Nieuws
image

Zeer ernstig lek brengt Windows gebruikers opnieuw in gevaar

woensdag 10 september 2008, 09:54 door Redactie, 14 reacties

Microsoft heeft zeer ernstige beveiligingslekken in een onderdeel van Windows gepatcht dat eerder al op grote schaal werd misbruikt voor het besmetten van internetgebruikers. In totaal gaat het om vijf kwetsbaarheden in de Windows graphics device interface (GDI), die bepaalde afbeeldingen rendert. Alleen het bezoeken van een kwaadaardige pagina met Internet Explorer is voldoende om aanvallers volledige controle over de computer te geven. Beveiligingsexpert adviseren gebruikers om direct de updates van patchdinsdag te installeren. De vorige keer dat Microsoft een lek in GDI patchte werd de kwetsbaarheid binnen twee dagen door aanvallers misbruikt.

"Als ik een aanvaller zou zijn, was dit de patch die ik zo snel als mogelijk zou reverse engineeren," zegt Dave Marcus, directeur beveiligingsonderzoek van McAfee Avert Labs. Volgens Marcus lopen met name ongepatchte gebruikers van Internet Explorer risico, maar zou het kwetsbare Windows onderdeel mogelijk ook via andere applicaties te misbruiken zijn.

Moti Joseph van Websense reverse engineerde de patch om te zien wat Microsoft gepatcht heeft. Het probleem bevindt zich in het GdiPlus.dll, dat bij het decoderen van een kwaadaardige gecomprimeerde RLE bitmap een buffer overflow veroorzaakt. "Realistisch gezien versturen niet veel mensen bitmaps naar hun vrienden. Het geprepareerde bestand zou ook als een plaatje op een website geembed kunnen worden, en dan volstaat het bezoeken van die site met Internet Explorer om besmet te raken."

Verder zijn er updates uitgebracht voor lekken in Office XP, Office 2003, Office 2007, Office OneNote2007, Windows Media Player en Windows Media Encoder. Updaten kan via Windows Update of de Automatische Update functie.

Reacties (14)
10-09-2008, 10:38 door wizzkizz
Vanwege de zeer grote dreiging en geringe mogelijkheden om je te beschermen tegen drive-by aanvallen via websites, is het volgens mij redelijk om te stellen dat je sandboxing-technieken nodig hebt om nog veilig te kunnen surfen op het wereld wijde web. Gelukkig wordt dat ook steeds vaker toegepast, want zolang gebruikers met verhoogde rechten surfen, is het risico extra groot. Helaas is het nog steeds te gebruikelijk bij veel gebruikers om standaard met beheerdersrechten te werken.
10-09-2008, 10:55 door SirDice
Waarom zouden ze de patch nog moeten reverse engineeren als de bug al op grote schaal misbruikt wordt?
10-09-2008, 11:09 door Jachra
Door SirDiceWaarom zouden ze de patch nog moeten reverse engineeren als de bug al op grote schaal misbruikt wordt?

SirDice, er staat:

Microsoft heeft zeer ernstige beveiligingslekken in een onderdeel van Windows gepatcht dat eerder al op grote schaal werd misbruikt voor het besmetten van internetgebruikers.

Het component dat die lek bevat is al eerder doelwit geweest en kan het dus weer worden.
10-09-2008, 11:16 door SirDice
Ah.. Verkeerd begrepen inderdaad :)
10-09-2008, 11:48 door Jachra
Wel zullen maar zeggen dat het nog te vroeg in de morgen was... ;-)
10-09-2008, 12:38 door Eerde
Vreemd dat ik hier niet de verontwaardiging lees zoals bij Google's Chrome, M$ schijnt meer 'slack' te krijgen. Chrome doet bv aan sandboxing.
Wow, denk eens in Chrome icm met een open source OS, das pas veiligheid.
10-09-2008, 13:14 door Anoniem
Door EerdeVreemd dat ik hier niet de verontwaardiging lees zoals bij Google's Chrome, M$ schijnt meer 'slack' te krijgen. Chrome doet bv aan sandboxing.
Wow, denk eens in Chrome icm met een open source OS, das pas veiligheid.

Chrome sandboxed? Dat weet je meer dan ik. IE7 onder Vista is sandboxed maar FF3 en Chrome niet ...Sowieso heb je onder XP geen MAC..Als je UAC uitschakelt onder Vista is de sandbox ook wel naar de eeuwige bitvelden..
10-09-2008, 14:10 door Eerde
Chrome sandboxed? Dat weet je meer dan ik
Daar heb je gelijk in. Om over diezelfde kennis te kunnen beschikken raad ik je dan ook het volgende aan: Google eens op "sandbox Chrome" en lees.
Houd er wel rekening mee dat je query "sandbox Chrome" naar Google wordt verzonden.... ;)
10-09-2008, 14:27 door Rene V
Vreemd, we hebben nog niets van Nomen Nescio vernomen omtrent deze melding.
Ik had toch op z'n minst een opmerking verwacht als zijnde: "Kijk, een serieuze berichtgeving over Miscrosoft kan dus toch?"

Hmm.. bij nader inzien zou hij over dit soort berichtgevingen dat nooit zeggen, alleen als er iets positiefs wordt gezegd over MS dan is Security.nl plots serieus en objectief.

Ik hoor 'm wel vaak over Google Chrome en FireFox blaten als daar bugs of kwetsbaarheden in worden ontdekt.
Nou goed, a la Nesciooooo: Lekker veilig hoor dat IE!!
10-09-2008, 14:52 door Eerde
IE is de onveiligste browser op de hele planeet, dat is bekend, alom nog wel ;)
10-09-2008, 21:08 door Jackr64
Door René VVreemd, we hebben nog niets van Nomen Nescio vernomen omtrent deze melding.
Ik had toch op z'n minst een opmerking verwacht als zijnde: "Kijk, een serieuze berichtgeving over Miscrosoft kan dus toch?"

Hmm.. bij nader inzien zou hij over dit soort berichtgevingen dat nooit zeggen, alleen als er iets positiefs wordt gezegd over MS dan is Security.nl plots serieus en objectief.

Ik hoor 'm wel vaak over Google Chrome en FireFox blaten als daar bugs of kwetsbaarheden in worden ontdekt.
Nou goed, a la Nesciooooo: Lekker veilig hoor dat IE!!

LOL!!! Zijt gij niet degene die zijn huiswerk moest maken! =D
10-09-2008, 21:09 door Bitwiper
Door EerdeIE is de onveiligste browser op de hele planeet
Ik ben geen IE fan maar het GDI+ probleem staat los van IE, alle webbrowsers (die plaatjes tonen) hebben hiermee te maken.

Door wizzkizzVanwege de zeer grote dreiging en geringe mogelijkheden om je te beschermen tegen drive-by aanvallen via websites, is het volgens mij redelijk om te stellen dat je sandboxing-technieken nodig hebt om nog veilig te kunnen surfen op het wereld wijde web. Gelukkig wordt dat ook steeds vaker toegepast, want zolang gebruikers met verhoogde rechten surfen, is het risico extra groot. Helaas is het nog steeds te gebruikelijk bij veel gebruikers om standaard met beheerdersrechten te werken.
Aan sandbox technieken die ik ken heb je niets in dit geval omdat het renderen van plaatjes door het OS gebeurt.

Erger, het zou me niet verbazen als het werken als non-admin weinig voordeel oplevert. In elk geval vanaf NT4.0 t/m XP draaien op z'n minst delen van [url=http://technet.microsoft.com/en-us/library/cc750820.aspxl]GDI in kernel mode (ring 0)[/url]; pas vanaf Vista zou hier weer verandering in zijn aangebracht (boze tongen beweren dat alleen al daardoor spelletjes langzamer lopen).

Dat inloggen als non-admin bij GDI+ exploits weinig of niets uitmaakt lijkt te worden bevestigd door [url=http://www.microsoft.com/technet/security/bulletin/ms08-sep.mspx]Microsoft's overzicht van deze maand[/url]: als je 'Critical' openklapt zie je bij alle vier de 'Executive Summaries' de volgende tekst:
Users whose accounts are configured to have fewer user rights on the system could be less impacted than users who operate with administrative user rights.
Echter, alleen bij MS08-052 (GDI+) ontbreekt de volgende tekst:
If a user is logged on with administrative user rights, an attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights.
M.a.w. de eerste generatie GDI+ exploits zou ervan uit kunnen gaan dat jij als gebruiker wel adminrechten zult hebben en daardoor niet goed werken, maar zodra aanvallers doorhebben dat één of meer van de kwetsbaarheden in kernelmode plaatsvindt kun je maar beter gepatched hebben.
11-09-2008, 10:51 door Anoniem
@Bitwiper: GDI+ is inderdaad een probleem voor alle browsers die plaatjes renderen. De vorige keer was het zelfs zo dat mensen ondanks patches van MS nog een risico liepen omdat Firefox een static build was met GDI+. Toe werd Firefox nog niet automatisch geupdate dus bleven mensen te lang met een lekke browser surfen.
11-09-2008, 14:06 door Eerde
@Bitwipert
Ik ben geen IE fan maar het GDI+ probleem staat los van IE, alle webbrowsers (die plaatjes tonen) hebben hiermee te maken.
Huhh ?
Konqueror heeft hier helemaal geen last van hoor.
Windows graphics device interface (GDI)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search