Oneens. (Okay, wellicht manipulatie, ik bijt toch). Om te beginnen:
> Gebruikers die geen Service Pack 2 geinstalleerd hadden
Alsof de hele wereld XP draait.
Ik wil naar elke site kunnen surfen zonder bang te hoeven zijn voor
gaten in m'n browser. Ik wil dat m'n zoon als hij van school een
opdracht heeft om op internet te zoeken, dat kan doen zonder z'n PC
te besmetten (hij weet dondersgoed waar hij wel en niet moet
clicken). Dit vereist een goed werkende browser en dat is IE gewoon
niet (m'n zoon heeft afgelopen zaterdagochtend zonder problemen
Firefox gebruikt op een Win98SE PC).
Iedereen die een beetje securityminded is weet dat er al jaren veel
gecompromitteerde websites zijn, aantal stijgend. Natuurlijk is dat
laakbaar gedrag van beheerders, maar met dalende inkomsten
wordt dit alleen maar erger. Internetsites zijn, net als chemicalien,
giftig tot het tegendeel bewezen is. Virusscanners en anti-spyware
spul zijn hier maar van zeer beperkt nut. Een beetje "professional"
tuned net zo lang aan z'n exploit tot ie door zo min mogelijk poort-
wachters wordt gedetecteerd, en brengt de malware vervolgens
begin van het weekend uit (vrijdagavond dus, zoals ook in dit geval).
Als ik me niet vergis beschermt Norton AntiVirus je sinds maandag.
Onder voorbehoud dat ik het goed begrijp, maar het gaat meen ik
om een ordinaire bufferoverflow. Met XP SP2 is die niet gefixed,
maar door het SP2 stack-protectie mechanisme raakt je PC niet
gecompromitteerd (als ik goed begrepen heb kan hij een XP-SP2
PC wel erg traag maken of zelfs laten crashen, de bug is er dus
nog wel).
De historie: Op 18 okt. heeft Michal Zalewski een tool gepubliceerd
die webbrowsers aan de tand voelt (N.B. zijn eerste tests wezen uit
dat andere browsers veel buggier waren dan IE, dus waan je niet
100% safe met FF et al).
Zie:
http://www.securityfocus.com/archive/1/378632Daarop heeft "Ned" is aan python versie van deze tool gemaakt en
daarmee de IFRAME bug in IE gevonden, en op 23 okt. gepubliceerd:
http://lists.netsys.com/pipermail/full-disclosure/2004-October/028009.htmlOp 25 okt. is deze bug door Berend-Jan Wever toegelicht:
http://lists.netsys.com/pipermail/full-disclosure/2004-October/028035.htmlMijn vragen aan Microsoft:
(1) Waarom maken en draaien zij zelf niet dergelijke tools? Dat lijkt
me wijzer dan trutten over "unresponsible disclosure" als iemand
resultaten van zo'n tool publiceert, immers er zijn op dat moment ook
al ongure lieden mee bezig die
niet publiceren (die waarschijnlijk
zelf ook tools maken, en misschien nog wel betere). Bovendien kan
Microsoft dit soort tools in principe effectiever maken, rekening
houdend met de IE sourcecode (waar zij wel bij kunnen). Als je
marktdominantie wilt (lees hebt afgedwongen) en bezit, ben je de
grootste schietschijf en heb je dus de grootste verantwoordelijkheid.
(2) Het betreft een bufferoverflow, dat zijn bugs die meestal eenvoudig
te fixen zijn, zonder allerlei lastige bijwerkingen. Waarom is de bugfix
niet in de patches van november meegenomen? (BG pretendeert
immers dat Microsoft in no time een patch kan maken). Of is het soms
zo dat patches voor alles ouder dan XP SP2 minstens een maand
worden vertraagd om mensen te dwingen naar XP over te stappen?
(3) Waarom heb ik het gevoel dat de marketing afdeling van Microsoft
mede bepaalt hoeveel en welke patches worden gepubliceerd? (Ja,
laten we vooral naar 2x per jaar gaan). Hebben grote bedrijven die
moeite hebben met uitrol van de stroom patches, maar door allerlei
andere maatregelen als corporate firewalls en proxies minder hete
adem voelen, dan echt zo'n grote vinger in de pap? Bedrijven die
bovendien per Windows licentie aanmerkelijk minder betalen dan
nauwelijks beschermde particulieren? (Gelukkig is FF gratis...)
Erik van Straten