image

Microsoft wint 'Epic FAIL' award voor IE8

vrijdag 30 juli 2010, 10:07 door Redactie, 9 reacties

Microsoft was de grote verliezer tijdens de Pwnie Awards van afgelopen nacht, toch ging de softwaregigant met de 'Epic FAIL' award naar huis. Elk jaar worden tijdens de Black Hat Conferentie de Pwnie Awards georganiseerd, een speciaal evenement waarbij de grootste lekken en beveiligingsblunders in de prijzen vallen. In totaal waren lekken in en aanvallen op Microsoft software tien keer genomineerd, maar ging de softwaregigant er uiteindelijk met drie Pwnies vandoor.

Het eerste beeldje was er voor 'Best Privilege Escalation Bug'. Dit lek was aanwezig in alle Windows versies van NT 3.1 t/m Windows 7 en werd ontdekt door Google-onderzoeker Tavis Ormandy. De jury loofde vooral de kennis die Ormandy had over de "obscure aspecten van de Intel architectuur." De tweede Pwnie was voor het meest innovatieve onderzoek. Dionysus Blazakis ontdekte een manier voor het omzeilen van de Windows beveiligingsmaatregelen DEP en ASLR via de Flash AVM2 virtual machine en JIT engine. "Zijn werk was nieuw en opende een geheel nieuwe richting in exploit-onderzoek", aldus de Jury.

Epic FAIL
Bij de verkiezing voor 'Epic FAIL' had Microsoft geduchte concurrentie. Ook McAfee was genomineerd wegens het verminken van miljoenen computers via een foute anti-virus update en ook IBM maakte een kans, wegens het verspreiden van geïnfecteerde USB-sticks tijdens een beveiligingsconferentie. Toch was het Internet Explorer 8 dat er met de prijs vandoor ging. "Soms zorgt het geven van 110% ervoor dat je FAIL nog meer epic is. En wat voor zin zou het internet hebben als het deze FAIL niet voor eeuwig kon vastleggen?", aldus de jury.

De fout in IE8 betrof het cross-site scripting filter, dat ervoor zorgde dat juist beveiligde websites kwetsbaar voor cross-site scripting waren. "Ironisch. Epic. Fail", waren de woorden van de jury.

Prijzen
De award voor server-side bug, waar Microsoft ook aan meedeed, ging naar de Apache Struts2 framework remote code execution. De 'Best Client-Side Bug' was voor het Java Trusted Method Chaining-lek. Verder won LANRev de Pwnie voor 'Lamest Vendor Response'. De software van het bedrijf kreeg veel aandacht omdat het door scholen werd gebruikt voor het bespioneren van leerlingen. Later bleek dat er ook een lek in de software zat waardoor aanvallers het systeem konden overnemen.

De reactie van het bedrijf was volgens de jury hilarisch. "Is het in theorie mogelijk om dit te misbruiken? Natuurlijk is dat zo. Maar we zijn niet bekend met klanten die hier een probleem mee hebben. Als een klant zich hier druk om zou maken, dan zouden we ze meteen een patch geven", aldus LANRev vice president Tim Parker. De Pwnie voor het beste muzieknummer ging naar Dr. Raid en Heavy Pennies met hun 'Pwned - 1337 edition.'

Reacties (9)
30-07-2010, 10:44 door Anoniem
De Pwnie voor het beste muzieknummer ging naar Dr. Raid en Heavy Pennies met hun 'Pwned - 1337 edition.'
Dat is 'muziek' nummer zuigt!
30-07-2010, 11:28 door Anoniem
Grappig dat Google blijft buiten schot, hoe zou dat nu komen? Sponsor misschien?
Per 'ongeluk' jarenlang informatie pikken door Google Streetview, lijkt mij toch de Epic fail van dit decennia.
Daar zijn de issues van IE8 maar een schijntje bij.
30-07-2010, 12:26 door Anoniem
Al ooit eens geweten dat ze eens niet afgeven op MicroSoft??
Ik zou daar eens willen gaan kijken op die Black Hat Conferentie, ik denk dat daar echt een bende wacko's rondloopt.
Maar al bij al: negatieve of positieve reclame, het is en blijft reclame punt
30-07-2010, 12:33 door wizzkizz
dus deze zeer objectieve organisatie vindt een blunder in een XSS filter waarvan de impact beperkt is belangrijker dan miljoenen computers die onbruikbaar worden door foutieve definities of het jarenlang illegaal opslaan van WiFi-data door Google.

tsssss....
30-07-2010, 12:45 door Anoniem
Door wizzkizz: dus deze zeer objectieve organisatie vindt een blunder in een XSS filter waarvan de impact beperkt is belangrijker dan miljoenen computers die onbruikbaar worden door foutieve definities of het jarenlang illegaal opslaan van WiFi-data door Google.

tsssss....

Als je het op vlak van kwantiteit wil bekijken wint MS nog, die maken nog meer computers onbruikbaar met Windows.
30-07-2010, 13:36 door Anoniem
Ik heb nog nooit een computer gehad die onbruikbaar werd gemaakt door Windows. Hou alsjeblieft op met het zemelen op Microsoft. Als je er niet mee kan werken moet je maar eens zo'n boekje kopen 'Windows voor Dummies' of zo. Ik werk al jaren met veel plezier en gemak met Windows, voor wat ik doe heb ik geen beter alternatief (laat staan makkelijker) gevonden.
30-07-2010, 13:43 door Anoniem
Door Anoniem: Grappig dat Google blijft buiten schot, hoe zou dat nu komen? Sponsor misschien?
Per 'ongeluk' jarenlang informatie pikken door Google Streetview, lijkt mij toch de Epic fail van dit decennia.
Daar zijn de issues van IE8 maar een schijntje bij.
Dit 'decennium' (enkelvoud!).
En het is geen 'fail', want geen fout, maar bewust gedaan. Niet goed on te doen, wel goed gedaan. Geen fail.

En ja, McAfee had 'm zeker ook verdient.
Misschien heeft MS een iets te grote monde gehad over de veiligheid van IE8?
30-07-2010, 14:17 door SirDice
Door wizzkizz: dus deze zeer objectieve organisatie vindt een blunder in een XSS filter waarvan de impact beperkt is belangrijker dan miljoenen computers die onbruikbaar worden door foutieve definities of het jarenlang illegaal opslaan van WiFi-data door Google.

Het filter diende juist ter bescherming om vervolgens sites die geen problemen hadden vatbaar te maken. Dan schiet je jezelf toch aardig in de voet. Epic fail dus.
30-07-2010, 18:50 door Anoniem
Adobe verdient de prijs eerder. Of misschien wel heel Windows.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.