Microsoft boos over Windows Media Player exploit
Het ernstige beveiligingslek dat op eerste kerstdag in Windows Media Player werd ontdekt is helemaal niet zo gevaarlijk als de onderzoeker doet voorkomen, zo heeft Microsoft in een reactie laten weten. Volgens Laurent Gaffie was het mogelijk om via kwaadaardige Wav, Midi of SND bestanden willekeurige code uit te voeren, zowel op een volledig gepatcht Windows XP SP3 systeem als Vista met Service Pack 1.
Wat Gaffie beweert is niet waar, aldus Microsoft. Niet alleen was het zelf al op de hoogte van het lek, een aanvaller kan er geen willekeurige code mee uitvoeren. Het enige dat een aanvaller kan doen is de applicatie laten crashen. Een gebruiker zou die dan gewoon weer kunnen starten, aangezien het besturingssysteem zelf niet getroffen wordt.
Onverantwoord
De softwaregigant heeft daarnaast geen goed woord over voor de handelswijze van de onderzoeker. In plaats van eerst met Microsoft contact op te nemen en informatie uit te wisselen, besloot Gaffie de kwetsbaarheid inclusief exploit meteen openbaar te maken. En dat is onverantwoord gedrag, zegt Christopher Budd van het Microsoft Security Response Center. Laatst kwam ook al een andere onderzoeker onder vuur te liggen, omdat het een lek publiceerde voordat er een update beschikbaar was. In dit geval had Microsoft een update voor september beloofd. Toen de patch in december nog steeds niet was verschenen vond de onderzoeker het wel welletjes.
Budd hoopt dat de onderzoeker in de toekomst zijn leven betert en voortaan verantwoordelijk te werk gaat. "We werken graag met iedereen die een probleem meldt, ongeacht wat er in het verleden heeft plaatsgevonden."
Update
Aangezien Microsoft de kwetsbaarheid al zelf via interne fuzzing procedures had gevonden, was er al een oplossing ontwikkeld. "Destijds was correct vastgesteld dat het om een betrouwbaarheidsprobleem ging, zonder beveiligingsrisico's voor klanten. We willen dit soort problemen wel via een service pack of nieuwe versie oplossen als dat mogelijk is", gaat collega Jonathan Ness verder. Hij legt in deze technische analys uit waarom het niet mogelijk is om via het lek willekeurige code uit te voeren.
Redelijk off-topic, maar waarom brengt MS dan geen mini-update uit voor WMP als het brakke software blijkt te zijn? Kwaliteit staat bij hun zeer laag in het vaandel, blijkt alweer voor de zoveelste keer... (hadden ze ook geen last van deze valse beschuldiging gehad!)
Redelijk off-topic, maar waarom brengt MS dan geen mini-update uit voor WMP als het brakke software blijkt te zijn? Kwaliteit staat bij hun zeer laag in het vaandel, blijkt alweer voor de zoveelste keer... (hadden ze ook geen last van deze valse beschuldiging gehad!)
Waarschijnlijk heeft meinonA nog nooit software ontwikkeld..
Voor elke update vind een risicoanalyse plaats..
Anders zijn er elke dag wel updates.
Als er inderdaad alleen maar sprake is van een crash (t.g.v. een unhandled exception veroorzaakt door een integer-deling die een resultaat oplevert dat groter is dan een 32-bits getal) dan bestaat er waarschijnlijk een lange lijst met dit soort fouten, en is het de vraag welke je wel of niet moet fixen. Waar het hier om gaat is input-validation, en bij complexe bestandsformaten is het 100% checken niet altijd gewenst: er is veel extra code nodig die (security) fouten kan bevatten, de code complexer, moeilijker onderhoudbaar, langer en duurder maakt. Dus dat MS daar geen mini-update voor uitbrengt begrijp ik wel.
Echter, interessant is dat Microsoft zowel [url=http://blogs.technet.com/swi/archive/2008/12/29/windows-media-player-crash-not-exploitable-for-code-execution.aspx]hier[/url] als [url=http://blogs.technet.com/msrc/archive/2008/12/29/questions-about-vulnerability-claim-in-windows-media-player.aspx]hier[/url] meldt dat deze bug al in W2K3 SP2 (d.w.z. maart 2007!) gefixed is, terwijl ik daarvan in de [url=http://support.microsoft.com/kb/914962]List of Updates in SP2 (KB Article 914962)[/url] niets kan terugvinden.
De logica waarom MS vermeldt dat de bug juist in een server OS gefixed is ontgaat me, temeer dat deze bug kennelijk niet in XP SP3 en Vista SP1 gefixed is (beide uit 2008).
Zeer opmerkelijk vind ik dat de fix niet in MS08-033 (juni 2008) is meegenomen, voor alle MS besturingssystemen bestaande uit een [url=http://support.microsoft.com/kb/951698]quartz.dll update[/url]...
Ik snap dat niet van Microsoft, waarom niet gewoon even een nieuwe versie van Windows Media Player uitgeven? Waarom moeten we voor zulke bugs altijd weer een eeuwigheid wachten op een servicepack of een geheel nieuwe versie? Ik bedoel, is het zo moeilijk de software af en toe bij te werken, net als bijvoorbeeld met Safari gebeurt van Apple. Gewoon een .1 release.
en men vraagt zich vervolgens af waar de grens is. Het einde is dan zoek.
Dan kan men wel elke dag updates uitbrengen.
Zoals bij virusscanners bijvoorbeeld. En bij Firefox, linux en Openoffice.org.
Daarom dus.
het is een optie.
Ben bedoeld de beste man met "het verleden" bedoeld. Ik heb het idee dat microsoft echt hard bezig is met verbeteren (maar ze krijgen me toch niet van debian af :P )
-goestin-
Voor elke update vind een risicoanalyse plaats..
Anders zijn er elke dag wel updates.
Het is mijn werk... Grote projecten hebben 100% code coverage door unit tests, dus als een kleine bugfix die niet omver gooit is er niks aan de hand.
Als WMP en/of MS geen mogelijkheden tot geautomatiseerd testen heeft, mogen ze zich (wederom) in een hoekje gaan zitten schamen...
Voor elke update vind een risicoanalyse plaats..
Anders zijn er elke dag wel updates.
Het is mijn werk... Grote projecten hebben 100% code coverage door unit tests, dus als een kleine bugfix die niet omver gooit is er niks aan de hand.
Als WMP en/of MS geen mogelijkheden tot geautomatiseerd testen heeft, mogen ze zich (wederom) in een hoekje gaan zitten schamen...
Als je het artikel goed gelezen had, dan had je gelezen dat MS die mogelijkheid heeft. Dit is een lokale exploit met gebruikershandeling. Laag risico en dus een lagere noodzaak om te patchen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.