image

Pleegde Microsoft plagiaat met WMF patch?

vrijdag 6 januari 2006, 09:49 door Redactie, 20 reacties

Eerder dan verwacht kwam Microsoft met een eigen update voor het WMF lek in Windows. Volgens Corporate Vice President Mike Nash omdat de softwaregigant in haar eigen patch gelooft, maar dit onderzoek denkt dat Microsoft de onofficiele patch van Ilfak Guilfanov iets heeft aangepast, en voor haar eigen doeleinden heeft gebruikt.

Microsoft liet gisteren weten dat het drie dingen zeker weet:
1. Klanten haten het om updates te installeren.
2. Het kiezen voor de maandelijkse patchcyclus is een goede keuze geweest.
3. Erger dan het installeren van een patch is dezelfde patch nog een keer installeren omdat er kwaliteitsproblemen met de update waren.

Waarom heeft Microsoft dan toch besloten de update voor de maandelijkse patchcyclus uit te brengen? Zoals eerder gezegd gelooft Microsoft in haar update en heeft het die uitgebreid getest. Ten tweede zien verschillende klanten een stijging van het exploit verkeer waar hun netwerken mee te maken krijgen.

1100 WMF exploit websites actief
Websense laat weten dat er meer dan 1100 websites actief zijn die via de WMF exploit proberen om ongepatchte Windows gebruikers te infecteren. In de meeste gevallen gaat het om downloaders van Trojaanse paarden die weer andere malware downloaden.

Reacties (20)
06-01-2006, 09:55 door Anoniem
:O wat een onprofessionele actie
06-01-2006, 10:29 door Anoniem
Ach, is de patch er. Is het weer niet goed.

Zeikerds zijn er altijd.
06-01-2006, 10:54 door Anoniem
maar dit onderzoek denkt dat Microsoft de onofficiele
patch van Ilfak Guilfanov iets heeft aangepast, en voor haar
eigen doeleinden heeft gebruikt.

Wat een bullshit. Die Ilfa patch patcht calls naar die
setabort ellende in het geheugen. De MS patch is een
aangepaste gdi dll. Ilfa's patch vervangt die hele dll niet
eens.

Copy&paste redactioneel werkje dit weer.
06-01-2006, 11:13 door Anoniem

Wat een bullshit. Die Ilfa patch patcht calls naar die
setabort ellende in het geheugen. De MS patch is een
aangepaste gdi dll. Ilfa's patch vervangt die hele dll niet
eens.

http://blogs.securiteam.com/index.php/archives/184



Copy&paste redactioneel werkje dit weer.

Wat een zin...
06-01-2006, 11:51 door Anoniem
Door Anoniem
maar dit onderzoek denkt dat Microsoft de onofficiele
patch van Ilfak Guilfanov iets heeft aangepast, en voor haar
eigen doeleinden heeft gebruikt.

Wat een bullshit. Die Ilfa patch patcht calls naar die
setabort ellende in het geheugen. De MS patch is een
aangepaste gdi dll. Ilfa's patch vervangt die hele dll niet
eens.
En wat denk jij? Dat Micrsoft een patch uitvoert op een
bestaande dll? Natuurlijk distribueert Microsoft een nieuwe
dll. Jij hebt echt verstand van versiecontrole en echt
inzicht in het softwareontwikkelingsproces.
06-01-2006, 13:17 door Anoniem
Door Anoniem
Door Anoniem
maar dit onderzoek denkt dat Microsoft de onofficiele
patch van Ilfak Guilfanov iets heeft aangepast, en voor haar
eigen doeleinden heeft gebruikt.

Wat een bullshit. Die Ilfa patch patcht calls naar die
setabort ellende in het geheugen. De MS patch is een
aangepaste gdi dll. Ilfa's patch vervangt die hele dll niet
eens.
En wat denk jij? Dat Micrsoft een patch uitvoert op een
bestaande dll? Natuurlijk distribueert Microsoft een nieuwe
dll. Jij hebt echt verstand van versiecontrole en echt
inzicht in het softwareontwikkelingsproces.

zoals reeds werd gezegd: de MS patch is een aangepaste GDI dll. maw
een nieuw dll bestand dat GDI.dll vervangt. (de opmerking over verstand
van versiecontrole en ontwikkelproces vind ik dus niet gepast).

Verder uitstekend dat MS toch van z'n troon komt en eerder een patch levert
(al was het alleen maar om nog meer negatieve publiciteit te stoppen)
06-01-2006, 14:42 door Anoniem
We weten al lang dat MS code van anderen kopiert. Dit noem
ik geen nieuws meer ;)
06-01-2006, 14:43 door Anoniem
De patch van Ilfa is die dan van voor 28-12?
06-01-2006, 15:13 door Anoniem
Door Anoniem
maar dit onderzoek denkt dat Microsoft de onofficiele
patch van Ilfak Guilfanov iets heeft aangepast, en voor haar
eigen doeleinden heeft gebruikt.

Wat een bullshit. Die Ilfa patch patcht calls naar die
setabort ellende in het geheugen. De MS patch is een
aangepaste gdi dll. Ilfa's patch vervangt die hele dll niet
eens.

Copy&paste redactioneel werkje dit weer.

He is inderdaad bull shit dat dit plagiaat zou zijn. Het is niet Ilfak's patch die
ene beetje aangepast is, dat is grote onzin.

Het uitschakelen van de functie in bepaalde gevallen is gewoon de beste
en snelste oplossing, en het staat Microsoft geheel vrij die te kiezen.

Inderdaad een kritiekloos overgenomen artikel. Het heeft de kwaliteit van
een Story, Privé of Weekend verhaal.
06-01-2006, 15:30 door G-Force
Tja....wat is professioneel en wat niet. Zal wel een eeuwige discussie
blijven, maar feit is wel dat iemand zijn beweegredenen niet zomaar
mogen worden afgebrand, tenzij men ook volledig alle feiten kent....
06-01-2006, 15:45 door Anoniem
<quote>1100 WMF exploit websites actief
Websense laat weten dat er meer dan 1100 websites actief zijn </quote>

Dat is niet waar. In de verklaring van Websense staat dat er 1100 URLs
actief zijn. URLs is heel wat anders dan 1100 web sites. Er zijn per web
site of server soms meer dan 20 URLs aanwezig.

En diverse domeinen verwijzen naar 1 server.
06-01-2006, 17:46 door Anoniem
reactie van Ilfak zelf:
"Come on, guys, Microsoft created and compiled the patch before me if
judged by the file timestamps."
07-01-2006, 01:26 door Bitwiper
Redactie:
> Pleegde Microsoft plagiaat met WMF patch?

De blog van Securiteam waar naar verwerzen wordt,
(http://blogs.securiteam.com/index.php/archives/184)
suggereert dat volgens mij niet, de auteur lijkt zich
vooral boos te maken dat Microsoft er zo lang over gedaan heeft.

Wel zijn er anderen, waaronder Gadi Evron, die deze
suggestie wekken, zie
http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041075.html
en
http://blogs.securiteam.com/index.php/archives/183.
Gadi is iemand die behalve zich in te zetten tegen malware
zoals bots en trojans (positief dus), op verschillende
maillijsten vooral zijn mening geeft, vaak zonder die met
feiten te onderbouwen.

Deze plagiaat suggestie is aantoonbaar onjuist. Iedereen
begrijpt dat je uiteindelijk moet voorkomen dat de routine
die met Escape subfunctie 9 (SetAbortProc) is aangemeld,
wordt uitgevoerd. Dat kan op verschillende manieren. Hoewel
beide routines de aanmelding onderscheppen,
verschillen ze wel: Ilfak's patch doet dat door de Escape
routine te hooken, Microsoft hooked een subfunctie van
PlayMetaFileRecord waarin de Escape routine wordt gecalled,
dus eerder in het proces bij het afspelen van metafiles.

Beide voorkomen de exploit via PlayMetaFile, maar
Microsoft's patch staat nog wel toe dat via Escape een
abortproc routine wordt aangemeld. In plaats van dat op de
aanbevolen wijze, nl. direct via de SetAbortProc winapi
routine, zouden oude of slecht geporte printerdrivers dat
nog wel eens kunnen doen. Uit de Win32 Programmers Reference
op m'n PC, onder "Escape":
Following is a list of the obsolete printer escapes
that are supported only for compatibility with 16-bit
versions of Windows:

Escape Description
...
SETABORTPROC Sets the Abort function for a print job.
...

Daarnaast is dit is de patchmethode zelf natuurlijk ook
totaal anders (geen extra DLL in elk proces, maar gewoon een
code wijziging).

Erik van Straten
07-01-2006, 11:15 door Anoniem
Erik van Straten:
"Gadi is iemand die behalve zich in te zetten tegen malware
zoals bots en trojans (positief dus), op verschillende
maillijsten vooral zijn mening geeft, vaak zonder die met
feiten te onderbouwen."

Dat heb je goed in de gaten, hij loopt graag in beeld. Het onderwerp maakt
niet uit. Daarbij "leent" hij ideëen van anderen, o.a. opgedaan in zijn eigen
mailing list Funsec. Die mailinglist is gesloten, maar toch ook weer niet.
Naar gelang het hem uitkomt.

De naam Funsec zegt al genoeg, er is niet bedoeld voor serieuze zaken.
Het is borrelpraat. De Securiteam blog zet het ook in de categorie funny. Ze
vinden het leuk Microsoft te stangen. Veel mensen nemen het onterecht
serieus en dan krijg je dit.

Nu over de vraag of dit verhaal terecht werd gepubliceerd op de weblog.
Ondanks de aangegeven nadelen, denk ik dat het wel terecht is, de
Microsoft PR machine kraamde baarlijke onzin uit om de impact van de
beveiligingsfout onder het tapijt te schoffelen en de Ilfak patch te dissen;
een koekje van eigen deeg was wel nodig. Het ging al lang niet meer om
de werkelijke argumenten.
07-01-2006, 18:06 door G-Force
Aangeraden wordt om alle URL's te blokkeren die eindigen op .wmf

Wie IE heeft, kan deze extensie opnemen in Zone met beperkte toegang.
Toets daarvoor in: *..wmf (dus sterretje, twee punten achter elkaar en
daarna wmf toetsten). Geef dit weer aan met OK.

Elke URL die eindigt op deze extensie kan het downloaden worden geblokkeerd als de zone met beperkte toegang op HOOG of HIGH staat.
07-01-2006, 21:48 door Anoniem
robS
Ach, is de patch er. Is het weer niet goed.

Zeikerds zijn er altijd.

Daar ben ik het geheel en el mee eens

mvg robS
09-01-2006, 17:09 door SirDice
't kan nooit plagiaat zijn.. Om te beginnen is Ilfak
Guilfanov in strijd geweest met de DMCA. Hij heeft tenslotte
(delen van) windows zitten reverse-engineeren om die patch
te kunnen maken en dat mag niet.. Het valt me nog mee dat'ie
nog niet is opgepakt..
10-01-2006, 09:40 door Anoniem
Door SirDice
't kan nooit plagiaat zijn.. Om te beginnen is Ilfak
Guilfanov in strijd geweest met de DMCA. Hij heeft tenslotte
(delen van) windows zitten reverse-engineeren om die patch
te kunnen maken en dat mag niet.. Het valt me nog mee dat'ie
nog niet is opgepakt..

Even zeiken over je Nederlands: Gulifanov heeft in strijd
met de dmca gehandeld, hij is zelf niet in strijd met de
dmca. mensen kunnen niet strijdig zijn met wetten, ze kunnen
alleen strijdig handelen.

Daarnaast is de dmca een Amerikaanse wet, die alleen
geldigheid heeft binnen de landsgrenzen van de VS.

Ten derde zegt de dmca niet zozeer iets over reverse
enigneeren in het algemeen maar over het gebruik van reverse
engineering om copy protection mechanisms te omzeilen. Maar
nogmaals, dit heeft alleen rechtsgeldigheid in de VS.
10-01-2006, 14:47 door Anoniem
Door Anoniem
We weten al lang dat MS code van anderen kopiert. Dit noem
ik geen nieuws meer ;)

Welke programmeur doet dat niet... ctrl-c ctrl-v is denk ik de meest
gebruikte toetsen combinatie van de gemiddelde programmeur.
11-01-2006, 21:01 door SirDice
Daarnaast is de dmca een Amerikaanse wet, die alleen geldigheid heeft binnen de landsgrenzen van de VS.
Dmitri Sklyarov? Gulifanov kan beter niet naar de VS reizen voorlopig..

en derde zegt de dmca niet zozeer iets over reverse enigneeren in het algemeen maar over het gebruik van reverse engineering om copy protection mechanisms te omzeilen.
Je hebt gelijk... Maar ze zullen er vast wel een andere leuke acroniem voor hebben.. PATRIOT misschien?

ctrl-c ctrl-v is denk ik de meest gebruikte toetsen combinatie van de gemiddelde programmeur.

#include "u:oldcodereallyoldcodeunknownsourcemaycrashwmf.h"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.