Microsoft dicht Download.Ject-lek volgende week - update

Een Microsoft-woordvoerder heeft bekend gemaakt dat het bedrijf volgende week met een uitgebreide patch komt die eindelijk het Download.Ject-lek dicht, aldus Techweb. Het bewuste lek in Internet Explorer werd in juni door diverse kwaadwillenden uitgebuit, met als hoogtepunt Download.Ject, dat servers met IIS zodanig modificeerde dat een trojaans paard werd geïnstalleerd op de computers van mensen die een besmette site bezochten. De trojan installeerde vervolgens weer keyloggers en andere kwaadaardige software, die onder meer tot doel had financiële informatie te ontfutselen.

Hacker Microsoft bracht eerder deze maand dan ook al een tijdelijke oplossing en een schoonmaaktool voor besmette systemen uit, en zei non-stop te werken aan een defitinitieve oplossing. Het feit dat deze zo lang op zich heeft laten wachten, is volgens de hoofdontwikkelaar verklaren door de complexiteit van het probleem, en de hoge eisen die gesteld worden aan betrouwbaarheid en stabiliteit van de patch. Het resultaat van het werk is bedoeld voor IE 5.01, 5.5 en 6.0 en zal komende week uitgebracht moeten worden.

Update: Microsoft lijkt zijn eigen planning in te halen, want de patch is inmiddels officieel uitgebracht. Gebruikers wordt aangeraden hun browser zo snel mogelijk bij te werken via Windows Update.

Reacties (55)

burne 30 juli 2004 22:43

Nou is er dus een ding wat ik me nog altijd afvraag, in dit verhaaltje. Welke sites hebben hun bezoekers besmet? Vreemd genoeg wil niemand zeggen wie er een probleem met z'n IIS 5.0 heeft of heeft gehad. De eerste rapporten hadden het over 'thousands of sites' en later verschenen er verhalen dat een week later nog altijd meer dan 100 sites besmet waren.

Waarom wordt deze kant van het verhaal zo zorgvuldig verborgen gehouden? Ik zou het nogal wat vinden, als je eigen bank je aan een keylogger die naar de Russische Maffia kletst helpt.

Zeker als blijkt dat dat komt door onjuist versiebeheer. Dat grenst aan verwijtbare nalatigheid.

Verwijderd 30 juli 2004 18:55

Denk dat dat een duur geintje gaat worden voor Microsoft. Een nieuw OS ontwerpen schrijven en alles wat daar bijkomt is al niet goedkoop en om dan XP te gaan herschrijven lijkt me ook niet echt de goedkoopste oplossing. Service Packs hebben wel degelijk zin kijk maar naar Blaster en al die andere ongein, SP1 en probleem is weg. En "even" de source veranderen....je wil niet weten hoeveel code het is. En Microsoft heeft nu wel wat anders aan hun hoofd namelijk Longhorn zo veilig mogelijk maken.

n4m3l355 @Verwijderd • 30 juli 2004 19:03

en de miljoenen/miljarden schade door verschillende leks is geen kostenpost? klanten moeten nu systemen opnieuw installeren, patchen aanpassen, netwerken worden geterroriseerd, sites gedoss'd en zo zal er nog wel meer zijn door fouten van windows uit.
niet alleen is het de verantwoordelijkheid van microsoft om deze fouten op te lossen het zou naar mijn idee ook verantwoordelijkheid meoten opnemen wanneer er financiele schade wordt opgelopen door hun fouten. dit gebeurd nu ook met open source projecten dat de ontwerper verantwoordelijk is voor zijn/haar programma

Verwijderd @n4m3l355 • 31 juli 2004 10:51

Als ze tijd hadden besteed aan goed inrichten ipv achteraf repareren hadden ze ook geen probleem gehad

Verwijderd 30 juli 2004 19:29

http://www.tweakers.net/nieuws/30996

en:
http://www.theregister.co.uk/2004/06/28/gates_get_patching/

Still, speaking at a press conference here Monday, Gates told journalists that Microsoft's patching process compares well with competitors'. "You know, the time - the average time - to fix on an operating system other than Windows is typically ninety to a hundred days," said Gates. "Today we have that down to less than forty-eight hours."

Verwijderd 30 juli 2004 20:27

Volgens mij is de patch nu al uit:
http://www.microsoft.com/downloads/details.aspx?FamilyId=06F49985-F19F -4B50-A75F-7636D8BEE576&displaylang=en

patch no: KB867801

Verwijderd 30 juli 2004 18:00

Het duurt zo lang door een hele lange reeks van fundamentelen ontwerp fouten en ontwerp keuzes. Nu proberen zo weer een patch te maken die om het probleem heen draaid i.p.v het ontwerp aanpassen. Ik kan me voorstellen dat dit heel ingewikkeld is maar het uitgangspunt blijft het verkeerde.

Als je goed naar WIndows (en dus ook IE wat er onderdeel van uitmaakt) kijkt zit het vol met fundamentele ontwerp fouten* en ontwerp keuzes**. Windows in zijn huidige vorm is gewoon nooit veilig te krijgen. Microsoft moet een keer echt breken met alle domme dingen in windows en een goede windows uitbrengen naast de bestaande lijn. Als ze dat niet doen en niet willen breken met de huidge verkeerde uitgangs punten is het een zinkend schip wat nog veel slachtoffers gaat maken voordat het ten onder is.

* bv de extensie bepaald of iets exe is , niet de gebruiker of sys admin. Een click op het verkeede atachement en je bent besmet

Op basis van de reacties blijkt dat er een hoop volk is dat niet snapt hoe ernstig dit probleem is dus ik ga het maar uitleggen

<uitlegmode>
Als ik een exe stuur (of een .com of .folder .vbs, etc) naar een windows machine en de gebruiker click dit bestand aan gaat deze windows machine deze gewoon uitvoeren met bijna fullcontrol over de machine. Wanneer ik dit doe onder linux gebeurt er niets. Ik zal als gebruiker eerst dit bestand exe rechten moeten geven. Niet de buitenwereld maar ***IK*** bepaal of iets uitvoerbaar is en met welke rechten. de GEBRUIKER bepaalt dus zelf of een bestand executable moet zijn. En plaatjes van een sex orgie met Britney Speers hoeven dat niet te zijn!! Een nooboo user weet uberhaubt niet hoe hij een bestand exe moet maken onder unix dus dit soort gebruikers trappen dus ook niet in de val en anders zorgt de sysadmin er wel voor dat gebruikers dit recht niet hebben!! Windows voert alles wat exe heet gewoon dom uit , daar kan de gebruiker of de sysadmin niets tegen doen. Dit blijkt want de hoeveelheid succesvolle virus aanvallen die deze ontwerp fout van windows gebruiken is fenominaal en het werkt elke keer weer opnieuw!.......
</uitlegmode>

** bv Dat je netjes via de windows API als guest user adminrechten kan krijgen doordat windows de desktop als een safezone beschouwd. Gezien de meeste windows expert wannabees niet snappen hoe erg dit probleem is (op basis van de reacties hier) hier is de link http://security.tombom.co.uk/shatter.html Geen buffer underuns of andere exploits nodig gewoon een fundementele ontwerp fout van windows, die naar het nu laat aanzien ook in Longhorn zit

Verwijderd @Verwijderd • 30 juli 2004 18:17

bv de extensie bepaald of iets exe is , niet de gebruiker of sys admin. Een click op het verkeede atachement en je bent besmet

maar dat is makkelijk gezegd. Je moet altijd op een of andere manier aangeven of iets uitvoerbaar is of niet. of dit nu op linux via een chmod of bij windows via een extensie gaat maakt dan ook niet zo veel verschil. Als ik een mailtje met een exe krijg en je krijgt mij zo gek om dit uit te voeren lukt je dit ook door mij een linux proggie te sturen en mij te vertellen dat ik dit kan uitvoeren met een chmod 777 (dit is maar een voorbeeld).

Op elk systeem zijn er manieren om een bestand uitvoerbaar te maken. Stel je voor dat ik zelf per progamma moet gaan aangeven welk bestand niet en welk bestand wel een uitvoerbaar bestand is. Of dat ik moet beslissen welke extensie / header (mac) / rechten toegang een uitvoerbaar bestand is. Dat zou gekkenwerk zijn. En ga je daarna eens bedenken hoe dat dan wel moet zijn voor een systeem beheerder,.......

Tuurlijk, er zitten fouten in het ontwerp van Ms Windows, maar dit is er niet een van. Bovendien vertelt ms je zelf over deze fouten en word er ook al het mogelijke gedaan om dit op te lossen. Net zoals dit gebeurd bij andere OS-en en applicaties

edit:
typo

maxxware @Verwijderd • 30 juli 2004 20:05

"...door mij een linux proggie te sturen en mij te vertellen dat ik dit kan uitvoeren met een chmod 777"

Dit lukt alleen maar als je de user bent van wie het bestand is. Je kunt geen chmod loslaten op een bestand dat niet van je zelf is. Bovendien draait een Linux binary met de rechten van de uitvoerende gebruiker (behalve bij het beperekte aantal suid binaries op unix).

Zoals kickbill al schreef haalt Windows "onder water" te veel trucs uit om e.e.a. toch te laten werken. Daarom is Windows onveilig. MS maakt patches, maar pakt niet de oorzaak van het probleem aan. Op een gegeven moment moet er niet meer gepatched, maar ge-redesigned worden... Maar dat kost tijd, geld en klanten.

Bovendien zit er te veel tijd tussen het melden van het lek (dat overigens al langer daarvoor bekend was) en de (hopelijk afdoende) patch. In dit geval werd het lek begin juni openbaar en hebben we misschien begin augustus een patch... twee maanden! En dan te bedenken dat een lek in Firefox binnen twee dagen gepatched was!...

pfismvg @maxxware • 30 juli 2004 23:21

Wie denk jij dat eigenaar wordt op het moment dat je een attachment vanuit je e-mail programma onder linux opslaat? Goh... verrassing? Dat ben je zelf

dus die chmod 777 gaat werken, en geloof mij, het klinkt onwijs belangrijk zo'n chmod. dus de gemiddelde windows gebruiker (op linux) doet dat

maxxware @maxxware • 31 juli 2004 15:46

Maar zo'n bestandje wordt hooguit 644 opgeslagen, en zeker niet 777!
Dan zul je dus als gebruiker eerst 'chmod a+x' op het bestand moeten uitvoeren. En dan draait het bestand met de (beperkte) rechten van de gebruiker. Bovendien weet de gemiddelde Windows gebruiker op Linux niet eens de command-line te vinden.

Iblies @Verwijderd • 31 juli 2004 12:41

[quote]
ARTIKELHet feit dat deze zo lang op zich heeft laten wachten, is volgens de hoofdontwikkelaar verklaren door de complexiteit van het probleem, en de hoge eisen die gesteld worden aan betrouwbaarheid en stabiliteit van de patch.[quote]

Gepost door kickbill - vrijdag 30 juli 2004 - 18:00 - Score: 1 (Informatief)
Het duurt zo lang door een hele lange reeks van fundamentelen ontwerp fouten en ontwerp keuzes.

Ben ik het dus helemaal mee eens. Nu krijg je een soort van sneeuwbaleffect omdat IExplorer verbonden is met onder andere de gewone explorer. Het duurt dus ook veel langer om iets op te lossen zonder andere onderdelen hun functie te benemen.
Microsoft zou er verstandig aan doen, aangezien ze een makkelijk target zijn, om het publiek spelenderwijs (gewoon marketing dus

) onder andere vreemde processen te laten stoppen of te laten zien. Vaak zijn trojans of exploits "onderhuids" actief. Als ze er nu vb voor zorgen dat als het register wordt aangepast oid er een pingetje komt, en laat zien door welk programma dat gebeurt, en of dat uberhaupt mag gebeuren dan zou het misschien iets beter kunnen gaan met de gemiddelde consument. Zoiets hebben sommige AV al maar zon essentieel onderdeel van Windows mag(moet) Microsoft zelf beschermen. De volgende stap is natuurlijk om bepaalde onderdelen gewoon los van elkaar te koppelen, maar dat zou in longhorn gedeeltelijk gebeuren.

(PS Meeste mensen weten hier wel dat het register wordt gebruikt om bepaalde processen op de achtergrond te starten.)

Soultaker

@Verwijderd • 30 juli 2004 18:20

* bv de extensie bepaald of iets exe is , niet de gebruiker of sys admin. Een click op het verkeede atachement en je bent besmet

Hoe had je dat dan voorgesteld? Er moet tenslotte een indicatie zijn dat een bestand executable is. Je kunt in UNIX-achtige besturingsystemen wel handmatig de executable bit wegnemen, maar dat kan in Windows ook (bijvoorbeeld "Read and Execute" uitvinken). Als je onder UNIX een archive uitpakt dan worden normaal gesproken de file modes ook herstelt.

** bv Dat je netjes via de windows API als guest user adminrechten kan krijgen doordat windows de desktop als een safezone beschouwd.

Dat is volledige onzin. Waar baseer je deze uitspraak op? Heb je het ooit geprobeerd? Er zijn zat vage user level security bugs in Windows, maar zo simpel als jij het nu schetst is het niet.

edit:
Dit is trouwens een interessante zin: "Als je goed naar Windows kijkt zit het vol met fundamentele ontwerp fouten en ontwerp keuzes." Windows zit dus vol me (fundamentele?) ontwerpkeuzes? Goh.

cavey @Soultaker • 30 juli 2004 20:25

ondanks je +3 inzichtvol (oeh, flamebait troll

)

moet ik je toch even verbeteren...

Dat is volledige onzin. Waar baseer je deze uitspraak op? Heb je het ooit geprobeerd? Er zijn zat vage user level security bugs in Windows, maar zo simpel als jij het nu schetst is het niet.

JA, iedere user kan door middel van de juiste windows API calls rechten krijgen die BOVEN administrator rechten staan.. Je wordt dan namenlijk hmm, LocalSystem... daarmee kan je ongeveer alles doen.

Hoe noemen ze dit? Shatter Attacks.

Bron: ooit eens een mailtje op bugtraq ofzo... met een interessante link.

hier de link:

Shatter Attacks

Wat is het kort door de bocht: Combinatie van bufferoverflow en het abusen van windows API calls.

Goed, nu kan je schijnbaar tegenwoordig bufferoverflow protection software kopen die je "beschermt" tegen bufferoverflows...... maar dit is na het lezen van de meest recente phrack ook te omzeilen ......

[edit]
geweldig, omdat ik zelf ginnegappend neerzet: oeh, flamebait/troll... gaan mensen het maar als flamebait en troll modereren... voorts wordt het afgedaan als overbodig.. terwijl het toch echt niet overbodig is gezien de ontbrekende kennis op dit vlak onder (vele?) tweakers...

oh well, hou je oogkleppen maar op.. dan komt alles in orde.

sus @cavey • 30 juli 2004 22:51

reactie op Wappie:

Ik begrijp dat je een service moet stoppen. Die service staat dus standaard aan als je windows installeert.

Nu werk ik bij de dynabyte, en daar kopen veel mensen een computer die totaal geen verstand hebben van computers, net de startknop kunnen vinden en een beetje met word kunnen werken. Denk jij nu echt dat die gebruikers van het bestaan van services afweten en hoe ze die uberhaupt moeten managen?

Ikzelf kende die hele service tot voorkort niet eens (en ik werk toch al een flinke poos met windows (vanaf win95) en regel veel van de processen zelf.

Ik denk dat cavey en kickbill toch een goed punt hebben, en ik vind het dus geen onzin. Als ik een appie kan bouwen die die call's op de API kan uitvoeren en ik daardoor Local SysAdmin-dinges wordt, ja, das toch een kwetsbaar punt.

Hoe het onder linux allemaal werkt weet ik nog niet, daar ben ik nog maar een maand of 4 mee bezig (wel zonder windows op mijn pc), dus dat probeer ik hier totaal niet op te hemelen.

Verwijderd @cavey • 30 juli 2004 21:49

Dit is dus wel onzin, die rechten op API calls uitvoeren onder Local SysAdmin komen doordat standaard de service "Secondary logon" aan staat. Zet je deze service uit dan is dat niet meer mogelijk.

raphidae @cavey • 31 juli 2004 13:44

Jij snapt het niet helemaal, ik neem aan dat dynambyte hun computers niet afleverd met alleen guest access.

Waar zo'n shatter attack vervelend kan zijn is in corporate omgevingen waar mensen als guest kunnen inloggen. En daar hebben ze meestal wel een sysadmin die dat domain-wide uitzet.

egeltje @Verwijderd • 30 juli 2004 22:00

Als je goed naar WIndows (en dus ook IE wat er onderdeel van uitmaakt) kijkt zit het vol met fundamentele ontwerp fouten* en ontwerp keuzes**. Windows in zijn huidige vorm is gewoon nooit veilig te krijgen. Microsoft moet een keer echt breken met alle domme dingen in windows en een goede windows uitbrengen naast de bestaande lijn. Als ze dat niet doen en niet willen breken met de huidge verkeerde uitgangs punten is het een zinkend schip wat nog veel slachtoffers gaat maken voordat het ten onder is

Dat hebben ze geprobeerd met Windows NT 3.1 (NT = New Technology). Dat was redelijk vanaf scratch opgebouwd, compleet met alle bugs die daarbij meekomen.
Vanaf NT 4 kwam de hele marketing machine goed op gang, en met de overstap NT4 -> windows 2000 ging de marketing weer voor de engineering. De stap Windows 98 -> XP is een ongelukkige mix van Windows 2000 met vreselijk veel hacks om programma's backwards compatible te houden. Dat is het grootste probleem, backwards compatibiliteit. Maar anders gaat niemand opwaarderen en dan krijg je weer geen geld en kun je moeilijker ontwikkelen etc etc etc.
Met SP1 en SP2 van XP komen er gelukkig steeds meer fundamentele wijzigingen.

Verwijderd @Verwijderd • 31 juli 2004 02:56

** bv Dat je netjes via de windows API als guest user adminrechten kan krijgen doordat windows de desktop als een safezone beschouwd. Gezien de meeste windows expert wannabees niet snappen hoe erg dit probleem is (op basis van de reacties hier) hier is de link http://security.tombom.co.uk/shatter.html

Ik heb dit al weken terug getest, maar werkte niet onder zowel win2k en xp zonder updates.

Geen buffer underuns of andere exploits nodig gewoon een fundementele ontwerp fout van windows

Als je goed leest veroorzaak je een bufferoverrun, dus nix fundamentele fout.

Who's the Windows Expert Wannabee now huh?

Oceria 30 juli 2004 18:01

En hoe zit het met IIS? Moet die niet ook gepatched worden om de besmetting met de trojan tegen te gaan?
Of is dat al gebeurd (en ben ik weer eens traag)?

alt-92 @Oceria • 30 juli 2004 19:01

Ja, je bent te traag

Servers die besmet waren hadden eigenlijk allang gepatched moeten zijn met ms04-011 (die alweer 3 maanden uit was) .

Verwijderd @Oceria • 31 juli 2004 10:47

IIS 6 heeft nog geen patches maar er is een patch die de bug blokkeerde door functionaliteit uit te schakelen

Verwijderd 30 juli 2004 17:53

Hoe meer ik van dit soort dingen lees, hoe blijer ik wordt dat ik gewoon Firefox gebruik.

Thanx voor alle troll mods. Ik probeer alleen maar aan te geven dat er meer is als Internet Explorer. En ik haal helemaal Internet Explorer niet expliciet naar beneden met deze post.

[PMO edit]
Als je vindt dat een reactie niet de juiste score heeft of je het niet eens bent met een beoordeling, dan kun je dat het beste in het Tweakers.net Moddereter Forum aankaarten. Een (wijziging van een) reactie op de frontpage met daarin commentaar op de moderaties wordt in het algemeen als 'not-done' beschouwd, omdat dat niets toevoegt aan het artikel op de frontpage.
[/PMO edit]

Verwijderd @Verwijderd • 30 juli 2004 19:09

Ik zou toch maar niet ophouden met het installeren van Internet Explorer updates.
De kracht van Firefox is tegelijk z'n grootste gevaar. Een beginnend gebruiker zou er zo vanuit gaan dat je alles wat met IE, Popups, en andere rommel kunt vergeten zodra je FF gebruikt. Niet dus.

bv Q828750

Security issues identified in Microsoft Internet Explorer could allow an attacker to compromise systems with Internet Explorer installed (even if Internet Explorer is not used as the Web browser). Download this update from Microsoft to help protect your computer.

Verwijderd @Verwijderd • 30 juli 2004 21:34

en daarom mag van mij IE eruit gesloopt worden in de windows UI het kan wel Microsoft heeft alleen nog ff een zetje nodig van een rechter ofzo...

Verwijderd @Verwijderd • 31 juli 2004 10:42

Liever niet ActiveX en vbscript ondersteuning is ook wel fijn om te hebben. Ze moeten gewoon beter leren programmeren

Arorax @Verwijderd • 31 juli 2004 11:59

Ik heb eens geprobeerd IE er helemaal uit te slopen. Het is echt alleen hardstikke moeilijk om de kern van IE eruit te krijgen.
En MSN Messenger en vast nog wel meer MS-programma's die het internet opgaan doen het dan niet meer, dus heb ik het maar opnieuw geinstalleerd en blijf ik goed updaten.

halfgaar @Verwijderd • 31 juli 2004 15:40

@Winged:
Daar zijn tools voor. Zo heb je IEradicator. Deze werkt alleen jammer genoeg niet onder WIn2000 SP2 en hoger geloof ik, en ook niet onder XP.

Naast Linux draai ik ook af en toe windows. Win98. Ik heb daar geen IE meer. Er gebeuren wel rare dingen. Nero werkte bijvoorbeeld niet meer omdat hij shfolder.dll niet kon vinden. Het rare is, die DLL is er ook niet met IE op je computer. Maar gelukkig kan je die DLL ook downloaden van MS. Dus, ik heb verder nog geen problemen ondervonden.

Verwijderd @Verwijderd • 31 juli 2004 16:16

IE kan er uit gehaalt worden met XPlite.

Verwijderd @Verwijderd • 30 juli 2004 19:28

I agree. Theoretisch is dat inderdaad het geval. Pop-ups worden standaard gewoon geweigerd door Firefox, dus daar zit je alleen even mis.
In de praktijk blijkt wel dat mijn broertje eerst IE gebruikte en daar waren na een week surfen allerlei spyware en virussen te vinden.
Nu ik Firefox voor hem heb geinstalleerd is dat (na 2 maanden) nog niet één keer voorgekomen.
Volgens mij bestaat 90% van de spyware uit ActiveX en gaten in IE.

NiGeLaToR

@Verwijderd • 30 juli 2004 19:54

En die vooral niet patchen

Er zijn momenteel 2 exploitable bugs voor firefox die nog niet gepatched zijn

zodra iedereen firefoxed zijn die gebruikers het zaadje.. tenzij je dan weer een andere browser gaat gebruiken

maxxware @NiGeLaToR • 30 juli 2004 19:59

Die zijn inmiddels ook al gepatched...

Verwijderd @NiGeLaToR • 30 juli 2004 20:16

Nou nou nou... wat een goede toekomstblik heb jij zeg. Om van relativerend vermogen nog maar te zwijgen. De code van Firefox zit dus echt tig malen beter in elkaar dan de brei van IE. En dat Firefox misschien in deze pre-final (1.0) status een exploit bevat kan een keer gebeuren, IE bevat nog zeker 5x zoveel onopgemerkte exploits.

boesOne @Verwijderd • 31 juli 2004 08:35

FireFox wordt gewoon veel minder gebruikt, en daarom is het niet rendabel om er exploits voor te schrijven. Zodra FF meer gebruikt wordt dan IE zul je zien dat er ineens tientallen FF exploits de kop op steken.

Dit argument komt altijd weer langs in deze discussie. En het is flauwekul. Eerst zeg je :

Joh, heb jij de code van IE en FireFox gezien?

En nu sla je zelf dezelfde speculatieve zooi uit.

Wat we zeker weten is dat IE lek is. We weten ook dat er veel exploits gezocht worden omdat het de meest gebruikte browser is. Om dan te stellen dat dat voor FF ook zal gelden is onzin. Je weet het gewoon niet.Je maakt dus een denkfout.

Er zijn wel argumenten voor de veiligheid van FF. Het is namelijk opensource. Dit houdt in dat iedereen de source kan auditten. Grove fouten worden zo sneller gezien en eerder opgelost. Verder is FF niet zo verweven met het onderliggende OS als IE: geen activX enzo. Dat scheelt ook weer.

Je kan dus aannemen dat er wel fouten in FF zitten, maar de kans is niet gering dat ze minder veelvuldig zullen voorkomen en minder ernstig zullen zijn..

Hetzelfde geldt voor Linux..

Verwijderd @Verwijderd • 30 juli 2004 20:24

Gebruik ook Firefox, maar zelfs als we ooit de final versie 328 zouden bereiken ben ik er van overtuigd dat er wel een gaatje in te vinden zal zijn. Uiteindelijk blijft het gewoon behelpen en goed opletten, dan zit je okee.

Bovendien, hoeveel onopgemerkte exploits bevat Firefox wel niet

NMe @Verwijderd • 31 juli 2004 03:50

Joh, heb jij de code van IE en FireFox gezien?

Knap hoor....
Wat ik dus probeer te zeggen: pas een beetje op wat je zegt. Wie weet zit IE kwa code wel beter in elkaar dan FireFox. Dat het de standaarden niet goed ondersteunt is een ander verhaal, en dat ActiveX ondersteund wordt is voor veel mensen juist een pre.

Verder vind ik het zwak om te zeggen dat FF geen bugs/security leaks heeft. FireFox wordt gewoon veel minder gebruikt, en daarom is het niet rendabel om er exploits voor te schrijven. Zodra FF meer gebruikt wordt dan IE zul je zien dat er ineens tientallen FF exploits de kop op steken.... Dezelfde vergelijking gaat overigens ook op voor Windows versus Linux.

Intussen is het wel mooi natuurlijk dat dit gat in IE gedicht is, aangezien het toch wel een link lekje was. Heb toevallig daarstraks al geupdate, zoals ik elke maand doe, maar anders had ik het nou ff snel gedaan, ondanks dat ik FF gebruik.

NMe @Verwijderd • 1 augustus 2004 04:12

Het is onmogelijk om een programma te schrijven met de complexiteit van FireFox, zonder enig lek of bug. En juist omdat FireFox zo modulair en portable is, en daarmee extra complex, valt te verwachten dat er ook voor FireFox een groot aantal exploits te schrijven moeten zijn. Ik zeg nergens dat dat er evenveel of meer zijn dan met Internet Explorer, ik geef alleen aan dat het feit dat er nu weinig exploits bestaan geen garantie is voor de toekomst.
Ik noem wel "tientallen exploits" voor FireFox. In vergelijking met het aantal exploits dat ik voor Internet Explorer tegenkom, is "tientallen" voor FireFox een lachertje.

Sc0tTy

30 juli 2004 18:03

kan iemand de url posten van dat tooltje ?

MandersOnline @Sc0tTy • 30 juli 2004 18:32

http://support.microsoft.com/default.aspx?scid=kb;nl;873018

CyberArt @Sc0tTy • 30 juli 2004 18:06

"en zal komende week uitgebracht moeten worden."

MADG0BLIN @CyberArt • 30 juli 2004 18:25

Er was al een tooltje. De patch komt volgende week.

Uit het bericht:
Microsoft bracht eerder deze maand dan ook al een tijdelijke oplossing en een schoonmaaktool voor besmette systemen uit,

Verwijderd 30 juli 2004 18:37

Wat ik me nou afvraag is of dat er alleen aan een patch gewerkt wordt of dat deze fouten ook gelijk in de kernel (?) zoals van windows (xp/98 etc) zelf ook iets veranderd wordt. Hiermee bedoel ik: krijgt windows xp bv. nou ook ooit wel eens bv. een versie 1.5 of iets dergelijks? Service Packs lijken me toch ook niet helemaal een goede oplossing omdat dat er later bijgevoegd moet worden en dus altijd weer nieuwe complicaties kan geven. Zou het niet gewoon handig van Microsoft zijn als ze zeg maar een soort 2e versie van windows xp maken waarbij alle patches intern toegepast zijn en dus echt in de broncode (source)?

paella @Verwijderd • 30 juli 2004 19:05

Dat zijn meestal interne build nummers. Niet voor extern gebruik.

Aan de andere kant, de Mac werkt het wel zo, vroeg al met bv. 9.0 -> 9.2.2 (als laatste). En nu bij OS X ook: 10.3.4 zij we al beland.

Verwijderd @paella • 30 juli 2004 21:04

We zitten tegenwoordig op 5.1.2600 (type maar eens ver in een command window)
Windows 2000 was 5.0.xx waarbij de xx de builds zijn.
Echter alle patches schijnen het build nummer niet bij te werken dus je kan geen verschil zien tussen een systeem met SP1 of zonder.

Verwijderd 30 juli 2004 18:29

Ik verwacht echt dat longhorn straks vrij is van gaten en bugs,anders stap ik echt over naar linux :-)

Verwijderd @Verwijderd • 30 juli 2004 18:37

Neem aan dat dit niet helemaal serieus bedoelt is.

1. Longhorn gaat gaten en bugs bevatten.
2. Linux heeft ook bugs en gaten.

Voornaamste verschil is dat het aantal mensen dat aan linux en linux security werkt ontzettend veel groter* is dan in welk bedrijf, en dat iedereen aan de lopende hand patches schrijft voor wat ze niet bevalt.

* Guess on my side. Geen flauw idee hoeveel mensen aan linux werken (kernel en kernel + software), vergeleken met mensen in windows. Gok echter dat het vele malen hoger is.

lvh @Verwijderd • 30 juli 2004 18:58

Het grote verschil in aantal exploits ligt heus niet alleen aan het aantal mensen die het OS gebruiken. Sterker nog, het aantal /nieuwe/ PC's waarop Linux geinstalleerd wordt bedraagt tegenwoordig al om en bij de 5% (zie recent artikel op T.net) maar het aantal malware voor Linux tov Windows heeft absoluut niet dezelfde verhouding.

Trouwens, heel veel exploits zitten in dingen waar je heel weinig macht over hebt onder Windows. Als ik mijn iptables firewalletje zeg dat ie alles DENY'et, dan wordt er gewoon niet naar die poorten geluisterd, of bij DROP, alles wordt gedropt (zelfs geen ping reply) dan kom je er niet in, ook al draai ik de meest buggy versie van sendmail.

(ik neem sendmail omdat het IMHO groot, lomp en traag is. Net zoals XFree86. Daarom (granted, bij xfree zijn er nog andere redenen) worden die ook gewoon langzaam niet meer de "standaard, default bechmark tov de rest". sendmail -> qmail, xfree86 -> xorg).

pfismvg @lvh • 30 juli 2004 23:39

Niet overdrijven... in het artikel hadden ze het over Servers, niet over PC's

www.tweakers.net/nieuws/33568

En ik ben ook erg benieuwd waarom je sendmail als deamon draait als je poort 25 dichthoud?

Verder heb je gelijk met iptables is een hele goede firewall te bouwen, je moet je er alleen wel in verdiepen, en dat is nou juist het probleem met de gemiddelde windows gebruiker. die verdiept zich nergens in, en zet ook niet de firewall in windows XP aan. terwijl die firewall prima werkt.

Verwijderd @Verwijderd • 30 juli 2004 18:31

Hahaha,... stap dan nu maar alvast over, want gaten worden niet alleen ontdekt maar ook gecreëerd, en wat bugs betreft,... Hij die zonder bugs schrijft werpe de eerste steen!

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (55)

Sorteer op:

Weergave: