image

Problemen met Microsoft Internet Explorer IFRAME patch

zaterdag 4 december 2004, 09:32 door Redactie, 33 reacties

Volgens velen heeft het veel te lang geduurd, maar deze week kwam Microsoft eindelijk met een patch voor het kritieke IFRAME lek in Internet Explorer. Nu blijkt dat er toch wat problemen met update MS04-040 zijn. Bij sommige gebruikers zou de patch niet goed geinstalleerd worden of zelfs het IFRAME lek niet verhelpen, waardoor gebruikers nog steeds voor de exploits kwetsbaar zijn. Het SANS - Internet Storm Center heeft de patch zelf nog niet uitgebreid kunnen testen.

Reacties (33)
04-12-2004, 11:25 door Frans E
Na de patch op 2 Pc's met XP-SP1 geinstalleerd te hebben was mij dat
ook al opgevallen.

Op [url=www.viruswatch.nl/sptest.html]deze pagina[/url] staat een test met
een link naar de postbank.nl

Als je met de mouse pointer op de link gaat staan dan laat hij op de
statusbalk zien waar de link naar toe gaat.

Bij XP-SP1 met of zonder patch is dat http://www.postbank.nl
alleen bij XP-SP2 zie je het echte doel en dat is http://www.rabobank.nl
04-12-2004, 12:13 door Anoniem
Humor :) Dat word weer een fix voor een fix ...
04-12-2004, 13:16 door G-Force
Nee, dat is geen humor meer. Je mag toch veronderstellen dat mensen
toch hun werk goed doen? Of is dit bij het bedrijf van Bill Gates nog niet
uitgevonden, zo vraag ik me af...
04-12-2004, 13:25 door G-Force
Bij het installeren van de genoemde patch blijkt de website van Security.nl
ook niet meer goed te werken. Je kunt wel "Reageer met quote"
aanklikken, maar er gebeurt verder niets. Dit gaat ook op voor "Weizig deze
post". Voor het installeren van de patch functioneerde alles nog goed.

En dan de opmerking van Frans op deze website. Het is inderdaad waar
dat de link die getoond wordt http://www.postbank.nl is. Klik je hier op de link,
dan verschijnt opeens een andere URL: http://www.rabobank.nl

Nee, deze patch moet Microsoft overdoen, want dit levert alleen maar meer
problemen op. Als de link door de muiscursor een andere is, kunnen
Phishers misbruik maken van een nieuwe lek.
04-12-2004, 13:41 door G-Force
Aanvulling: Ook na het de-installeren van KB889293 wordt de link verkeerd
in de werkbalk afgebeeld. Werkt de patch van MS wel??
04-12-2004, 14:20 door Anoniem
Bij die test zie ik onderin na het installeren van de patch nog steeds
postbank.nl staan, alleen klik je er op dan ga je naar rabobank.nl. Dit wordt
overigens wel door de eigenschappen aangegeven als je de link aanklikt
met de rechter muisknop.
04-12-2004, 17:48 door Anoniem
Dus als ik het goed begrijp is het nu nog gevaarlijker als voorheen
op dit Me systeem lijkt hij http://www.postbank.nl zien klik je er op
kom je bij rabobank ,nl

dirk boonstra
04-12-2004, 18:15 door Anoniem
Het gaat over de IFRAME buffer overflow (ja die van lycos) niet over een of
ander spoofing lek....
04-12-2004, 19:29 door G-Force
Dat klopt, maar een nieuwe spoofing lek is koren op de molen van
Phinshing scammers. Die zullen nu dit lek kunnen gaan gebruiken, zodat
een frauduleuze link in de e-mail wordt verborgen. Hierdoor is het nu extra
makkelijk geworden om iemand in de e-mail scam te laten trappen.

Men is dus gewaarschuwd!
04-12-2004, 21:01 door Anoniem
zucht ... zo veel tijd om een patch te releasen ... en zulk
pruts werk.... misschien zijn dit wel de eerste tekenen dat
MSIE uit elkaar valt ....
04-12-2004, 21:19 door Frans E
Door Anoniem
Het gaat over de IFRAME buffer overflow (ja die van lycos) niet over een of
ander spoofing lek....

Het gaat om problemen met de [color=red]IFRAME tag[/color]. De bufferoverflow middels het SRC attribute is er een van. Deze spoofing is er ook een van.

Ik heb op beide PC's ook de [url=http://www.viruswatch.nl/iframebof.html]
poc[/url] van Berend-Jan Wever getest en beide geven een open shell op
poort 28876

Deze test leek me echter niet geschikt om hier middels link neer te zetten.
04-12-2004, 21:52 door Anoniem
Door Frans E
Door Anoniem
Het gaat over de IFRAME buffer overflow (ja die van lycos) niet over een of
ander spoofing lek....

Het gaat om problemen met de IFRAME tag. De bufferoverflow middels het
SCR attribute is er een van. Deze spoofing is er ook een van.

Dat spoofing lek is een totale non-issue... Dat kan je ook zo bereiken met
window.status, de patch is toch echt duidelijk voor de buffer overflow. In de
microsoft advisory wordt niets over dat spoofing verhaal genoemd.
05-12-2004, 10:26 door Anoniem
Door P.G.Verhoeven
Je kunt wel "Reageer met quote" aanklikken, maar er gebeurt
verder niets. Dit gaat ook op voor "Weizig deze post". Voor
het installeren van de patch functioneerde alles nog goed.

Mijn god, zorgt deze 'fix' ook nog voor taalfouten in een
website:?:?:?
05-12-2004, 11:23 door Anoniem
Door Anoniem
Door P.G.Verhoeven
Je kunt wel "Reageer met quote" aanklikken, maar er gebeurt
verder niets. Dit gaat ook op voor "Weizig deze post". Voor
het installeren van de patch functioneerde alles nog goed.
Mijn god, zorgt deze 'fix' ook nog voor taalfouten in een
website:?:?:?
Volgens mij probeert Microsoft heel subtiel de samenleving
te ontwrichten! ;)
05-12-2004, 12:31 door G-Force
Mijn god, zorgt deze 'fix' ook nog voor taalfouten in een
website:?:?:?

Taalfouten? God schrijf je inderdaad met een hoofdletter en niet met een
kleine letter meneer Anoniem!
05-12-2004, 15:28 door Anoniem
Door Frans E

Bij XP-SP1 met of zonder patch is dat http://www.postbank.nl
alleen bij XP-SP2 zie je het echte doel en dat is
http://www.rabobank.nl

Ook zonder patch kan ik dat zien.
Of komt dat doordat ik linux gebruik?

moehahahaaah
05-12-2004, 16:04 door Anoniem
Door P.G.Verhoeven
Taalfouten? God schrijf je inderdaad met een hoofdletter en
niet met een
kleine letter meneer Anoniem!

Allereerst is mijn naam niet Anoniem, maar post ik anoniem.
En daarnaast is deze reactie zelfs mèt de ontbrekende komma
niet eens grappig. . . .
05-12-2004, 17:30 door Rene V
Door P.G.Verhoeven
Mijn god, zorgt deze 'fix' ook nog voor taalfouten in een
website:?:?:?

Taalfouten? God schrijf je inderdaad met een hoofdletter en
niet met een
kleine letter meneer Anoniem!


god schrijf je alleen met hoofdletter wanneer je erin
gelooft. Wijzig schrijf je in ieder geval ten alle tijde met
ij en niet met ei.. meneer Verhoeven.
05-12-2004, 17:36 door Anoniem
Door René V
Door P.G.Verhoeven
Mijn god, zorgt deze 'fix' ook nog voor taalfouten in een
website:?:?:?

Taalfouten? God schrijf je inderdaad met een hoofdletter en
niet met een
kleine letter meneer Anoniem!

god schrijf je alleen met hoofdletter wanneer je erin
gelooft. Wijzig schrijf je in ieder geval ten alle tijde met
ij en niet met ei.. meneer Verhoeven.
Het is: te allen tijde en niet ten alle tijde.
De pot verwijt de ketel...
05-12-2004, 17:56 door Anoniem
Echt weer bill eigen.
Erroll
05-12-2004, 18:55 door Anoniem
Door Anoniem
Echt weer bill eigen.
Erroll
Wat heeft dat er nou mee te maken, we hadden het hier over
taal ja?!?!? ;)
05-12-2004, 20:14 door Anoniem
Inderdaad....over security gaat het hier allang niet meer.
05-12-2004, 20:33 door Rene V
Door Anoniem

Het is: te allen tijde en niet ten alle tijde.
De pot verwijt de ketel...

Daar kan hevig over gediscussieërd worden lijkt mij :) Over
wijzig met ij of ei niet echt.

Ten alle tijde is wellicht wat meer volksmond taal terwijl
de juiste schrijfwijze te allen tijde is. Maar goed, dat was
mijn punt ook niet.
05-12-2004, 20:47 door Anoniem
Door René V
Door Anoniem
Het is: te allen tijde en niet ten alle tijde.
De pot verwijt de ketel...
Daar kan hevig over gediscussieërd worden lijkt mij :) Over
wijzig met ij of ei niet echt.
Ten alle tijde is wellicht wat meer volksmond taal terwijl
de juiste schrijfwijze te allen tijde is. Maar goed, dat was
mijn punt ook niet.
Ten alle tijde is gewoon fout.
Toch wel grappig dat taal blijkbaar meer losmaakt dan
security issues :)
05-12-2004, 21:49 door Anoniem
Nu deze discussie toch helemaal nergens meer over gaat kan
ik deze off-topic post er wel achteraan gooien.

Dat wil zeggen, ik heb gisteren tot 3x toe een m.i. zeer
zinvolle
bijdrage geprobeerd te posten, maar alle drie zijn ze geweigerd
(zie het aantal posts vermeld op de main page, en te het
aantal hier zichtbare, 't is wel effe tellen).

Die zijn niet geplaatst, ofwel omdat ik er wat verkeerds in
schreef dat
niet door de (automatische?) censuur kwam, of omdat m'n IP-adres
op een zwarte lijst staat vanwege een eerdere bijdrage?
Tussendoor
zijn wel bijdragen van anderen geplaatst, dus het was geen
volle disk
bij Pine of zo.

Mocht deze wel verschijnen, hebben anderen ook de ervaring
dat soms bijdragen hier geweigerd worden, en zo ja waarom?
Deze verstuur ik om 21:49:00.

Erik van Straten
05-12-2004, 23:05 door Anoniem
Door Anoniem
Mocht deze wel verschijnen, hebben anderen ook de ervaring
dat soms bijdragen hier geweigerd worden, en zo ja waarom?
Deze verstuur ik om 21:49:00.

Erik van Straten
Ik post ook weleens iets dat niet verschijnt. Soms is dat
iets zinnigs, terwijl iets volslagen onzinnigs dan wel
doorkomt. Het lijkt volledig willekeurig. Misschien doet de
redactie er goed aan zijn beleid in deze kort te omschrijven?
05-12-2004, 23:59 door Anoniem
Nu ik weet dat ik niet op basis van m'n (fixed) IP-adres geweigerd
ben, vermoed ik dat het komt omdat ik URL's gebruikt heb die
op deze site voorkomen, of andere die wellicht taboe zijn. Ik ga
ze in deze post geen van alle noemen.

Ik probeerde zaterdag begin van de middag te wijzen op de 2
verschillende issues (is later door anderen al gedaan).

Daarbij wees ik op de banner bovenaan deze page, net onder
het artikel (ik ga nu dus geen URL's of namen noemen). Als je
daar je muispijl bovenhoudt, verschijnt in MSIE in de statusbalk
leesbare tekst, "ga naar" gevolgd door een website. Dat geeft al
aan dat men in de statusbalk kan zetten wat men wil en je deze
info dus nooit moet vertrouwen.

Firefox heeft overigens een instelling waarmee je het tonen van
teksten in de statusbalk uit kunt zetten. Als er een echte URL
"onder" de link zit, zie je die dan nog wel (de juiste), zoals op
de pagina waar Frans E. naar verwijst.

M.b.t. het oorspronkelijke artikel: enkele mensen hebben gemeld
dat na het draaien van windows update de betrokken DLL's niet
(allemaal) waren vervangen. Je kunt op de MS04-040 webpage
zien welke DLL's vervangen zouden moeten worden, en welk
versienummer ze moeten hebben. Op die page staan ook
verwijzingen naar de patches als lose downloads; gemeld is dat
als je die draait, dat het patchen wel goed gaat.

(dit is post #34 van 23:59:50)

Erik van Straten
06-12-2004, 00:30 door Anoniem
Beste Erik.

Probleem is dat men hier een "gekleurd" brilletje op heeft.

Groetjes, Erik van der Veen.
06-12-2004, 03:10 door Anoniem
[Bij XP-SP1 met of zonder patch is dat
http://www.postbank.nl
alleen bij XP-SP2 zie je het echte doel en dat is
http://www.rabobank.nl
[/quote]
humm,
geen XP-SP2 geinstalleerd hier MAAR de boel werkt
correct.......!
06-12-2004, 11:20 door Anoniem
Vreemd is wel dat op die zogenaamde testpagina, wanneer je
met je muis op het witte achtergrond gedeelte blijft van de
karakters "postbank" je in de statusbalk
"http://www.postbank.nl" ziet. Pas als je echt op de
karakters komt wordt dat "http://www.rabobank.nl". Vaag en
verwarrend.
Je ziet de tekst in de statusbalk dus ook verspringen van
post- naar rabobank.

Of: te test is geen goede test of na de fix plakt de
browser wat of de gefingeerde statusbalk tekst. Terwijl de
gefingeerde tekst daatr helemaal niet moet kunnen komen!
06-12-2004, 13:07 door Frans van Domselaar
Met een simpel scriptje zie je zelfs het goede adres niet dus ik vraag me af
waar men zo een opwinding over maakt.

Men zou een nieuw mensen script moeten maken wat zonder-nadenken-
en-zomaar-klikken-op-alles-wat-er-staat virus moet tegen gaan.

Begrijp me goed, het is misleiden dat spoofen maar maak niet van alles
zo'n ophef.
Ik kocht een koffiekan die op de doos blauw was, maar uiteindelijk groen
uit de doos kwam.
in beide gevallen zal de koffie even goed gesmaakt hebben.
06-12-2004, 14:54 door Anoniem
Door Frans van Domselaar
Begrijp me goed, het is misleiden dat spoofen maar maak niet
van alles
zo'n ophef. Ik kocht een koffiekan die op de doos blauw was,
maar uiteindelijk groen uit de doos kwam. in beide gevallen
zal de koffie even goed gesmaakt hebben.
Als ik u goed begrijp, vind jij de ernst van het
iframe-probleem vergelijkbaar met het probleem van de kleur
van je koffiekan... Als men dit bij M$ ook zou vinden, was
de patch er nu niet geweest.
Maken mensen in uw omgeving weleens grapjes over uw naam?
06-12-2004, 20:59 door Anoniem
Op maandag 06 december 2004 14:54 schreef Anoniem:

> Als ik u goed begrijp, vind jij de ernst van het
> iframe-probleem vergelijkbaar met het probleem van de kleur
> van je koffiekan...

Het "iframe-probleem" zoals beschreven in het artikel dat door
de redactie bovenaan deze pagina is geplaatst, gaat over een
buffer overflow die gepatched wordt door MS04-040 (d.w.z.
zou moeten, soms zijn er problemen mee). Die patch verhelpt
uitsluitend een buffer-overflow die op grote schaal misbruikt is
en wellicht nog wordt.

Iets totaal anders is dat het kinderlijk eenvoudig is om de tekst
in de statusbalk van webbrowsers te manipuleren. Een van de
mogelijkheden om dat te doen blijkt via een IFRAME te gaan.

De methode is misschien nieuw, maar het effect niet, en m.i. is
dit probleem zelfs van een mindere orde dan het spoofen van
de locatie in de URL-balk (zoals destijds met de procent-01 bug
mogelijk bleek). Ten slotte kan uw PC t.g.v. deze bugs niet
worden gekaapt simpel door een (vertrouwde) site te bezoeken.

Dat bleek afgelopen weken wel mogelijk met de BOFRA exploit,
die via reclame banners van/via een gekraakte advertentie
server aan bezoekers werden opgedrongen op een behoorlijk
aantal websites in Europa, waaronder startpagina.nl en een
gerenommeerde IT site als The Register; zie
http://www.theregister.co.uk/2004/11/21/register_adserver_attack/

> Maken mensen in uw omgeving weleens grapjes over uw naam?
En dat schrijft iemand die haar/zijn eigen naam zelf niet durft te
noemen?

Erik van Straten
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.