image

Microsoft boos over Windows Media Player exploit

maandag 29 december 2008, 22:52 door Redactie, 9 reacties

Het ernstige beveiligingslek dat op eerste kerstdag in Windows Media Player werd ontdekt is helemaal niet zo gevaarlijk als de onderzoeker doet voorkomen, zo heeft Microsoft in een reactie laten weten. Volgens Laurent Gaffie was het mogelijk om via kwaadaardige Wav, Midi of SND bestanden willekeurige code uit te voeren, zowel op een volledig gepatcht Windows XP SP3 systeem als Vista met Service Pack 1.

Wat Gaffie beweert is niet waar, aldus Microsoft. Niet alleen was het zelf al op de hoogte van het lek, een aanvaller kan er geen willekeurige code mee uitvoeren. Het enige dat een aanvaller kan doen is de applicatie laten crashen. Een gebruiker zou die dan gewoon weer kunnen starten, aangezien het besturingssysteem zelf niet getroffen wordt.

Onverantwoord
De softwaregigant heeft daarnaast geen goed woord over voor de handelswijze van de onderzoeker. In plaats van eerst met Microsoft contact op te nemen en informatie uit te wisselen, besloot Gaffie de kwetsbaarheid inclusief exploit meteen openbaar te maken. En dat is onverantwoord gedrag, zegt Christopher Budd van het Microsoft Security Response Center. Laatst kwam ook al een andere onderzoeker onder vuur te liggen, omdat het een lek publiceerde voordat er een update beschikbaar was. In dit geval had Microsoft een update voor september beloofd. Toen de patch in december nog steeds niet was verschenen vond de onderzoeker het wel welletjes.

Budd hoopt dat de onderzoeker in de toekomst zijn leven betert en voortaan verantwoordelijk te werk gaat. "We werken graag met iedereen die een probleem meldt, ongeacht wat er in het verleden heeft plaatsgevonden."

Update
Aangezien Microsoft de kwetsbaarheid al zelf via interne fuzzing procedures had gevonden, was er al een oplossing ontwikkeld. "Destijds was correct vastgesteld dat het om een betrouwbaarheidsprobleem ging, zonder beveiligingsrisico's voor klanten. We willen dit soort problemen wel via een service pack of nieuwe versie oplossen als dat mogelijk is", gaat collega Jonathan Ness verder. Hij legt in deze technische analys uit waarom het niet mogelijk is om via het lek willekeurige code uit te voeren.

Reacties (9)
29-12-2008, 23:08 door meinonA
"Destijds was correct vastgesteld dat het om een betrouwbaarheidsprobleem ging, zonder beveiligingsrisico's voor klanten. We willen dit soort problemen wel via een service pack of nieuwe versie oplossen als dat mogelijk is",

Redelijk off-topic, maar waarom brengt MS dan geen mini-update uit voor WMP als het brakke software blijkt te zijn? Kwaliteit staat bij hun zeer laag in het vaandel, blijkt alweer voor de zoveelste keer... (hadden ze ook geen last van deze valse beschuldiging gehad!)
29-12-2008, 23:37 door Anoniem
Door meinonA
"Destijds was correct vastgesteld dat het om een betrouwbaarheidsprobleem ging, zonder beveiligingsrisico's voor klanten. We willen dit soort problemen wel via een service pack of nieuwe versie oplossen als dat mogelijk is",

Redelijk off-topic, maar waarom brengt MS dan geen mini-update uit voor WMP als het brakke software blijkt te zijn? Kwaliteit staat bij hun zeer laag in het vaandel, blijkt alweer voor de zoveelste keer... (hadden ze ook geen last van deze valse beschuldiging gehad!)

Waarschijnlijk heeft meinonA nog nooit software ontwikkeld..
Voor elke update vind een risicoanalyse plaats..
Anders zijn er elke dag wel updates.
30-12-2008, 00:00 door Bitwiper
Door meinonARedelijk off-topic, maar waarom brengt MS dan geen mini-update uit voor WMP als het brakke software blijkt te zijn? Kwaliteit staat bij hun zeer laag in het vaandel, blijkt alweer voor de zoveelste keer... (hadden ze ook geen last van deze valse beschuldiging gehad!)
De vraag is of Microsoft bluft en er uiteindelijk iemand op de proppen komt met een exploit die wel code kan starten.

Als er inderdaad alleen maar sprake is van een crash (t.g.v. een unhandled exception veroorzaakt door een integer-deling die een resultaat oplevert dat groter is dan een 32-bits getal) dan bestaat er waarschijnlijk een lange lijst met dit soort fouten, en is het de vraag welke je wel of niet moet fixen. Waar het hier om gaat is input-validation, en bij complexe bestandsformaten is het 100% checken niet altijd gewenst: er is veel extra code nodig die (security) fouten kan bevatten, de code complexer, moeilijker onderhoudbaar, langer en duurder maakt. Dus dat MS daar geen mini-update voor uitbrengt begrijp ik wel.

Echter, interessant is dat Microsoft zowel [url=http://blogs.technet.com/swi/archive/2008/12/29/windows-media-player-crash-not-exploitable-for-code-execution.aspx]hier[/url] als [url=http://blogs.technet.com/msrc/archive/2008/12/29/questions-about-vulnerability-claim-in-windows-media-player.aspx]hier[/url] meldt dat deze bug al in W2K3 SP2 (d.w.z. maart 2007!) gefixed is, terwijl ik daarvan in de [url=http://support.microsoft.com/kb/914962]List of Updates in SP2 (KB Article 914962)[/url] niets kan terugvinden.

De logica waarom MS vermeldt dat de bug juist in een server OS gefixed is ontgaat me, temeer dat deze bug kennelijk niet in XP SP3 en Vista SP1 gefixed is (beide uit 2008).

Zeer opmerkelijk vind ik dat de fix niet in MS08-033 (juni 2008) is meegenomen, voor alle MS besturingssystemen bestaande uit een [url=http://support.microsoft.com/kb/951698]quartz.dll update[/url]...
30-12-2008, 00:09 door [Account Verwijderd]
We willen dit soort problemen wel via een service pack of nieuwe versie oplossen als dat mogelijk is"

Ik snap dat niet van Microsoft, waarom niet gewoon even een nieuwe versie van Windows Media Player uitgeven? Waarom moeten we voor zulke bugs altijd weer een eeuwigheid wachten op een servicepack of een geheel nieuwe versie? Ik bedoel, is het zo moeilijk de software af en toe bij te werken, net als bijvoorbeeld met Safari gebeurt van Apple. Gewoon een .1 release.
30-12-2008, 00:34 door Anoniem
... maar waarom brengt MS dan geen mini-update uit voor WMP ...
Een eenvoudige volksredenatie zegt dat men dan wel aan de gang kan blijven,
en men vraagt zich vervolgens af waar de grens is. Het einde is dan zoek.
Dan kan men wel elke dag updates uitbrengen.
Zoals bij virusscanners bijvoorbeeld. En bij Firefox, linux en Openoffice.org.
Daarom dus.
30-12-2008, 10:22 door spatieman
het is geen bug..
het is een optie.
30-12-2008, 10:44 door Anoniem
Deze zin vond ik 't opmerkelijkst in het hele verhaal:
"We werken graag met iedereen die een probleem meldt, ongeacht wat er in het verleden heeft plaatsgevonden."

Ben bedoeld de beste man met "het verleden" bedoeld. Ik heb het idee dat microsoft echt hard bezig is met verbeteren (maar ze krijgen me toch niet van debian af :P )

-goestin-
30-12-2008, 12:59 door meinonA
Waarschijnlijk heeft meinonA nog nooit software ontwikkeld..
Voor elke update vind een risicoanalyse plaats..
Anders zijn er elke dag wel updates.

Het is mijn werk... Grote projecten hebben 100% code coverage door unit tests, dus als een kleine bugfix die niet omver gooit is er niks aan de hand.

Als WMP en/of MS geen mogelijkheden tot geautomatiseerd testen heeft, mogen ze zich (wederom) in een hoekje gaan zitten schamen...
30-12-2008, 15:13 door Jachra
Door meinonA
Waarschijnlijk heeft meinonA nog nooit software ontwikkeld..
Voor elke update vind een risicoanalyse plaats..
Anders zijn er elke dag wel updates.

Het is mijn werk... Grote projecten hebben 100% code coverage door unit tests, dus als een kleine bugfix die niet omver gooit is er niks aan de hand.

Als WMP en/of MS geen mogelijkheden tot geautomatiseerd testen heeft, mogen ze zich (wederom) in een hoekje gaan zitten schamen...

Als je het artikel goed gelezen had, dan had je gelezen dat MS die mogelijkheid heeft. Dit is een lokale exploit met gebruikershandeling. Laag risico en dus een lagere noodzaak om te patchen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.