image

Microsoft: Windows kwetsbaarheid is geen bug maar feature

donderdag 6 juli 2006, 14:45 door Redactie, 15 reacties

Volgens Microsoft is een "truc" waardoor een uitvoerbaar bestand geladen wordt als de gebruiker een URL in Internet Explorer typt, geen security kwetsbaarheid maar een feature.

Via Windows XP en Internet Explorer is het eenvoudig om een scenario te maken waarbij een gebruiker een adres in de browser typt, zoals www.microsoft.com, maar in plaats dat de website getoond wordt, voert de browser een bestand uit dat op de computer staat.

De "truc" is te testen door:

  • Maak een nieuwe snelkoppeling
  • Wijs de snelkoppeling naar een uitvoerbaar bestand, zoals c:windowssystem32calc.exe
  • Geef de snelkoppeling de naam www.microsoft.com
  • Start Internet Explorer en type "www.microsoft.com" in de adresbalk
Volgens Microsoft gaat het hier niet om een security lek, maar om een feature die legitieme applicaties kunnen gebruiken.

"Het is belangrijk om het verschil tussen security problemen en legitieme features te maken. Een security lek helpt een aanvaller om iets te doen wat ze eigenlijk niet moeten kunnen, wat in dit geval niet zo is" aldus de softwaregigant.

Security experts zijn echter bang dat virusschrijvers de truc zullen misbruiken. "De zogenaamd handige features van Microsoft zorgen keer op keer voor security problemen die voor kwaadaardige doeleinden misbruikt worden. Dit zal geen uitzondering zijn" zegt Michael Warrilow. Volgens security analist James Turner is de kans erg groot dat deze feaure via een klein beetje social engineering misbruikt wordt.

Reacties (15)
06-07-2006, 15:17 door awesselius
Zo ken ik er ook nog wel een paar.

Een open balkon met een open deur dat niet op slot kan. Dat
is makkelijk omdat je dan zo in en uit kan lopen zonder
sleutel en een deur die niet open draait..... Dat is een
feature van een appartement misschien, maar laat ook te
wensen over wat veiligheid betreft.

Met deze houding in de top van het bedrijfsleven zal men
nooit 'verantwoordelijkheid' tonen. Immers schoonheid is in
het oog van de aanschouwer. Wat de een een bug noemt, noemt
de ander een lek en weer een ander een feature.

Zolang het mijn systeem helemaal open zet, vind ik het een
lek. Werkt mijn computer niet meer naar behoren, dan is het
een bug. Pas als ik er vol vertrouwen en zonder problemen
'gebruik' van kan maken, vind ik het een feature.

Daarnaast, zal deze feature ook wel nergens gedocumenteerd
staan, wat wel vaker voorkomt bij de software van Microsoft.
Als het dan zo bruikbaar zou zijn, dan zou je het toch wel
graag documenteren zodat men er dan ook gebruik van kan
maken? Maar nee, je kunt er ook misbruik van maken, dus dan
maar niet documenteren? Een lek, maar op zijn minst een bug.

- Unomi -
06-07-2006, 15:29 door Anoniem
Misschien handig dat toch iedereen maar aanleerd een URL op
de enige goede wijze in te vullen ? Dus inclusief http:// en
vrienden ? Ik neem aan dat in zo'n geval wel degelijk de
juste site geopend wordt.
06-07-2006, 16:15 door Anoniem
Met Firefox kan je ook lokale bestanden openen
(file://map/map/bestand.ext), ook op linux overigens. Het probleem zit 'm
erin dat in Windows alles dat je kan lezen, per definitie ook uitvoerbaar is.
En de integratie van (internet) explorer in het OS, maakt het feest compleet.
Een van die dingen waardoor Windows per definitie onveilig is.
06-07-2006, 16:48 door Anoniem
undocumented features
06-07-2006, 16:57 door Anoniem
Met firefox werkt deze 'feature' niet, en dat is maar goed
ook, want dit kan toch niet serieus gezien worden als een
feature (behalve door M$ nat.)
06-07-2006, 18:32 door Anoniem
Yeah,

right! Let's 'call' it a feature...
06-07-2006, 18:37 door Anoniem
De "truc" is te testen door:

* Maak een nieuwe snelkoppeling
* Wijs de snelkoppeling naar een uitvoerbaar bestand,
zoals c:windowssystem32keylogger.exe
* Geef de snelkoppeling de naam http://www.blabank.nl
* Start Internet Explorer en type "www.blabank.nl" in de
adresbalk

Nee, dat is inderdaad een feature.
06-07-2006, 19:33 door Anoniem
Een feature voor personen met kwade bedoelingen misschien?

Je kan alles wat een feature noemen, heb je nooit meer last
van lekken en bugs.
06-07-2006, 21:45 door Anoniem
De oude slogan van Philips heb ik nooit begrepen.
Dingen beter gaan maken in het Nederlands. Dus wat ze hadden was
slecht!!
Als er een slogan bij Microsoft past,is het de oude van Philips!
06-07-2006, 22:27 door Leopard
Door Beukenoot
De oude slogan van Philips heb ik nooit begrepen.
Dingen beter gaan maken in het Nederlands. Dus wat ze hadden
was
slecht!!
Als er een slogan bij Microsoft past,is het de oude van
Philips!

je kaniets nooit perfect maken, dus je kan altijd beter
maken. dus het hoeft niet slecht te zijn
07-07-2006, 00:39 door Anoniem
open deurtje maar ik zie hem nog niet gemaakt zijn:

Als een feature te misbruiken is door kwaadwillenden is het
een security hole, niet andersom.
07-07-2006, 08:19 door Anoniem
als de kwaadwillende software/persoon toch al iets lokaal kon plaatsen.
waarom dan nog al die moeite doen?
07-07-2006, 08:22 door Anoniem
Door Beukenoot
De oude slogan van Philips heb ik nooit begrepen.
Dingen beter gaan maken in het Nederlands. Dus wat ze hadden was
slecht!!
Als er een slogan bij Microsoft past,is het de oude van Philips!

Practice Makes Perfect!! once..
07-07-2006, 10:07 door [Account Verwijderd]
[Verwijderd]
07-07-2006, 20:40 door rob
Kies MS Windows... het heeft heel veel features :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.