image

Microsoft: WMF lek is geen verborgen achterdeur

maandag 16 januari 2006, 09:55 door Redactie, 9 reacties

Security onderzoeker Steve Gibson zorgde voor de nodige ophef met zijn bewering dat de WMF kwetsbaarheid in Windows geen bug is, maar een bewuste achterdeur van Microsoft. De softwaregigant heeft nu via Stephen Toulouse van het Microsoft Security Response Center laten weten dat het hier niet om een backdoor gaat, maar een functionaliteit om printertaken te stoppen. De bewuste SetAbortProc functionaliteit bestond al voor het WMF formaat.

"Vergeet niet dat dit de dagen van "cooperative multitasking" waren, en dat de enige manier om een printtaak te stoppen was om die terug te roepen. In 1990 werd WMF ondersteuning aan Windows 3.0 toegevoegd als een "file-based set" van commando's die door GDI gebruikt werd.

De SetAbortProc functionaliteit, net als alle andere commando's die door GDI ondersteund worden, werd overgezet door onze ontwikkelaars om herkend te worden als die werd aangeroepen door een WMF. Het security landschap zag er toen heel anders uit en metafile records werden volledig vertrouwd door het besturingssysteem. Om samen te vatten, de SetAbortProc functionaliteit vervulde een belangrijke taak" zegt Toulouse.

Wat betreft het WMF lek in Windows 9x laat Toulouse weten dat de besturingssystemen niet kwetsbaar zijn om het geen "Critical" aanvalsvector betreft. Vanwege een extra stap in het proces zal het SetAbortProc record niet verwerkt worden. Hierdoor is Windows 9x niet kwetsbaar. Alleen in het geval van kritiek lekken zal Microsoft nog tot juni van dit jaar updates voor het oude platform uitbrengen.

Reacties (9)
16-01-2006, 11:39 door hugo_nl
Je moet echt 'verliefd' op ze zijn om er niet doorheen te
prikken, he:
Hierdoor is Windows 9x niet kwetsbaar. Alleen in het
geval van kritiek lekken zal Microsoft nog tot juni van dit
jaar updates voor het oude platform uitbrengen.

`Windows 9x is niet kwetsbaar, maar we weten het niet zeker,
hoor.'

Met zulke 'vrienden' heb je geen vijanden meer nodig...
16-01-2006, 11:50 door pipo
Gates en ik, twee handen op één buik. De statement door
Microsoft afgegeven is geloofwaardig te noemen daar deze
functionaliteit inderdaad al aanwezig was lang voordat ook
maar iemand het woord Internet kende.

Het probleem ligt dan ook genuanceerder en duidt op de
steeds weer terugkerende fout bij de Microsoft organisatie,
namelijk het continu doorontwikkelingen van bestaande
operating systemen.

Er wordt onvoldoende gekeken naar de huidige situatie
waardoor functionaliteiten uit het verleden niet voldoende
kritisch worden beoordeeld op het heden. Daarnaast wordt het
o.s. te complex door het continu toevoegen van code regels,
in plaats van het o.s. te herschrijven.

Maar verder ? pracht o.s. dat Windows, zonder zou in elk
geval meer dan 90 % van de lezers hier zonder werk zitten.
Ja, ook diegene die beweert geen Windows te draaien, want
alternatieven zouden niet snel ontwikkeld zijn wanneer er
weinig haperingen op het Microsoft platform bestonden.

Denk daar maar eens over na ....
16-01-2006, 13:30 door Anoniem
Ok, Microsoft beweert dus dat dit geen bewuste backdoor is.
Is het dan een onbewuste? Gibson heeft nu de functie
gevonden die de ingekapselde code in een WMF bestand
aanroept, en deze aanroep controleert achteraf ook nog even
netjes of de WMF code een statuscode afgeeft en gaat daarna
vrolijk door met de verdere afhandeling van het WMF bestand.

Ik ben maar een leek hoor, maar ik kan mij nioet voorstellen
dat een functie als SetAbortProc bedoeld is om code *IN* het
bestandsformaat aan te roepen?!?!? Misschien kan iemand mij
dit even uitleggen. Stel ik ben een WMF aan het printen en
ik druk op Cancel. Want daar is SetAbortProc toch voor
bedoeld, of niet dan? Dan wordt er dus code uit het WMF
aangeroepen.... Echter, Gibson heeft al aangetoond dat dit
alleen gebeurt als de lengte van het SetAbortProc WMF-record
expliciet op 1 staat. Een waarde die normaal niet voor kan
komen. Geen 0, geen 2 of andere waarde, maar expliciet
1..... Dus eigenlijk een foutieve aanroep van een zogenaamd
legale functie....

Nu programmeer ik pas 27 jaar in zo'n 15+ talen, maar ik kan
me eigenlijk niet voorstellen waarom een SetAbortProc
routine uberhaupt code in het grafische bestandsformaat zelf
zou moeten aanroepen. Wie heldert dit even op? Zou het niet
handiger zijn om dit door het print-programma zelf te laten
doen? Ipv. het in *ieder* WMF bestand te gaan programmeren?
En waar zijn dan al die WMF bestanden waar dit ook
daadwerkelijk uitgewerkt is?

Sorry hoor. Maar Gibson is niet eens een open-source fanaat.
Hij programmeert alleen op Windows, dus wat voor baat heeft
hij erbij om Microsoft zwart te maken? Misschien wil hij z'n
naam weer in het nieuws hebben? Tja wie weet... maar ach, in
ieder geval is Mark Russinovich (je weet wel, die van de
SONY DRM rootkit) zich er nu ook in aan het verdiepen, dus
dit verhaal krijgt nog wel een staartje...
16-01-2006, 13:36 door Anoniem
Door pipo
Maar verder ? pracht o.s. dat Windows, zonder zou in elk
geval meer dan 90 % van de lezers hier zonder werk zitten.
Ja, ook diegene die beweert geen Windows te draaien, want
alternatieven zouden niet snel ontwikkeld zijn wanneer er
weinig haperingen op het Microsoft platform bestonden.

Denk daar maar eens over na ....


Sterker nog, zonder Windows geen Linux.......... het was de
"ergernis" van programmeurs die dit initiatief het
levenslicht gaf.
16-01-2006, 14:02 door Anoniem
Heel interessant dat Win3.0 verhaal, en wat hebben we daar
op dit moment aan? (de mensen die nog steeds Win3.x draaien
daargelaten)
16-01-2006, 14:35 door Anoniem
pipo, je draait om het probleem heen: zo gaat het al jaren
bij MS en ze doen er niets aan. Erger: het wordt alleen maar
verslechterd terwijl ze roepen dat ze het beter maken.

En hoe belangrijk Windows is? Met UNIX, DOS, OS2 en tal van
andere systemen heeft de wereld het ruim 15 jaar prima
gedaan zonder ontslagen. Windows is en blijft een gemaksproduct.
16-01-2006, 21:17 door Anoniem
Door Anoniem
Door pipo
Maar verder ? pracht o.s. dat Windows, zonder zou in elk
geval meer dan 90 % van de lezers hier zonder werk zitten.
Ja, ook diegene die beweert geen Windows te draaien, want
alternatieven zouden niet snel ontwikkeld zijn wanneer er
weinig haperingen op het Microsoft platform bestonden.

Denk daar maar eens over na ....


Sterker nog, zonder Windows geen Linux.......... het was de
"ergernis" van programmeurs die dit initiatief het
levenslicht gaf.
.... een redenatie waarvan velen denken dat het waar is,
maar helaas, niet het juiste antwoord, u gaat niet door naar
de volgende ronde.
Het is ontstaan omdat er geen unix variant was voor op het
x86 platform.
http://wiki.nedlinux.nl/index.php?page=OntstaanLinux
17-01-2006, 15:54 door pipo
Door Anoniem
Door Anoniem
Door pipo
Maar verder ? pracht o.s. dat Windows, zonder zou in elk
geval meer dan 90 % van de lezers hier zonder werk zitten.
Ja, ook diegene die beweert geen Windows te draaien, want
alternatieven zouden niet snel ontwikkeld zijn wanneer er
weinig haperingen op het Microsoft platform bestonden.

Denk daar maar eens over na ....


Sterker nog, zonder Windows geen Linux.......... het was de
"ergernis" van programmeurs die dit initiatief het
levenslicht gaf.
.... een redenatie waarvan velen denken dat het waar is,
maar helaas, niet het juiste antwoord, u gaat niet door naar
de volgende ronde.
Het is ontstaan omdat er geen unix variant was voor op het
x86 platform.
http://wiki.nedlinux.nl/index.php?page=OntstaanLinux


correctie: Het is MEDE ontstaan omdat er geen unix variant
was voor op het
x86 platform.

Een SCO Unix is al jaren te draaien op een x86 platform ....
17-01-2006, 15:56 door pipo
Door Anoniem
pipo, je draait om het probleem heen: zo gaat het al jaren
bij MS en ze doen er niets aan. Erger: het wordt alleen maar
verslechterd terwijl ze roepen dat ze het beter maken.
.

Dan heb je waarschijnlijk een aantal alinea's overgeslagen
want er staat toch duidelijk geschreven waar het mijn
inziens fout gaat. Maar voor jouw nog een keer 'een sigaar
uit eigen doos':

Het probleem ligt dan ook genuanceerder en duidt op de
steeds weer terugkerende fout bij de Microsoft organisatie,
namelijk het continu doorontwikkelingen van bestaande
operating systemen.

Er wordt onvoldoende gekeken naar de huidige situatie
waardoor functionaliteiten uit het verleden niet voldoende
kritisch worden beoordeeld op het heden. Daarnaast wordt het
o.s. te complex door het continu toevoegen van code regels,
in plaats van het o.s. te herschrijven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.