Kritiek JPEG lek al jaar bij Microsoft bekend
Het "GDIPlus.DLL JPEG Parsing Engine Buffer Overflow" lek dat Microsoft met haar nieuwste patch, Security Bulletin 28, verholpen heeft, is al een jaar bij de softwaregigant bekend, aldus deze post op de Full-Disclosure mailinglist. Het lek zou op 7 oktober 2003 gemeld zijn. De anonieme nieuwssubmitter die ons dit nieuws bracht denkt dan ook dat meldingen dat er geen exploit code in het wild zijn aangetroffen met een grote korrel zout genomen moeten worden.
Reacties (22)
Nou, ik denk dat de ontdekker netjes is geweest en het niet heeft
gepubliceerd voordat er een patch was. Dat het bijna een jaar heeft geduurd
vind ik ook niet verwonderlijk, want het is ook wel een huge probleem met
een moeilijke oplossing.
Als er al een exploit voor is in het wild, dan zou het zeker bekend zijn
geworden bij security experts. Maar ik heb er tot voor kort niets over gehoord
via de mailinglists. Ik denk dus dat er geen exploits in het wild zijn.
gepubliceerd voordat er een patch was. Dat het bijna een jaar heeft geduurd
vind ik ook niet verwonderlijk, want het is ook wel een huge probleem met
een moeilijke oplossing.
Als er al een exploit voor is in het wild, dan zou het zeker bekend zijn
geworden bij security experts. Maar ik heb er tot voor kort niets over gehoord
via de mailinglists. Ik denk dus dat er geen exploits in het wild zijn.
Door Anoniem
Nou, ik denk dat de ontdekker netjes is geweest en het niet
heeft
gepubliceerd voordat er een patch was. Dat het bijna een
jaar heeft geduurd
vind ik ook niet verwonderlijk, want het is ook wel een huge
probleem met
een moeilijke oplossing.
Nou, ik denk dat de ontdekker netjes is geweest en het niet
heeft
gepubliceerd voordat er een patch was. Dat het bijna een
jaar heeft geduurd
vind ik ook niet verwonderlijk, want het is ook wel een huge
probleem met
een moeilijke oplossing.
Sorry hoor, maar hoe weet je dat het een huge probleem is? 1
dll, volgens mij kan je dat wel binnen, laten we het ruim
nemen: 4 uur doen!
4 uur is dikke vette onzin. Met het programmeer werk zit je waarschijnlijk al
aan de 4 uur, want je moet natuurlijk wel zorgen dat je niet andere lekken laat
zitten / creëert. Meneer DeBaggis vond het kennelijk ook niet te lang, want hij
heeft de bug gister pas gepubliceert, en hij kan toch wel weten wat een
gangbare tijd is om dit te laten fixen dacht ik zo.
Bovendien maakt het niet uit of het heel lang heeft geduurt of niet, want het is
opgelost voordat het lek bekend werd gemaakt, of dat er een exploit voor was.
aan de 4 uur, want je moet natuurlijk wel zorgen dat je niet andere lekken laat
zitten / creëert. Meneer DeBaggis vond het kennelijk ook niet te lang, want hij
heeft de bug gister pas gepubliceert, en hij kan toch wel weten wat een
gangbare tijd is om dit te laten fixen dacht ik zo.
Bovendien maakt het niet uit of het heel lang heeft geduurt of niet, want het is
opgelost voordat het lek bekend werd gemaakt, of dat er een exploit voor was.
Door Anoniem
Sorry hoor, maar hoe weet je dat het een huge probleem is? 1
dll, volgens mij kan je dat wel binnen, laten we het ruim
nemen: 4 uur doen!
Door Anoniem
Nou, ik denk dat de ontdekker netjes is geweest en het niet
heeft
gepubliceerd voordat er een patch was. Dat het bijna een
jaar heeft geduurd
vind ik ook niet verwonderlijk, want het is ook wel een huge
probleem met
een moeilijke oplossing.
Nou, ik denk dat de ontdekker netjes is geweest en het niet
heeft
gepubliceerd voordat er een patch was. Dat het bijna een
jaar heeft geduurd
vind ik ook niet verwonderlijk, want het is ook wel een huge
probleem met
een moeilijke oplossing.
Sorry hoor, maar hoe weet je dat het een huge probleem is? 1
dll, volgens mij kan je dat wel binnen, laten we het ruim
nemen: 4 uur doen!
Leuk, die natte-vingerwerk-commentaren.
Emmm.... als je nu een extreem duur abotje had gehad op microsoft
(premium), dan had je het een half jaar geleden al geweten ;) volgens dit
verhaal http://www.security.nl/article/8647/1
Alles draait om 0 & 1
(premium), dan had je het een half jaar geleden al geweten ;) volgens dit
verhaal http://www.security.nl/article/8647/1
Alles draait om 0 & 1
Door Anoniem
Als er al een exploit voor is in het wild, dan zou het zeker
bekend zijn
geworden bij security experts. Maar ik heb er tot voor kort
niets over gehoord
via de mailinglists. Ik denk dus dat er geen exploits in het
wild zijn.
Als er al een exploit voor is in het wild, dan zou het zeker
bekend zijn
geworden bij security experts. Maar ik heb er tot voor kort
niets over gehoord
via de mailinglists. Ik denk dus dat er geen exploits in het
wild zijn.
Kijk, dat was dus het punt dat ik wilde maken. Het feit dat
je er niet van hoort wil niet zeggen dat die exploits er
niet zijn. Het feit dat ze niet groot ingezet worden wil
niet zeggen dat ze niet ingezet worden.
Of misschien ligt dit lek wel ten grondslag aan de
"onverklaarbare serverhacks" van een paar weken terug... het
zou me niet verbazen als dat zo zou zijn.
Wie zegt dat deze meneer gelijk heeft en M$ er een jaar over heeft gedaan. Ik
zie teveel mensen die het leuk vinden m$ dwars te zitten.
zie teveel mensen die het leuk vinden m$ dwars te zitten.
Door Anoniem
Het feit dat je er niet van hoort wil niet zeggen dat die exploits er niet zijn. Het
feit dat ze niet groot ingezet worden wil niet zeggen dat ze niet ingezet worden.
Persoonlijk heb ik altijd het idee dat als er een jaar lang een evil Het feit dat je er niet van hoort wil niet zeggen dat die exploits er niet zijn. Het
feit dat ze niet groot ingezet worden wil niet zeggen dat ze niet ingezet worden.
plaatje rondwaard, dat security experts dit echt wel gezien zouden hebben.
Het hoeft inderdaad niet zo te zijn natuurlijk.
Of misschien ligt dit lek wel
ten grondslag aan de "onverklaarbare serverhacks" van een paar weken
terug... het zou me niet verbazen als dat zo zou zijn.
Dat lijkt me erg ten grondslag aan de "onverklaarbare serverhacks" van een paar weken
terug... het zou me niet verbazen als dat zo zou zijn.
sterk. Dit omdat een beetje beheerder geen plaatjes gaat bekijken op de
server.
15-09-2004, 17:19 door
Redz
Als je verder leest in de posting, blijkt een gelijksoortig
lek op 25 juli 2000 voor Netscape gevonden te zijn. Toevallig.
lek op 25 juli 2000 voor Netscape gevonden te zijn. Toevallig.
Door Redz
Als je verder leest in de posting, blijkt een gelijksoortig
lek op 25 juli 2000 voor Netscape gevonden te zijn. Toevallig.
Als je verder leest in de posting, blijkt een gelijksoortig
lek op 25 juli 2000 voor Netscape gevonden te zijn. Toevallig.
Hoezo?
In .pdf .gif .png zijn implementaties (o.a. windows/explorer platform) zijn ook
al reeds te exploiten buffertjes gevonden, dus zo toevallig is het niet.
Het zou in theorie zelfs mogelijk zijn om in .txt parser bugs te vinden, alleen
zal dat moeilijker te exploiten zijn. (effe ansi.sys uit ms-dos tijdperk
buitenbeschouwing latend.)
Door Anoniem
Wie zegt dat deze meneer gelijk heeft en M$ er een jaar over
heeft gedaan. Ik
zie teveel mensen die het leuk vinden m$ dwars te
zitten.
Wie zegt dat deze meneer gelijk heeft en M$ er een jaar over
heeft gedaan. Ik
zie teveel mensen die het leuk vinden m$ dwars te
zitten.
Ik zie teveel mensen die nog steeds MS gebruiken.....
Door Anoniem
4 uur is dikke vette onzin. Met het programmeer werk zit je waarschijnlijk al
aan de 4 uur, want je moet natuurlijk wel zorgen dat je niet andere lekken laat
zitten / creëert. Meneer DeBaggis vond het kennelijk ook niet te lang, want hij
heeft de bug gister pas gepubliceert, en hij kan toch wel weten wat een
gangbare tijd is om dit te laten fixen dacht ik zo.
Bovendien maakt het niet uit of het heel lang heeft geduurt of niet, want het is
opgelost voordat het lek bekend werd gemaakt, of dat er een exploit voor was.
4 uur is misschien wat overdreven, maar als ervaren programmeur durf ik 4 uur is dikke vette onzin. Met het programmeer werk zit je waarschijnlijk al
aan de 4 uur, want je moet natuurlijk wel zorgen dat je niet andere lekken laat
zitten / creëert. Meneer DeBaggis vond het kennelijk ook niet te lang, want hij
heeft de bug gister pas gepubliceert, en hij kan toch wel weten wat een
gangbare tijd is om dit te laten fixen dacht ik zo.
Bovendien maakt het niet uit of het heel lang heeft geduurt of niet, want het is
opgelost voordat het lek bekend werd gemaakt, of dat er een exploit voor was.
mijn hand er voor in het vuur te steken dat dit probleem met 2 regels extra
code op te lossen is. Neem vervolgens nog een paar dagen om de nieuw
gecompileerde dll even grondig te testen en klaar.
Zelfde voor alle andere onderdelen van Windows waarin jpeg-decoders
zitten, al met al moeten ze zeker na een week of 2 klaar zijn.
Is het jullie nog nooit opgevallen dat OpenSource lekken als
volgt aangekondigd worden;
Er is een lek gevonden, maar een patch is al beschikbaar.
Hieruit maak ik op dat lekken in OpenSource stil gehouden
worden voor het grote publiek tot er een oplossing voor is.
De insiders weten er wel van, maar houden het stil.
Daarna wordt het aangekondigd en doet men alsof OS zn lekken
snel dicht. Ik geloof veel, maar dat dus niet!
Bij MS wordt er meteen hoog van de toren geblazen.
Zo houdt men de statistieken in het nadeel van MS omdat de
oplossingen snel na de aankondigingen komen op die manier.
volgt aangekondigd worden;
Er is een lek gevonden, maar een patch is al beschikbaar.
Hieruit maak ik op dat lekken in OpenSource stil gehouden
worden voor het grote publiek tot er een oplossing voor is.
De insiders weten er wel van, maar houden het stil.
Daarna wordt het aangekondigd en doet men alsof OS zn lekken
snel dicht. Ik geloof veel, maar dat dus niet!
Bij MS wordt er meteen hoog van de toren geblazen.
Zo houdt men de statistieken in het nadeel van MS omdat de
oplossingen snel na de aankondigingen komen op die manier.
16-09-2004, 10:06 door
Redz
Door Anoniem
Hoezo?
In .pdf .gif .png zijn implementaties (o.a. windows/explorer
platform) zijn ook
al reeds te exploiten buffertjes gevonden, dus zo toevallig
is het niet.
Ik bedoel dat het wel vreemd is dat *exact* hetzelfdeDoor Redz
Als je verder leest in de posting, blijkt een gelijksoortig
lek op 25 juli 2000 voor Netscape gevonden te zijn.
Toevallig.
Als je verder leest in de posting, blijkt een gelijksoortig
lek op 25 juli 2000 voor Netscape gevonden te zijn.
Toevallig.
Hoezo?
In .pdf .gif .png zijn implementaties (o.a. windows/explorer
platform) zijn ook
al reeds te exploiten buffertjes gevonden, dus zo toevallig
is het niet.
probleem in 2000 is opgelost voor Netscape, en dat dat
probleem in 2003 ook in IE blijkt te zitten.
Welke code is er gebruikt voor deze browsers ... dezelfde??
Door Redz
probleem in 2000 is opgelost voor Netscape, en dat dat
probleem in 2003 ook in IE blijkt te zitten.
Welke code is er gebruikt voor deze browsers ...
dezelfde??
Door Anoniem
Hoezo?
In .pdf .gif .png zijn implementaties (o.a. windows/explorer
platform) zijn ook
al reeds te exploiten buffertjes gevonden, dus zo toevallig
is het niet.
Ik bedoel dat het wel vreemd is dat *exact* hetzelfdeDoor Redz
Als je verder leest in de posting, blijkt een gelijksoortig
lek op 25 juli 2000 voor Netscape gevonden te zijn.
Toevallig.
Als je verder leest in de posting, blijkt een gelijksoortig
lek op 25 juli 2000 voor Netscape gevonden te zijn.
Toevallig.
Hoezo?
In .pdf .gif .png zijn implementaties (o.a. windows/explorer
platform) zijn ook
al reeds te exploiten buffertjes gevonden, dus zo toevallig
is het niet.
probleem in 2000 is opgelost voor Netscape, en dat dat
probleem in 2003 ook in IE blijkt te zitten.
Welke code is er gebruikt voor deze browsers ...
dezelfde??
Nee, het lek zit in de gdi+ code van microsoft. Dat is een
onderdeel van de GUI. Hoogstens kunnen zowel Microsoft als
Netscape de zelfde libjpg code gebruikt hebben....
ik weet niet in hoeverre libjpg GPL, BSD of anders
gelicenceerd is, maar het is bekend dat Microsoft wel vanker
BSD-gelicenceerde code gebruikt. En hun Interix product
is/was zelfs op GPL software gebaseerd (en ja, de source is
verkrijgbaar)
Door Anoniem
Ik zie teveel mensen die nog steeds MS gebruiken.....
Ik zie mensen die besturingssystemen tot godsdienst hebben gepromoveerd.Door Anoniem
Wie zegt dat deze meneer gelijk heeft en M$ er een jaar over
heeft gedaan. Ik
zie teveel mensen die het leuk vinden m$ dwars te
zitten.
Wie zegt dat deze meneer gelijk heeft en M$ er een jaar over
heeft gedaan. Ik
zie teveel mensen die het leuk vinden m$ dwars te
zitten.
Ik zie teveel mensen die nog steeds MS gebruiken.....
Door Anoniem
gepromoveerd.
Door Anoniem
Ik zie teveel mensen die nog steeds MS gebruiken.....
Ik zie mensen die besturingssystemen tot godsdienst hebbenDoor Anoniem
Wie zegt dat deze meneer gelijk heeft en M$ er een jaar over
heeft gedaan. Ik
zie teveel mensen die het leuk vinden m$ dwars te
zitten.
Wie zegt dat deze meneer gelijk heeft en M$ er een jaar over
heeft gedaan. Ik
zie teveel mensen die het leuk vinden m$ dwars te
zitten.
Ik zie teveel mensen die nog steeds MS gebruiken.....
gepromoveerd.
Mijn godsdienst kost geen *(belasting)geld en wordt ook niet
illegaal gekopieerd.
16-09-2004, 14:24 door
SirDice
3 keer per dag in de richting van Redmond knielen?
5 maal, als je moslims wilt aanvallen doe het dan op zijn minst grondig.
Netscape en IE zelfde code.. raar dat er zoveel mensen altijd bitchen op IE,
en op niks anders. Ben er zeker van dat iedereen die in de schoenen van bill
gates zou kunen staan het net hetzelfde zou hebben gespeeld, die man heeft
inzicht.
Netscape en IE zelfde code.. raar dat er zoveel mensen altijd bitchen op IE,
en op niks anders. Ben er zeker van dat iedereen die in de schoenen van bill
gates zou kunen staan het net hetzelfde zou hebben gespeeld, die man heeft
inzicht.
Door Anoniem
5 maal, als je moslims wilt aanvallen doe het dan op zijn
minst grondig.
Netscape en IE zelfde code.. raar dat er zoveel mensen
altijd bitchen op IE,
en op niks anders. Ben er zeker van dat iedereen die in de
schoenen van bill
gates zou kunen staan het net hetzelfde zou hebben gespeeld,
die man heeft
inzicht.
5 maal, als je moslims wilt aanvallen doe het dan op zijn
minst grondig.
Netscape en IE zelfde code.. raar dat er zoveel mensen
altijd bitchen op IE,
en op niks anders. Ben er zeker van dat iedereen die in de
schoenen van bill
gates zou kunen staan het net hetzelfde zou hebben gespeeld,
die man heeft
inzicht.
Netscape en IE dezelfde code??? Was Netscape tegenwoordig
niet een Mozilla-kloon?
Door Anoniem
Nou, ik denk dat de ontdekker netjes is geweest en het niet heeft
gepubliceerd voordat er een patch was. Dat het bijna een jaar heeft geduurd
vind ik ook niet verwonderlijk, want het is ook wel een huge probleem met
een moeilijke oplossing.
Nou, ik denk dat de ontdekker netjes is geweest en het niet heeft
gepubliceerd voordat er een patch was. Dat het bijna een jaar heeft geduurd
vind ik ook niet verwonderlijk, want het is ook wel een huge probleem met
een moeilijke oplossing.
Ik denk dat ik als ontdekker geeist had dat MS er snel werkt van maakte,
omdat het anders op een full-disclosure list gepost zou worden. Dit laat
weer eens zien dat MS zo goed als niks doet als je aardig voor ze bent.
de dreiging van full-disclosure is de enige manier om ze te laten rennen.
Enne .. een moeilijke bug?! Het was ongetwijfeld een doodgewone buffer-
overflow, die makkelijk te verholpen was geweest als een safe versie van
strncpy was gebruikt, of als de ontwikkelaar zijn input gechecked had (regel
#1 uit de boekjes).
Dit fixen zou een kwestie van minuten moeten zijn, niet uren, niet dagen en
ZEKER niet maanden.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
