image

Microsoft reageert fel op "lek" in Internet Explorer

maandag 17 januari 2005, 14:02 door Redactie, 16 reacties

Afgelopen vrijdag verscheen er een bericht van Rafel Ivgi op de BugTraq mailinglist over een lek in Internet Explorer, waardoor een remote aanvaller de security waarschuwingen kan omzeilen en kwaadaardige code op een kwetsbaar systeem zou kunnen downloaden. Normaliter verschijnt er een waarschuwing als er een bestand op de computer geplaatst wordt, maar door het lek, dat aanwezig is in Internet Explorer 6, kunnen aanvallers de waarschuwing omzeilen. Niks aan de hand, aldus Microsoft, dat vrijdag fel reageerde en liet weten dat Bugtraq valse beweringen over Internet Explorer in Windows XP SP2 verspreidde. Volgens de softwaregigant werkt de blocking feature in die versie van de browser naar behoren. "Microsoft is teleurgesteld dat een onafhankelijke security onderzoeker valse claims in verschillende nieuwsgroepen plaatst dat de automatische blocking feature in Windows XP SP2 niet goed zou werken. Deze berichten zijn niet juist en misleidend voor klanten." zo liet het bedrijf in een verklaring weten. Het probleem dat Ivgi beschrijft is geen security probleem. In het scenario waarvoor gewaarschuwd wordt laat IE in XP SP2 een security waarschuwing zien: namelijk een dialoogvenster in plaats van de informatie balk. "En dat moet het ook doen" aldus Kevin Kean van Microsoft in dit artikel.

Reacties (16)
17-01-2005, 14:26 door Anoniem
Ik zeg niks.... :-D
17-01-2005, 14:26 door fommes
^
| Grappenmaker :P
Normaal zet ik ook liever iets negatiefs over microsoft maar als ze gelijk
hebben, hebben ze gelijk Jammer dat ze onzin bugs op die sites zetten
straks weet niemand meer wat ze wel kunnen geloven kost weer een hoop
tijd voor microsoft om dit te onderzoeken en dan blijkt het voor niks te zijn :S
17-01-2005, 15:13 door Anoniem
Zal wel een jaloerse Pinguin zijn
17-01-2005, 15:41 door splatx
Wie zegt dat het niet waar is?
Het zou ook zo kunnen zijn dat microsoft dit zegt om tegen te gaan dat alle
scriptkiddies etc er lucht van krijgen...
zeg ik als een NEUTRALE ict-er (ik zeg het maar alvast)
17-01-2005, 16:03 door Anoniem
Het kan zijn dat het niet waar is, en in dat geval mag
bugtraq een rectificatie plaatsen. Maar het kan ook zijn dat
het wel waar is, zeker gezien het feit dat 'waarheid' vooral
voor microsoft een nogal rekbaar begrip is. Probeer het
gewoon zelf, als je windows hebt.
17-01-2005, 19:06 door Anoniem
Door AnoniemZal wel een jaloerse Pinguin
zijn
Hoezo? Omdat je de reactie van Microsoft leest die zegt dat
het niet klopt?
Zoals MS al zegt: 1) het is een onafhankelijke melding, 2)
het zou wel moeten werken.
Ter verduidelijking mag daar bij gemeld worden dat de
bugtrack meldingen ingezonden worden door prive personen
waarvan het grootste deel niet gevalideerd is door derden.
Dan kan je je dus af gaan vragen waarom MS hier opeens zo
van in de lucht gaat springen. Zeker binnen een hele korte
tijd terwijl MS er altijd _weken_ over doet om dit soort
bugs te verifieren.
Daarbij mag MS dan de definitie van bug doornemen: een bug
is oa een fout in een applicatie waardoor zaken die normaal
zouden moeten werken in bepaalde gevallen juist niet naar
behoren werken.

Jaloers persoon of niet, ik heb liever dat dit soort
ongeverifieerde meldingen geplaatst worden in een openbare
lijst waarbij er een aantal niet blijken te kloppen dan de
manieren van MS die heel erg willekeurig op dit soort
meldingen reageert en niets los laat over het bestaan van
bugs of het vrijgeven van patches als ze zelfs heel kritisch
zijn. Volgens mij hebben we hier dus eerder te maken bij een
jaloerse MS woordvoerder.
17-01-2005, 19:09 door Anoniem
Ik zou zeggen, laten we het zelf eerst even controleren
voordat we een van de twee op hun woord gaan geloven. Het
verleden maakt toch wel duidelijk dat we zowel dit soort
prive meldingen als de beweringen van Microsoft niet zomaar
moeten geloven:
http://seclists.org/lists/fulldisclosure/2005/Jan/0513.html
17-01-2005, 21:01 door Anoniem
Door Anoniem
Zal wel een jaloerse Pinguin zijn
Ja.... Ik wou dat ik geld had voor al die mooie
Microsoft-producten maar helaas... dus nu moet ik me
behelpen met al die goedkope hobby-troep. Dat spul is zo
brak dat geen virus het erop uithoudt!
17-01-2005, 21:12 door Anoniem
Snelle score (arbitraire waarden gekozen, maar fout is erger):
1. We hebben te maken met een serieuze dreiging en dit wordt
door IE opgemerkt. +1 voor MS voor de detectie..
2. De gebruiker wordt van de situatie op de hoogte
gebracht. +1 voor de gedachte.
3. De melding verschijnt op een volstrekt onbelangrijke
plaats, waarvan je maar moet hopen dat de gemiddelde gebruik
- die gewend is een dialoogscherm te zien als er wat aan de
hand is - het op zal merken. -3 voor het
introduceren van een mogelijk groter beveiligingsprobleem:
verkeerd omgaan met het verwachtingspatroon van de gebruiker.
4. Detectie leidt niet tot een blokkade van de dreiging die
door de gebruiker expliciet moet worden opgeheven. -3
voor het overtreden van het 'safe defaults' principe.

Totaal: leuke poging, jammer van de uitvoering
18-01-2005, 10:26 door Anoniem
Door Anoniem
4. Detectie leidt niet tot een blokkade van de dreiging die
door de gebruiker expliciet moet worden opgeheven. -3
voor het overtreden van het 'safe defaults' principe.

Totaal: leuke poging, jammer van de uitvoering
Microsoft kent het principe van secure defaults niet.
Volgens hun eigen definities zijn insecure defaults geen
security risk.
18-01-2005, 10:52 door Anoniem
Door Anoniem
Totaal: leuke poging, jammer van de uitvoering
Microsoft kent het principe van secure defaults niet.
Volgens hun eigen definities zijn insecure defaults geen
security risk. [/quote]Het gaat helaas zelfs nog verder dan dat. Niet alleen vinden
ze insecure fedaults geen security risk, maar geven ze in
heel erg veel gevallen de voorkeur aan de insecure defaults.
Uiteraard staat daar het o z belangrijke voordeel tegenover
dat het gemak voor de gebruiker vaak heel erg verhoogd wordt.
18-01-2005, 13:37 door Anoniem
Door Anoniem
Door Anoniem
Totaal: leuke poging, jammer van de uitvoering
Microsoft kent het principe van secure defaults niet.
Volgens hun eigen definities zijn insecure defaults geen
security risk.
Het gaat helaas zelfs nog verder dan dat. Niet alleen vinden
ze insecure fedaults geen security risk, maar geven ze in
heel erg veel gevallen de voorkeur aan de insecure defaults.
Uiteraard staat daar het o z belangrijke voordeel tegenover
dat het gemak voor de gebruiker vaak heel erg verhoogd wordt.
[/quote]Het gemak van de virus en spywareschrijvers ook.
18-01-2005, 14:10 door Anoniem
Jongens, Jongens........sorry ook dames,

Slaan we niet een beetje door! Het gaat om het principe.
1. Iedere fout in software moet openbaar worden gemaakt. 2. De fout moet
op feiten zijn gebaseerd. 3. De fout moet reproduceerbaar zijn. 4. De fout
moet de werking van het pakket dusdanig verstoren dat verder werken niet
meer kan/onzinnig is.
18-01-2005, 15:47 door Anoniem
Door Anoniem
Door Anoniem
Zal wel een jaloerse Pinguin zijn
Ja.... Ik wou dat ik geld had voor al die mooie
Microsoft-producten maar helaas... dus nu moet ik me
behelpen met al die goedkope hobby-troep. Dat spul is zo
brak dat geen virus het erop uithoudt!

LOL een pingwing met humor ;-)
18-01-2005, 22:29 door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem
Zal wel een jaloerse Pinguin zijn
Ja.... Ik wou dat ik geld had voor al die mooie
Microsoft-producten maar helaas... dus nu moet ik me
behelpen met al die goedkope hobby-troep. Dat spul is zo
brak dat geen virus het erop uithoudt!

LOL een pingwing met humor ;-)
hehe nog een! :)
21-01-2005, 23:25 door Anoniem
Door Anoniem
Door Anoniem
Zal wel een jaloerse Pinguin zijn
Ja.... Ik wou dat ik geld had voor al die mooie
Microsoft-producten maar helaas... dus nu moet ik me
behelpen met al die goedkope hobby-troep. Dat spul is zo
brak dat geen virus het erop uithoudt!

Heb je er al aan gedacht om geen computer te nemen. Zijn ook erg duur.
Neem een gameboy..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.