Nieuws

Microsoft kan ernstig IE-lek niet reproduceren

zaterdag 8 januari 2011, 20:54 door Redactie, 6 reacties

Het lukt Microsoft niet om een ernstig beveiligingslek in Internet Explorer aan de praat te krijgen, waardoor er altijd nog geen advisory is verschenen. Begin deze week onthulde de Poolse beveiligingsonderzoeker Michael Zalewski dat hij via een zelfgemaakte fuzzingtool meer dan honderd lekken in Internet Explorer, Firefox, Chrome, Safari en Opera had gevonden. In één geval zou het om een ernstige kwetsbaarheid in Internet Explorer gaan die ook bij Chinese hackers bekend is. Het Franse beveiligingsbedrijf Vupen bevestigde vervolgens het lek, maar een advisory van Microsoft bleef uit.

De softwaregigant laat nu in een overzicht van nog vijf potentiële zero-day lekken weten waarom het nog geen waarschuwing heeft afgegeven. De kwetsbaarheid in kwestie zou wel de browser laten crashen, maar het lukt Microsoft niet om vervolgens willekeurige code uit te voeren en het systeem over te nemen.

De overige vier problemen zijn aanwezig in WMI Administrative Tools ActiveX control, IIS 7.0 en 7.5 FTP service, Windows graphics rendering engine en Internet Explorer. Het CSS-lek in IE wordt volgens Microsoft beperkt bij aanvallen gebruikt en zou via de EMET-tool tijdelijk zijn te verhelpen. De kwetsbaarheid in IIS veroorzaakt in de meeste gevallen een Denial-of-Service. Microsoft heeft nog geen gevallen gezien waarbij systemen ook via dit lek werden overgenomen.

Wat betreft het WMI Administrative Tools ActiveX-lek is dit ActiveX control niet door Microsoft gesigneerd en hebben ook niet veel systemen het geïnstalleerd, waardoor het gevaar voor de meeste gebruikers zeer klein is. Voor het recent gerapporteerde lek in de Windows graphics rendering engine is er inmiddels een Fix-it oplossing, die de Access Control List van de kwetsbare shimgvw.dll aanpast.

Google
De situatie waarbij Zalewski zijn tool openbaarde zonder op een update van Microsoft te wachten lijkt op een incident met onderzoeker Tavis Ormandy. Die onthulde vorig jaar een ernstig lek in Windows XP omdat Microsoft geen afspraak over het uitbrengen van de patch wilde maken. Ook bij Zalewski vroeg Microsoft om uitstel, maar de onderzoeker vond dat de softwaregigant geen excuus had om het probleem zo lang te laten zitten. Microsoft zou al zo'n zes maanden geleden zijn gewaarschuwd, maar liet verder niets van zich horen.

Zowel Zalewski als Ormandy werken als beveiligingsonderzoeker bij Google, maar hebben de kwetsbaarheden en tool geheel in eigen naam gepubliceerd. Ormandy en andere beveiligingsexperts waren afgelopen zomer furieus dat de media steeds de naam van Google lieten vallen. Ook nu zijn er tal van nieuwsberichten verschenen waarin de naam van Google wordt genoemd, terwijl dat geheel los van het voorval staat. "Ik ben Google niet. Wil je echt in een wereld leven waar elke actie die je neemt moet zijn goedgekeurd door je werkgever?", aldus Ormandy destijds.

DNS Google Bangladesh gekaapt

Niet-ASCII-tekens probleem in wachtwoord

Reacties (6)

09-01-2011, 02:29 door Anoniem

Suggestieve kop weer. Zalewski heeft een fuzzer gepubliceerd die meerdere lekken vind; het gaat niet om een specifiek lek. Op de blog staat dat Microsoft nog niet in staat was om een stand-alone repro te maken van de fuzzer resultaten. Iets wat met de type lekken ook erg lastig is (voornamelijk use-after-free bugs die waarschijnlijk ook timing afhankelijk zijn)

Opvallend overigens dat al 3 medewerkers van Google (Zalewski, Ormandy en Evans) exploits in IE hebben gepubliceerd in hun "eigen tijd" zonder dat er een patch beschikbaar was.

09-01-2011, 09:42 door Anoniem

Als je echt zo paranoia over beveiligingslekken bent,dan is Linux een betere oplossing.
Daar zitten ook wel lekken in maar die worden altijd sneller door de opensource gemeenschap gedicht.
Trouwens je hebt bij Linux geen last van de internetexplorer exploits,en alle lekken die MS nog niet kan dichten.

09-01-2011, 10:10 door WhizzMan

Even de politiek over de eventuele betrokkenheid van Google er buiten latend, MicroSoft zal kennelijk adequater moeten reageren op meldingen. Het is niet alsof ze 24 uur de tijd hebben gekregen om de boel op te lossen tenslotte. Melding, code vinden, bug patchen, testen en in de volgende patchronde meenemen zou binnen 2 maanden moeten lukken. In het ergste geval 3, als je net na "patch tuesday" de melding krijgt en je de boel niet binnen de maand rond krijgt. Als een organisatie met zo veel coders als MicroSoft meer dan een maand moet doen over het oplossen van een bug, hebben ze het aan zichzelf te wijten als er gepubliceerd wordt.

09-01-2011, 11:59 door Anoniem

De vraag is, hoe kan je iets repareren zonder te weten wat er kapot is. Enige wat MS kan doen in dit geval is de BO er uit halen. Maar een mogelijke impact analyse (Advisory) kunnen ze niet geven.

Nu is de vraag in hoeverre deze Pool niet bezig is zichzelf te verkopen aan de buitenwereld. Want ik blijf het gevoel houden dat deze man iets doet wat niet helemaal te vertrouwen is. Vooral het bashgehalte richting MS valt mij op terwijl er in andere browsers ook ernstige fouten zitten die nog niet opgelost zijn.

Ik denk ook dat we deze man met een korreltje zout moeten nemen en mijn gevoel heeft me de afgelopen 20 jaar nog nooit in de steek gelaten.

09-01-2011, 15:19 door Anoniem

Door WhizzMan: Even de politiek over de eventuele betrokkenheid van Google er buiten latend, MicroSoft zal kennelijk adequater moeten reageren op meldingen. Het is niet alsof ze 24 uur de tijd hebben gekregen om de boel op te lossen tenslotte. Melding, code vinden, bug patchen, testen en in de volgende patchronde meenemen zou binnen 2 maanden moeten lukken. In het ergste geval 3, als je net na "patch tuesday" de melding krijgt en je de boel niet binnen de maand rond krijgt. Als een organisatie met zo veel coders als MicroSoft meer dan een maand moet doen over het oplossen van een bug, hebben ze het aan zichzelf te wijten als er gepubliceerd wordt.

En als je de bug niet kunt reproduceren, dan kun je toch ook geen fix ontwikkelen? Of zie ik dit nu heel erg verkeerd en kun je wel iets fixen waarvan je niet weet wat er kapot is?

11-01-2011, 08:43 door spatieman

It is not a bug, it is a undocumented option.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer