Microsoft reageert fel op "lek" in Internet Explorer
Afgelopen vrijdag verscheen er een bericht van Rafel Ivgi op de BugTraq mailinglist over een lek in Internet Explorer, waardoor een remote aanvaller de security waarschuwingen kan omzeilen en kwaadaardige code op een kwetsbaar systeem zou kunnen downloaden. Normaliter verschijnt er een waarschuwing als er een bestand op de computer geplaatst wordt, maar door het lek, dat aanwezig is in Internet Explorer 6, kunnen aanvallers de waarschuwing omzeilen. Niks aan de hand, aldus Microsoft, dat vrijdag fel reageerde en liet weten dat Bugtraq valse beweringen over Internet Explorer in Windows XP SP2 verspreidde. Volgens de softwaregigant werkt de blocking feature in die versie van de browser naar behoren. "Microsoft is teleurgesteld dat een onafhankelijke security onderzoeker valse claims in verschillende nieuwsgroepen plaatst dat de automatische blocking feature in Windows XP SP2 niet goed zou werken. Deze berichten zijn niet juist en misleidend voor klanten." zo liet het bedrijf in een verklaring weten. Het probleem dat Ivgi beschrijft is geen security probleem. In het scenario waarvoor gewaarschuwd wordt laat IE in XP SP2 een security waarschuwing zien: namelijk een dialoogvenster in plaats van de informatie balk. "En dat moet het ook doen" aldus Kevin Kean van Microsoft in dit artikel.
| Grappenmaker :P
Normaal zet ik ook liever iets negatiefs over microsoft maar als ze gelijk
hebben, hebben ze gelijk Jammer dat ze onzin bugs op die sites zetten
straks weet niemand meer wat ze wel kunnen geloven kost weer een hoop
tijd voor microsoft om dit te onderzoeken en dan blijkt het voor niks te zijn :S
Het zou ook zo kunnen zijn dat microsoft dit zegt om tegen te gaan dat alle
scriptkiddies etc er lucht van krijgen...
zeg ik als een NEUTRALE ict-er (ik zeg het maar alvast)
bugtraq een rectificatie plaatsen. Maar het kan ook zijn dat
het wel waar is, zeker gezien het feit dat 'waarheid' vooral
voor microsoft een nogal rekbaar begrip is. Probeer het
gewoon zelf, als je windows hebt.
zijn
het niet klopt?
Zoals MS al zegt: 1) het is een onafhankelijke melding, 2)
het zou wel moeten werken.
Ter verduidelijking mag daar bij gemeld worden dat de
bugtrack meldingen ingezonden worden door prive personen
waarvan het grootste deel niet gevalideerd is door derden.
Dan kan je je dus af gaan vragen waarom MS hier opeens zo
van in de lucht gaat springen. Zeker binnen een hele korte
tijd terwijl MS er altijd _weken_ over doet om dit soort
bugs te verifieren.
Daarbij mag MS dan de definitie van bug doornemen: een bug
is oa een fout in een applicatie waardoor zaken die normaal
zouden moeten werken in bepaalde gevallen juist niet naar
behoren werken.
Jaloers persoon of niet, ik heb liever dat dit soort
ongeverifieerde meldingen geplaatst worden in een openbare
lijst waarbij er een aantal niet blijken te kloppen dan de
manieren van MS die heel erg willekeurig op dit soort
meldingen reageert en niets los laat over het bestaan van
bugs of het vrijgeven van patches als ze zelfs heel kritisch
zijn. Volgens mij hebben we hier dus eerder te maken bij een
jaloerse MS woordvoerder.
voordat we een van de twee op hun woord gaan geloven. Het
verleden maakt toch wel duidelijk dat we zowel dit soort
prive meldingen als de beweringen van Microsoft niet zomaar
moeten geloven:
http://seclists.org/lists/fulldisclosure/2005/Jan/0513.html
Zal wel een jaloerse Pinguin zijn
Microsoft-producten maar helaas... dus nu moet ik me
behelpen met al die goedkope hobby-troep. Dat spul is zo
brak dat geen virus het erop uithoudt!
1. We hebben te maken met een serieuze dreiging en dit wordt
door IE opgemerkt. +1 voor MS voor de detectie..
2. De gebruiker wordt van de situatie op de hoogte
gebracht. +1 voor de gedachte.
3. De melding verschijnt op een volstrekt onbelangrijke
plaats, waarvan je maar moet hopen dat de gemiddelde gebruik
- die gewend is een dialoogscherm te zien als er wat aan de
hand is - het op zal merken. -3 voor het
introduceren van een mogelijk groter beveiligingsprobleem:
verkeerd omgaan met het verwachtingspatroon van de gebruiker.
4. Detectie leidt niet tot een blokkade van de dreiging die
door de gebruiker expliciet moet worden opgeheven. -3
voor het overtreden van het 'safe defaults' principe.
Totaal: leuke poging, jammer van de uitvoering
4. Detectie leidt niet tot een blokkade van de dreiging die
door de gebruiker expliciet moet worden opgeheven. -3
voor het overtreden van het 'safe defaults' principe.
Totaal: leuke poging, jammer van de uitvoering
Volgens hun eigen definities zijn insecure defaults geen
security risk.
Totaal: leuke poging, jammer van de uitvoering
Volgens hun eigen definities zijn insecure defaults geen
security risk. [/quote]Het gaat helaas zelfs nog verder dan dat. Niet alleen vinden
ze insecure fedaults geen security risk, maar geven ze in
heel erg veel gevallen de voorkeur aan de insecure defaults.
Uiteraard staat daar het o z belangrijke voordeel tegenover
dat het gemak voor de gebruiker vaak heel erg verhoogd wordt.
Totaal: leuke poging, jammer van de uitvoering
Volgens hun eigen definities zijn insecure defaults geen
security risk.
ze insecure fedaults geen security risk, maar geven ze in
heel erg veel gevallen de voorkeur aan de insecure defaults.
Uiteraard staat daar het o z belangrijke voordeel tegenover
dat het gemak voor de gebruiker vaak heel erg verhoogd wordt.
[/quote]Het gemak van de virus en spywareschrijvers ook.
Slaan we niet een beetje door! Het gaat om het principe.
1. Iedere fout in software moet openbaar worden gemaakt. 2. De fout moet
op feiten zijn gebaseerd. 3. De fout moet reproduceerbaar zijn. 4. De fout
moet de werking van het pakket dusdanig verstoren dat verder werken niet
meer kan/onzinnig is.
Zal wel een jaloerse Pinguin zijn
Microsoft-producten maar helaas... dus nu moet ik me
behelpen met al die goedkope hobby-troep. Dat spul is zo
brak dat geen virus het erop uithoudt!
Zal wel een jaloerse Pinguin zijn
Microsoft-producten maar helaas... dus nu moet ik me
behelpen met al die goedkope hobby-troep. Dat spul is zo
brak dat geen virus het erop uithoudt!
Zal wel een jaloerse Pinguin zijn
Microsoft-producten maar helaas... dus nu moet ik me
behelpen met al die goedkope hobby-troep. Dat spul is zo
brak dat geen virus het erop uithoudt!
Neem een gameboy..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
