:O wat een onprofessionele actie

Ach, is de patch er. Is het weer niet goed.

Zeikerds zijn er altijd.

Wat een bullshit. Die Ilfa patch patcht calls naar die
setabort ellende in het geheugen. De MS patch is een
aangepaste gdi dll. Ilfa's patch vervangt die hele dll niet
eens.

Copy&paste redactioneel werkje dit weer.

http://blogs.securiteam.com/index.php/archives/184



Wat een zin...

En wat denk jij? Dat Micrsoft een patch uitvoert op een
bestaande dll? Natuurlijk distribueert Microsoft een nieuwe
dll. Jij hebt echt verstand van versiecontrole en echt
inzicht in het softwareontwikkelingsproces.

zoals reeds werd gezegd: de MS patch is een aangepaste GDI dll. maw
een nieuw dll bestand dat GDI.dll vervangt. (de opmerking over verstand
van versiecontrole en ontwikkelproces vind ik dus niet gepast).

Verder uitstekend dat MS toch van z'n troon komt en eerder een patch levert
(al was het alleen maar om nog meer negatieve publiciteit te stoppen)

We weten al lang dat MS code van anderen kopiert. Dit noem
ik geen nieuws meer ;)

De patch van Ilfa is die dan van voor 28-12?

He is inderdaad bull shit dat dit plagiaat zou zijn. Het is niet Ilfak's patch die
ene beetje aangepast is, dat is grote onzin.

Het uitschakelen van de functie in bepaalde gevallen is gewoon de beste
en snelste oplossing, en het staat Microsoft geheel vrij die te kiezen.

Inderdaad een kritiekloos overgenomen artikel. Het heeft de kwaliteit van
een Story, Privé of Weekend verhaal.

Tja....wat is professioneel en wat niet. Zal wel een eeuwige discussie
blijven, maar feit is wel dat iemand zijn beweegredenen niet zomaar
mogen worden afgebrand, tenzij men ook volledig alle feiten kent....

<quote>1100 WMF exploit websites actief
Websense laat weten dat er meer dan 1100 websites actief zijn </quote>

Dat is niet waar. In de verklaring van Websense staat dat er 1100 URLs
actief zijn. URLs is heel wat anders dan 1100 web sites. Er zijn per web
site of server soms meer dan 20 URLs aanwezig.

En diverse domeinen verwijzen naar 1 server.

reactie van Ilfak zelf:
"Come on, guys, Microsoft created and compiled the patch before me if
judged by the file timestamps."

Redactie:
> Pleegde Microsoft plagiaat met WMF patch?

De blog van Securiteam waar naar verwerzen wordt,
(http://blogs.securiteam.com/index.php/archives/184)
suggereert dat volgens mij niet, de auteur lijkt zich
vooral boos te maken dat Microsoft er zo lang over gedaan heeft.

Wel zijn er anderen, waaronder Gadi Evron, die deze
suggestie wekken, zie
http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041075.html
en
http://blogs.securiteam.com/index.php/archives/183.
Gadi is iemand die behalve zich in te zetten tegen malware
zoals bots en trojans (positief dus), op verschillende
maillijsten vooral zijn mening geeft, vaak zonder die met
feiten te onderbouwen.

Deze plagiaat suggestie is aantoonbaar onjuist. Iedereen
begrijpt dat je uiteindelijk moet voorkomen dat de routine
die met Escape subfunctie 9 (SetAbortProc) is aangemeld,
wordt uitgevoerd. Dat kan op verschillende manieren. Hoewel
beide routines de aanmelding onderscheppen,
verschillen ze wel: Ilfak's patch doet dat door de Escape
routine te hooken, Microsoft hooked een subfunctie van
PlayMetaFileRecord waarin de Escape routine wordt gecalled,
dus eerder in het proces bij het afspelen van metafiles.

Beide voorkomen de exploit via PlayMetaFile, maar
Microsoft's patch staat nog wel toe dat via Escape een
abortproc routine wordt aangemeld. In plaats van dat op de
aanbevolen wijze, nl. direct via de SetAbortProc winapi
routine, zouden oude of slecht geporte printerdrivers dat
nog wel eens kunnen doen. Uit de Win32 Programmers Reference
op m'n PC, onder "Escape":

Daarnaast is dit is de patchmethode zelf natuurlijk ook
totaal anders (geen extra DLL in elk proces, maar gewoon een
code wijziging).

Erik van Straten

Erik van Straten:
"Gadi is iemand die behalve zich in te zetten tegen malware
zoals bots en trojans (positief dus), op verschillende
maillijsten vooral zijn mening geeft, vaak zonder die met
feiten te onderbouwen."

Dat heb je goed in de gaten, hij loopt graag in beeld. Het onderwerp maakt
niet uit. Daarbij "leent" hij ideëen van anderen, o.a. opgedaan in zijn eigen
mailing list Funsec. Die mailinglist is gesloten, maar toch ook weer niet.
Naar gelang het hem uitkomt.

De naam Funsec zegt al genoeg, er is niet bedoeld voor serieuze zaken.
Het is borrelpraat. De Securiteam blog zet het ook in de categorie funny. Ze
vinden het leuk Microsoft te stangen. Veel mensen nemen het onterecht
serieus en dan krijg je dit.

Nu over de vraag of dit verhaal terecht werd gepubliceerd op de weblog.
Ondanks de aangegeven nadelen, denk ik dat het wel terecht is, de
Microsoft PR machine kraamde baarlijke onzin uit om de impact van de
beveiligingsfout onder het tapijt te schoffelen en de Ilfak patch te dissen;
een koekje van eigen deeg was wel nodig. Het ging al lang niet meer om
de werkelijke argumenten.

Aangeraden wordt om alle URL's te blokkeren die eindigen op .wmf

Wie IE heeft, kan deze extensie opnemen in Zone met beperkte toegang.
Toets daarvoor in: *..wmf (dus sterretje, twee punten achter elkaar en
daarna wmf toetsten). Geef dit weer aan met OK.

Elke URL die eindigt op deze extensie kan het downloaden worden geblokkeerd als de zone met beperkte toegang op HOOG of HIGH staat.

Daar ben ik het geheel en el mee eens

mvg robS

't kan nooit plagiaat zijn.. Om te beginnen is Ilfak
Guilfanov in strijd geweest met de DMCA. Hij heeft tenslotte
(delen van) windows zitten reverse-engineeren om die patch
te kunnen maken en dat mag niet.. Het valt me nog mee dat'ie
nog niet is opgepakt..

Even zeiken over je Nederlands: Gulifanov heeft in strijd
met de dmca gehandeld, hij is zelf niet in strijd met de
dmca. mensen kunnen niet strijdig zijn met wetten, ze kunnen
alleen strijdig handelen.

Daarnaast is de dmca een Amerikaanse wet, die alleen
geldigheid heeft binnen de landsgrenzen van de VS.

Ten derde zegt de dmca niet zozeer iets over reverse
enigneeren in het algemeen maar over het gebruik van reverse
engineering om copy protection mechanisms te omzeilen. Maar
nogmaals, dit heeft alleen rechtsgeldigheid in de VS.

Welke programmeur doet dat niet... ctrl-c ctrl-v is denk ik de meest
gebruikte toetsen combinatie van de gemiddelde programmeur.

Dmitri Sklyarov? Gulifanov kan beter niet naar de VS reizen voorlopig..

Je hebt gelijk... Maar ze zullen er vast wel een andere leuke acroniem voor hebben.. PATRIOT misschien?