat in internet explorer. Er was ook geen sprake van een hack. Er is alleen maar aangetoond dat de mail niet veilig was. Er is dus geen misbruik gemaakt!

- edit -

update: omdat er nog wat onduidelijkheid bestaat. de exploit van chello webmail werkte in principe ook in mozilla. dus ook de firefox die ik gebruik. de zaken staan compleet los van elkaar.

MetalStef

@Roberg • 10 juni 2004 09:27

Beetje wollig verhaal van je, maar ik begrijp er het volgende uit:
- Aan IE mankeert niets (nou ja, in elk geval geen nieuw lek)
- Jou vriend heeft een lek in de Chello servers ontdekt
- Chello probeert nu jouw vriend het zwijgen op te leggen en schuift ondertussen de schuld af op IE

Dat is een heel boude uitspraak. Het zou wel verklaren waarom het alleen over Chello-mail gaat en niet over HTML-mail van andere providers.
Ik zou hier graag wat meer duidelijkheid over hebben.

Proxy @Roberg • 11 juni 2004 17:30

Geef maar eens een link naar de bron.

Verwijderd @Roberg • 10 juni 2004 13:15

Tweakers heeft het in zoverre mis dat het om twee fouten gaat:
Eentje in webmail van Chello (die is opgelost) en eentje in IE. Door de fout in chello webmail had je kennelijk heel eenvoudig de exploit van IE kunnen misbruiken.

Maar de IE fout is dus echt wel heel ernstig, net nog wat getest en hij is echt levensgevaarlijk. Je kan daadwerkelijk willekeurige programma's naar de gebruiker sturen en laten opstarten zonder dat de virusscanner het merkt.

Als je het zelf wil proberen kan je alles vinden op: http://62.131.86.111/analysis.htm. Vergeet niet de JS te encrypten met screnc, te downloaden bij MS.

ToAoM 9 juni 2004 22:45

De oplossing is erg simpel aangezien de bug in de volgende pagina van iexplore.chm zit:

ms-its:C:\WINDOWS\Help\iexplore.chm::/iegetsrt.htm

Je moet gewoon die file even renamen, hoe vaak kijk jij namelijk in de IE help (als dat net zo vaak is als ik, dan kan je 'm zelfs rustig verwijderen)

ren C:\WINDOWS\Help\iexplore.chm _iexplore.chm

PowerFlower @ToAoM • 10 juni 2004 12:03

This file is located on the users harddisk, Web pages accessed from the local computer are placed in the Local Machine zone, where they have the fewest security restrictions. since local content is considered to be secure. However a lot of recent exploits have taken advantage of the Local Machine zone to elevate their privileges and compromise a computer. So by now we can see where this is heading, it's the same modus operandi we've seen over and over in the past months, it goes something like this

Find an cross zone scripting exploit

Load a local trusted resource in an iframe

Inject javascript code in the trusted iframe using the cross zone scripting exploit to take over the computer, using the adodb.stream issue for instance

Het virus zit hem dus niet in het help bestand, maar doordat je een lokaal bestand kunt openen (wat niet zou mogen) heb je een trusted iframe (want local).

De reden dat hiervoor iexplore.chm te gebruiken is, is dat je wéét dat een PC met IE dat bestand heeft, en waarschijnlijk in dát pad, maar het zou dus ook een andere kunnen zijn.

Bron is overigens http://62.131.86.111/analysis.htm

Verwijderd @ToAoM • 9 juni 2004 23:32

een virus in een help bestand...?

bron?

kauffmann 9 juni 2004 23:08

Overigens wordt dit "virus" al wel herkend door bijvoorbeeld McAfee. Dus enige bescherming is wel mogelijk.

Verwijderd @kauffmann • 10 juni 2004 13:12

De exploit kan wel degelijk ook virusscanners omzeilen!

Inderdaad herkennen de virusscanners de exploitvoorbeelden.Maar als je de JS encodeert met een standaard MS tooltje, herkennen de virusscanners het niet meer! In ieder geval herkent Symentec hem dan niet meer, net even getest. En de oorspronkelijke trojan exploits werken dus mooi wel met encypted JS. Het zou heel goed kunnen dat je nu al zo'n exploit op je PC hebt staan, gefopt door de schijnveiligheid van IE updates en een virusscanner.

stekkel 10 juni 2004 02:40

Hehe, zo zie je maar weer hoe belangrijk het is om html mail ontzettend goed te filteren en alle javascript, dangerous tags en attributes er uit te slopen.

Vond het wel aardig dat SquirrelMail expliciet in dat webwereld bericht werd gemeld. SquirrelMail bevat namelijk een uitstekende html filter wat bovengenoemde doet. Uiteraard moet je wel versie 1.4.3a gebruiken omdat ik recentelijk nog een XSS bug gedicht heb die na een heel grondig onderzoek van de source door een extern persoon gevonden werd (zie www.rs-labs.com/adv/RS-Labs-Advisory-2004-1.txt).

Verwijderd 9 juni 2004 22:14

Javascript?
Mij hebben ze altijd gezegd dat het nadeel van javascript is dat het niet met computer resources kan werken, dus geen files wegschrijven of uitlezen, geen netwerkmogelijkheden, enz.
Dus dan moet het toch ActiveX zijn die de grote boosdoener is, waarvan al lang geweten is dat het de bron is van allerlei misbruiken.

YaPP @Verwijderd • 9 juni 2004 22:43

Mij hebben ze altijd gezegd dat het nadeel van javascript is dat het niet met computer resources kan werken, dus geen files wegschrijven of uitlezen, geen netwerkmogelijkheden, enz.

Microsoft heeft zijn eigen JavaScript; JScript, en die kan zo'n beetje alles locaal. In theorie kan er niets gebeuren, maar de praktijk laat zien dat Microsoft teveel zaken te krachtig, te uitgebreid, en te verweven ("geintegreerd") maakt.

Heck, een jaar terug heb ik een exploit uit mijn cache gevist die via CSS-markup een JavaScript code kon invoegen/uitvoeren... en deze code werkt nog steeds. (ofwel, open een nieuw dialog, waar je blijkbaar CSS-opmaak aan mee kan geven, en je kunt dus JavaScript uitvoeren op een andere host! = cookies uitlezen.)

ToAoM @YaPP • 9 juni 2004 22:48

Javascript in Mozilla kan ook vrijwel alles lokaal (de halve browser hangt aan elkaar met Javascript). Alleen is het zo dat alleen gesigneerde code en code die afkomstig is van een vertrouwde locatie (bijvoorbeeld jouw harddisk) in mozilla destructieve instructies mag uitvoeren.

Hetzelfde geldt normaliter ook voor Internet explorer, tenzij er dus dit soort bugs aan het licht komen.

crisp Senior Developer @YaPP • 9 juni 2004 23:02

javascript is slechts de "carier", de uiteindelijke bugs zitten in ActiveX, IE Jscript-extentions en de compiled help (.chm files).
Het is dus erg kortzichtig om te zeggen dat javascript de boosdoener is, javascript is vanaf design veilig, iets wat van bv ActiveX en VBScript niet gezegd kan worden.

Javascript uitschakelen lijkt me dan ook een beetje vergezocht; probleem is echter dat in IE javascript, Jscript en VBScript onder 1 noemer worden geplaatst, namelijk "Active Scripting". Een alternatieve browser is dan denk ik een betere optie, temeer daar er denk ik meer sites zijn die niet goed zonder javascript werken, dan sites die niet goed in non-IE browsers werken.

@YaPP: jij doelt op een bug in de zogenaamde 'behaviors' waarmee je inderdaad in IE (ja, ook weer enkel IE) scripting kan toekennen aan CSS selectors.

zyberteq @Verwijderd • 9 juni 2004 22:44

het gaat om javascript, niet om java.
van javascript heb je meerdere versie he, die van MS en die van de rest(mozilla) en blijkbaar heeft MS in de jjvascript parser een paar steekjes laten vallen.
niet dat ik dat zeker weet maar dat lijkt me zo maar zo, daarnaast kan ik mij zoiets vaags herinneren. Het probleem zal iig wel in de JVM van MS zitten lijkt mij.

correct me if I'm wrong

edit: te laat

crisp Senior Developer @zyberteq • 9 juni 2004 22:50

Je slaat zelf de plank al mis, een JVM is nodig om java uit te voeren, javascript behoeft geen JVM

Metal Baron 9 juni 2004 22:09

Ai ai, het zijn ook niet van de kleine lekjes. Wel aardig dat er eindelijk eens gewoon openbaar geadviseerd wordt een alternatieve browser te gebruiken.

Daneel @Metal Baron • 9 juni 2004 22:14

Openbaar + aardig? Ik heb veel liever dat dat achter de schermen opgelost werd. (Nog veel liever dat de lekjes er niet zouden zijn natuurlijk)

Door de melding openbaar te maken, is in no-time een exploit ontworpen en zitten een boel internetters met een probleem. Helaas is MS vaak erg traag met z'n patches en de uitvinder (van het lek) gooit -ongeduldig?- dan de fout op het net.

YaPP @Daneel • 9 juni 2004 22:40

Door de melding openbaar te maken, is in no-time een exploit ontworpen en zitten een boel internetters met een probleem.

...goed.. had je liever in de waan geleeft dat je wel veilig bent terwijl er al exploits in het wild zijn?

mae-t.net @YaPP • 10 juni 2004 03:02

Maar liever dat niemand het weet, dan dat iedereen het weet en dat je er toch niks aan kan doen.

Dat niemand die het kan exploiteren een lek ontdekt, is absoluut en altijd een (gevaarlijke) illusie. Als het lek algemeen bekend is, kan je maatregelen nemen, zoals (voorlopig) een alternatieve browser gebruiken.

Security through obscurity is de bij jouw redenatie behorende kreet, en het is altijd weer bewezen dat die boot zolang te water gaat tot zij zinkt, wat soms vrij snel is.

boesOne @YaPP • 10 juni 2004 00:09

Stel dat het niet bekend is en dat er geen exploits wijd verspreid zijn?

Dat is schijnveiligheid. Lek is lek. Stel dat er 1 lachende hacker is die er gebruik van gaat maken en jouw creditcard nummer jat..

Wat heb je er aan om te weten dat er een exploit is, dat deze bekend is, en dat je er geen ene moer aan kan doen (maar de virusschrijvers wel).

Je kan er vanalles aan doen. Andere browser. In ieder geval wordt MS zo gedwongen eens na te denken over hun software design. Een browser met toegang tot het hele systeem.. oftewel webpages met toegang tot het hele systeem.. waanzin !

Ik weet het, het is nooit goed. Maar liever dat niemand het weet, dan dat iedereen het weet en dat je er toch niks aan kan doen.

Ik weet liever gewoon wat er gaande is, kan ik mijn eigen conclusies trekken..

Als je een virus scanner hebt, ga je toch ook geen mailtjes, met attachments en vage titels, openen van mensen die je niet kent? Ik in ieder geval niet, maar ik kan me eigenlijk best nog wel voorstellen dat er mensen zijn die dit wel doen....

Wazige attachments openen okee. Das vragen om problemen, maar dit is gewoon een pagina bekijken en hoppa, je systeem is gecompromiteerd. Da's nog wel iets anders.

* 786562 boesOne

^Mo^ @YaPP • 9 juni 2004 22:57

Stel dat het niet bekend is en dat er geen exploits wijd verspreid zijn?

Wat heb je er aan om te weten dat er een exploit is, dat deze bekend is, en dat je er geen ene moer aan kan doen (maar de virusschrijvers wel).

Ik weet het, het is nooit goed. Maar liever dat niemand het weet, dan dat iedereen het weet en dat je er toch niks aan kan doen.

Die waan van veiligheid zal (hopelijk!) wel meevallen, onder in ieder geval de bezoekers hier. Als je een virus scanner hebt, ga je toch ook geen mailtjes, met attachments en vage titels, openen van mensen die je niet kent? Ik in ieder geval niet, maar ik kan me eigenlijk best nog wel voorstellen dat er mensen zijn die dit wel doen....

Verwijderd @YaPP • 9 juni 2004 23:23

je kan er wel wat aan doen: een andere browser gebruiken. als dit geen goeie reden is om eens Firefox te proberen weet ik t ook nie meer...

Verwijderd @YaPP • 10 juni 2004 17:41

Je kan er wel wat aan doen, zoals het artikel zelf al suggereert, een andere browser gebruiken.

Wie weet blijf je er bij 1 hangen ..

* 786562 Master-Devil

^Mo^ @Daneel • 9 juni 2004 22:22

Het probleem is dat het eigenlijk niet uitmaakt in de praktijk. Veel exploits worden ontworpen nadat er een patch beschikbaar wordt gestelt: Men neme een patch, beetje reverse engineering en je hebt een virus. Het mag geen nieuws wezen dat veel systeembeheerders, maar ook thuisgebruikers, het nalaten een patch te installeren.

Maar dit buiten beschouwing gelaten, is het inderdaad niet echt tactisch om dit soort dingen openbaar te maken als je weet dat er geen patch voor beschikbaar is.

Ik vraag me trouwens af of programma's zoals outlook (express) hier ook vatbaar voor zijn, aangezien die (neem ik aan) ook de IE engine gebruiken om html mail te tonen.

-Edit-
Jezus, het is ook niet lekker handig van die gozer om een leuke demo online neer te zetten zodat iedereen kan zien hoe je een "extreem gevaarlijk" lek zeer simpel kan uitbuiten

Verwijderd @^Mo^ • 9 juni 2004 22:40

Het mag geen nieuws wezen dat veel systeembeheerders, maar ook thuisgebruikers, het nalaten een patch te installeren.

En wat dacht je van het verplichte rebooten na veel patches ?
Mag de systeembeheerder weer tot na zessen wachten tot iedereen is uitgelogd, Start Afsluiten, Opnieuw Opstarten kiezen, 10 minuten wachten en naar huis .. dat alleen al is een reden voor veel beheerders om niet te patchen.

budi @^Mo^ • 9 juni 2004 23:07

Tsja, dan moet je maar geen systeembeheerder worden. Of je kan natuurlijk zorgen dat je van thuis uit kan werken en doe je het even onder het genot van het nuttigen van een diepvriespizza

Verwijderd @^Mo^ • 10 juni 2004 08:21

Stelletje luie varkens dan he die systeembeheerders. "Ow ow ow, ik moet langer werken dan 6 uur", de wereld vergaat. Liever eerder thuis dan ook maar enige verantwoordelijkheid voor je baan. En zulke knurften zijn verantwoordelijk voor een bedrijfsnetwerk...nou lekker dan. Zulke personen zijn hun baan niet waard.

Verwijderd @^Mo^ • 10 juni 2004 10:02

is je post ironisch bedoeld?

windows update doet alleen maar wat windows en nog een paar programmaatjes. De meeste linux distributies hebben een package manager waarmee je zo het hele systeem (alle software, van texteditor tot openoffice tot JavaVM tot webserver tot mediaplayer en tekenprogramma).

ActiveX is altijd al bekend geweest als ellendeling en alleen het feit dat mozilla enzo daar geen gebruik van maakt maakt het al veiliger.

killercow @^Mo^ • 10 juni 2004 10:16

@cyberangel

BULLSHIT,

jij gaat er van uit dat het meeste gbruikte pakket automatisch de meeste problemen met zich mee brengt.
dat is gewoon niet waar.
Het is wel zo dat het meeste gebruikte pakket de meeste attempts te verduren krijgt, maar dat wil nog niet zeggen dat het dan ook maar geleik de meeste problemen mag hebben.

Kijk naar apache, ongeveer 60% van de internet servers draait apache, en toch zitten er in IIS meer problemen.
En dat terweil je de source van apache helemaal door kunt snuffelen.

Daarnaast zou het meeste gebruikte product juist minder bugs moeten en mogen bevatten, er is tenslotte meer budget voor beschikbaar, (ms maakt nog steeds 80% winst op de desktop producten)

Feit is gewoon dat IE6 al 3 jaar oud is, en dat hij toen al op achterhaalde techniek gebouwd is, daarna in de ontwikkeling stop gezet (het web was immers gewonnen) en is de browser in tegenstelling tot andere browsers niet met zijn tijd en de daarbij behorende virussen/worms/popups mee gegaan.

garp @^Mo^ • 9 juni 2004 23:31

Reactie op Arfman; http://microsoft.com/sus
Kan je een hoop tijd schelen.

Verwijderd @^Mo^ • 10 juni 2004 07:57

in IE wordt bijna iedere maand wel een lek van dit caliber gevonden. het is gewoon niet veilig om er mee te surfen. maarja, zolang t van MS is, is t in de ogen van de meeste gebruikers goed genoeg...

Je geeft het zelf al aan; IE heeft de meest gebruikers! Dat is ook de reden dat hackers op zoek gaan naar de fouten in die browser omdat ze dan de grootste groep te pakken hebben. Er is geen enkel programma 100% bugvrij (uitgezonderd van programma's die uit enkele regels bestaan), dus ook browsers en OS'en niet! Als iedereen Konquerer, Mozilla, Opera of wat dan ook zou gaan zouden daar ook heel veel lekken in gevonden worden maar momenteel is de gebruikersgroep te klein.

Microsoft heeft in iedergeval een goed update systeem waardoor de gebruiker niet meer elke dag het web hoeft af te zoeken naar patches voor alle software op hun computer! Het is toch primitief als je iedere dag moet controleren of er patches zijn voor je linux kernel, the gimp, X, mozilla etc. Laat ICT VOOR je werken

catfish @^Mo^ • 10 juni 2004 11:50

vooral handig in multi-user omgevingen, kan je met 2 tegelijk een bestand aanpassen zonder je het weet van de ander...
niet echt interessant dacht ik zo
het heeft dus ook nadelen

Shift @^Mo^ • 10 juni 2004 14:14

Nou da`s ook lekker zeg voel me rot want ben net wakker geworden in het systeembeheerhok.

Tonnes @^Mo^ • 10 juni 2004 14:26

@Cyberangel:

Dat van de grootste groep gebruikers en de daaruit voortvloeiende kwetsbaarheid is waar, maar..

Er is geen enkel programma 100% bugvrij [..........] Als iedereen Konquerer, Mozilla, Opera of wat dan ook zou gaan zouden daar ook heel veel lekken in gevonden worden maar momenteel is de gebruikersgroep te klein.

Ik ben er vrij zeker van dat een product als Mozilla die 'strijd' makkelijk aankan. M.a.w., dat er (meer?) lekken gevonden zouden worden zodra de gebruikersgroep even groot is is wel vrij zeker maar ik zou er niet klakkeloos van uitgaan dat het product in dat geval net zo kwetsbaar is (even daargelaten dat door de nu kleinere gebruikersgroep dus wèl als minder kwetsbaar mag worden beschouwd). Ik heb zelfs het idee dat er van nature minder lekken in zitten als bij welk ander commerciëel product dan ook, enkel doordat het open source betreft. Ok, met iets als IE zijn ook meer dan 2 programmeurs bezig (geweest), maar dat wil nog lang niet zeggen dat alle onveilige situaties getest zijn of dat nog steeds worden, laat staan dat er adequaat wordt gepatched. Dat laatste is bekend, terwijl een kritieke bug in Mozilla doorgaans in enkele dagen wordt gefixed.

Microsoft heeft in iedergeval een goed update systeem waardoor de gebruiker niet meer elke dag het web hoeft af te zoeken naar patches voor alle software op hun computer! Het is toch primitief..

Da's prachtig, maar ook voortgekomen uit noodzaak; ooit was het niet nodig, nu moeten ze wel, min of meer. Bovendien kan bij Linux tegenwoordig ook steeds vaker met weinig moeite worden geupdate. Maar goed, liever een minder kwetsba(a)r(e) browser/OS dan een die/dat telkens moet worden gepatched..

Verwijderd @^Mo^ • 9 juni 2004 23:20

rebooten...?
ik lach me toch iedere keer weer een breuk om die windows gebruikers. op linux hoef je niet te rebooten, daar zet je een nieuwe file over de ouwe heen en al de programma's die t daarna openen gebruiken gewoon de nieuwe versie.
t gaat zelfs zo ver dat je een mp3tje kan wissen die je in xmms ofzo aan het afspelen bent. je mp3 player speelt t ding gewoon door terwijl het bestand al gedelete is, totdat je player klaar is met afspelen. niks geen 'file is in use' errors.

persoonlijk vind t advies om een andere browser te gebruiken geheel terecht, maar wel een beetje laat. in IE wordt bijna iedere maand wel een lek van dit caliber gevonden. het is gewoon niet veilig om er mee te surfen. maarja, zolang t van MS is, is t in de ogen van de meeste gebruikers goed genoeg...

AQuaTiX @^Mo^ • 10 juni 2004 10:02

CyberAngel: Debian GNU/Linux en Gentoo hebben een nog betere update service. Hierbij kun je gewoon in 1x al je programma's updaten. Dat zie ik je onder windows nog niet doen

En distro's als Red Hat en SuSE hebben altijd nog een service om veiligheidsupdates mee binnen te halen, dus ik zie je punt niet helemaal

Flax @^Mo^ • 11 juni 2004 10:20

{qoute]
Microsoft heeft in iedergeval een goed update systeem waardoor de gebruiker niet meer elke dag het web hoeft af te zoeken naar patches voor alle software op hun computer! Het is toch primitief als je iedere dag moet controleren of er patches zijn voor je linux kernel, the gimp, X, mozilla etc. Laat ICT VOOR je werken
[\qoute]
Ik moet zeggen dat ik dit onder linux beter geregeld vind dan onder Microsoft. Dit alleen al om het feit dat de update site van office weer een andere is dan die van windows. Hierbij laat ik alle 3th party software nog even buiten beschouwing.
Binnen debian(linux) heb je apt. Dit is een tool welke automatisch de laatste versie installeerd. Onder suse heb yast, wat volgens mij hetzelfde doet.

Verwijderd @Daneel • 9 juni 2004 22:22

Door het op het internet te gooien wordt Microsoft wel verplicht snel met een patch te komen. Anders zou het wel eens 6 maanden ongepatched kunnen blijven

Verwijderd @Verwijderd • 10 juni 2004 12:51

Wat kritici altijd vergeten is dat je het niet hebt over een fout in de software, maar een niet eerder ontdekte mogelijkheid.

Bedoel je dat het controle over je PC krijgen eerder een 'feature' is dan een fout ?!?!?

Als ze jouw auto openbreken geef je toch ook niet de fabrikant de schuld van het slechte slot?

Jazeker wel! Bijvoorbeeld de oude serie Golf en Kadett zijn er berucht om dat je met een schroevendraaier de auto kan stelen. Omdat andere fabrikanten kennelijk wel een slot kunnen maken waarbij dat niet kan is er nogal wat te doen geweest over die waardeloze sloten.

Als niemand meer lekken zou zoeken en exploits zou maken, zouden er geen lekken zijn.

Natuurlijk wel! Een lek is er nou eenmaal of is er niet. Struisvogel ?

De oorzaak van het probleem is dus niet de maker van de software, maar de hacker/cracker en wannabe's die de gevonden 'fouten' snel publiceren.

De mensen die dit melden en publiceren zijn ZEKER geen 'wannabe's'. Dat zijn de gastjes die over een exploit hebben gelezen en alleen maar na kunnen doen wat een ander al heeft uitgevonden. Mensen die dit vinden en publiceren zijn juist origineel en te goeder trouw!

NiGeLaToR

@Verwijderd • 10 juni 2004 11:37

Wat kritici altijd vergeten is dat je het niet hebt over een fout in de software, maar een niet eerder ontdekte mogelijkheid. De reden dat we er last van hebben is niet dat het product van MS niet goed is, maar omdat er veel mensen graag misbruik van willen maken.

Als ze jouw auto openbreken geef je toch ook niet de fabrikant de schuld van het slechte slot? Tis algemeen bekend hoe je de meeste auto's met centrale deurvergrendeling open kan maken zonder sleutel, terwijl ik daar ook geen 'patch' voor ken.

Het punt is dat schijnbaar velen de schuld van een lek bij de maker van de software leggen, terwijl die in theorie alleen de boel werkend wil maken. Uiteraard kennen producenten productaansprakelijkheid etc, maar is de reactie van veel mensen zwaar overtrokken op het moment dat er een exploit is voor een stuk software.

Als niemand meer lekken zou zoeken en exploits zou maken, zouden er geen lekken zijn. De oorzaak van het probleem is dus niet de maker van de software, maar de hacker/cracker en wannabe's die de gevonden 'fouten' snel publiceren.

madhapee @Verwijderd • 10 juni 2004 20:44

Als ze jouw auto openbreken geef je toch ook niet de fabrikant de schuld van het slechte slot?

Appels met peren vergelijken, dit gaat hier totaal niet op.

TheLevel @Fairy • 9 juni 2004 22:18

muah - dat sneller vind ik niet echt, de extra functionaliteit (RSS reader oa), prachtige skins, cookie handling etc hebben voor mij veel meer uitgemaakt bij de beslissing over te stappen.

[ontopic]
Misschien is nodig dat MS de volgende incarnatie van IE toch eerder op de markt brengt... zou die trouwens van de grond af opnieuw opgebouwd zijn of zou die ook verder bouwen op de voorgangers?

--duh, blijkbaar komt ie niet als losse browser maar als onderdeel van het volgende MS OS --
Link
[/ontopic]

freaky @TheLevel • 10 juni 2004 11:04

offtopic:
Na de nodige tweaks in config:about was ie hier anders aardig wat sneller. Als je even googled op firefox tweaks vind je ze zo. Met name die paint van 250 naar 0 en connection en pipelining opties.

MAX3400 @Fairy • 9 juni 2004 22:41

Volledig offtopic:
Werkt die 0.9 stabiel genoeg om mijn 0.8 te vervangen??

Ontopic:
Maar ja, aan de andere kant blijkt dan ook wel weer dat teveel mensen alles maar aanklikken wat ze op beeld te zien krijgen en dan later gaan klagen dat ze geen mail kunnen lezen of alleen maar "pink-gekleurde sites" kunnen bezoeken.

_Pussycat_ @MAX3400 • 10 juni 2004 16:08

Volgens http://www.squarefree.com/burningedge/ kun je de nightly builds van dit moment goed gebruiken.

HaterFrame

9 juni 2004 22:15

Dit blijf je toch houden en zo heel gek is het niet dat bepaalde hackers/crackers altijd lekken proberen te vinden in 1 van de grootste browsers. Ik denk dat wanneer een andere browser de markt gaat domineren deze ook steeds meer onder vuur komt te liggen juist omdat het een veel gebruikt product is en dus een makkelijk en veel gebruikt doel.

Edit: Typo`s en een stukje verduidelijking

boesOne @HaterFrame • 10 juni 2004 00:19

Dat zit er inderdaad dik in. Maar een opensource browser als Moz/FFox heeft als voordeel dat je niet afhankelijk bent van de policy van het een of andere bedrijf

Patches zullen wel sneller verschijnen dan..

intGod 9 juni 2004 23:26

Dit ondersteunt maar weer mijn kruistocht tegen HTML-mail.

Hiermee wil ik het belang van de bug niet onderschatten en wil ik ook niet ontkennen dat Microsoft enorm heeft geblunderd met zijn security-implementatie in IE.

Wel wil ik zeggen dat dit soort mailtjes en exploits extreem vergemakkelijkt wordt door iedereen die HTML mail gebruikt.

Het wordt steeds dringender en prangender om een HTML-mail standaard te krijgen zodat iedereen weet waar hij aan toe is.

Zelf zou ik in een webmail client NOOIT toelaten om javascript uit te voeren. Dat, op zich, lijkt me toch wel een over het hoofd geziene kans van Chello.

JoetjeF @intGod • 9 juni 2004 23:50

Wel wil ik zeggen dat dit soort mailtjes en exploits extreem vergemakkelijkt wordt door iedereen die HTML mail gebruikt.

HTML ziet er nu eenmaal professioneler/overzichtelijker uit (als je het goed doet). Dat een mail applicatie (web based of niet) niet eens de moeite doe om ActiveX/Javascript/ed uit te schakelen (wat op zich ook al belachelijk is dat dat moet) is geen reden om geen HTML te gebruiken.

Dit soort dingen moeten bij de oorsprong aangepakt worden, niet het resultaat veranderen omdat dat 'makkelijker' is ofzo. Microsoft levert een product, wij betalen ervoor en Microsoft moet er maar voor zorgen dat het veilig en betrouwbaar is. Als ze gaan klagen dat de software tegenwoordig zo ingewikkeld is hadden ze het maar niet moeten maken. Eerst iedereen paaien en daarna met de staart tussen de benen afdruipen en ons met de gebakken peren laten zitten. Lekker hoor.

Dat je zelfs al een lek openbaar moet maken omdat ze het anders niet (snel/goed) oplossen is ook te gek voor woorden. Wat dat betreft ben ik bij dat ik Mozilla gebruik, die mensen geven tenminste nog om de gebruiker. Hoewel, over het feit dat de Windows versie alleen fatsoenlijk met MS Visual c++ gecompileerd kan worden ben ik ook niet over te spreken.

Sorry, slecht dag achter de rug

cdwave @intGod • 10 juni 2004 16:17

HTML mail zuigt omdat je dan mailtjes krijgt in witte tekst met een roze achtergrond en er allerlei plaatjes in zitten.

Javascript en ActiveX zet je heel eenvoudig uit in Outlook Express, zet gewoon de "Security" zone op "Restricted sites". In IE kun je het ook uitzetten.

ActiveX (en daarin flash dus), DAT zou verboden moeten worden op websites. Maar je kunt nou eenmaal geen kaartjes voor een kinderspeeltuin bestellen zonder IE en Flash, omdat de hele site niet werkt in Firefox (ligt aan de site, maar ja... wat doe je eraan).

De "oplossing" dat je maar een andere browser moet gebruiken is ook een onzinstatement.

Zet gewoon ActiveX uit in de "Internet" zone, en sta het alleen maar voor bepaalde sites toe. Wel kl0te aan IE is dat je dan steeds van die irritante popups krijgt dat je 't uit hebt staan ...

maxxware 9 juni 2004 22:16

Dus Chello heeft aangifte gedaan tegen Microsoft! Goed zo, eindelijk iemand die MS eens echt aanpakt!

kamerplant @maxxware • 9 juni 2004 22:32

Erg interresant. Maar mag ik vragen wat je bron is?

Ik geloof je direct hoor, maar ik wil d'r graag wat meer over weten

OverSoft @maxxware • 10 juni 2004 10:00

wie zegt dat ze aangifte hebben gedaan tegen MS
dit kunnen net zo goed de hackers zijn of degene die het scriptje heeft geschreven

ROFLASTC @maxxware • 9 juni 2004 22:21

nou ja aanpakken...

persoonlijk verwacht ik niet zoveel van acties tegen MS door chello imo is microsoft veel te sterk (rijk) voor chello. eerder zal MS een zak met sorry-geld uitdelen en meer niet zodat MS in eigen tijd en tempo aan ie werkt

sab @ROFLASTC • 10 juni 2004 00:33

eerder zal MS een zak met sorry-geld uitdelen en meer niet zodat MS in eigen tijd en tempo aan ie werkt

Grappenmaker. MS en geld uitdelen?
Eerder gaan ze die gozer die het openbaar gemaakt heeft aanklagen.

bangkirai @sab • 10 juni 2004 00:41

Hmm, ben gek op oom agent verhalen.
Dus hou ons op de hoogte, wat oom agent kwam doen...

Armageddon_2k 9 juni 2004 22:32

even voor de duidelijkheid et gaat hier dus om webmail van chello, en niet als je et via outlook binnenhaalt.
En je hoef je mail niet eens te lezen, simpelweg et openen van je inbox is genoeg.

Verwijderd @Armageddon_2k • 9 juni 2004 22:41

et = het. Ik denk, ik zeg het maar even, voordat je denkt dat dit de correcte spelling van 'het' is.

Verwijderd @Armageddon_2k • 9 juni 2004 22:47

niet alleen chello, dit probleem heb je bij elke webmail service dat javascript er niet uit filtert.

hotmail heeft dit probleem echter niet want die filtert een boel css en javascript codes uit de emails.

probleem ligt dus echt bij de providers die hun boel niet goed beveiligen.

Op dit item kan niet meer gereageerd worden.

Lek in Internet Explorer oorzaak van e-mailhacks bij Chello

Lees meer

IT-banen

Reacties (82)

Sorteer op:

Weergave: