Nieuws
image

Microsoft kan ernstig IE-lek niet reproduceren

zaterdag 8 januari 2011, 20:54 door Redactie, 6 reacties

Het lukt Microsoft niet om een ernstig beveiligingslek in Internet Explorer aan de praat te krijgen, waardoor er altijd nog geen advisory is verschenen. Begin deze week onthulde de Poolse beveiligingsonderzoeker Michael Zalewski dat hij via een zelfgemaakte fuzzingtool meer dan honderd lekken in Internet Explorer, Firefox, Chrome, Safari en Opera had gevonden. In één geval zou het om een ernstige kwetsbaarheid in Internet Explorer gaan die ook bij Chinese hackers bekend is. Het Franse beveiligingsbedrijf Vupen bevestigde vervolgens het lek, maar een advisory van Microsoft bleef uit.

De softwaregigant laat nu in een overzicht van nog vijf potentiële zero-day lekken weten waarom het nog geen waarschuwing heeft afgegeven. De kwetsbaarheid in kwestie zou wel de browser laten crashen, maar het lukt Microsoft niet om vervolgens willekeurige code uit te voeren en het systeem over te nemen.

De overige vier problemen zijn aanwezig in WMI Administrative Tools ActiveX control, IIS 7.0 en 7.5 FTP service, Windows graphics rendering engine en Internet Explorer. Het CSS-lek in IE wordt volgens Microsoft beperkt bij aanvallen gebruikt en zou via de EMET-tool tijdelijk zijn te verhelpen. De kwetsbaarheid in IIS veroorzaakt in de meeste gevallen een Denial-of-Service. Microsoft heeft nog geen gevallen gezien waarbij systemen ook via dit lek werden overgenomen.

Wat betreft het WMI Administrative Tools ActiveX-lek is dit ActiveX control niet door Microsoft gesigneerd en hebben ook niet veel systemen het geïnstalleerd, waardoor het gevaar voor de meeste gebruikers zeer klein is. Voor het recent gerapporteerde lek in de Windows graphics rendering engine is er inmiddels een Fix-it oplossing, die de Access Control List van de kwetsbare shimgvw.dll aanpast.

Google
De situatie waarbij Zalewski zijn tool openbaarde zonder op een update van Microsoft te wachten lijkt op een incident met onderzoeker Tavis Ormandy. Die onthulde vorig jaar een ernstig lek in Windows XP omdat Microsoft geen afspraak over het uitbrengen van de patch wilde maken. Ook bij Zalewski vroeg Microsoft om uitstel, maar de onderzoeker vond dat de softwaregigant geen excuus had om het probleem zo lang te laten zitten. Microsoft zou al zo'n zes maanden geleden zijn gewaarschuwd, maar liet verder niets van zich horen.

Zowel Zalewski als Ormandy werken als beveiligingsonderzoeker bij Google, maar hebben de kwetsbaarheden en tool geheel in eigen naam gepubliceerd. Ormandy en andere beveiligingsexperts waren afgelopen zomer furieus dat de media steeds de naam van Google lieten vallen. Ook nu zijn er tal van nieuwsberichten verschenen waarin de naam van Google wordt genoemd, terwijl dat geheel los van het voorval staat. "Ik ben Google niet. Wil je echt in een wereld leven waar elke actie die je neemt moet zijn goedgekeurd door je werkgever?", aldus Ormandy destijds.

Reacties (6)
09-01-2011, 02:29 door Anoniem
Suggestieve kop weer. Zalewski heeft een fuzzer gepubliceerd die meerdere lekken vind; het gaat niet om een specifiek lek. Op de blog staat dat Microsoft nog niet in staat was om een stand-alone repro te maken van de fuzzer resultaten. Iets wat met de type lekken ook erg lastig is (voornamelijk use-after-free bugs die waarschijnlijk ook timing afhankelijk zijn)

Opvallend overigens dat al 3 medewerkers van Google (Zalewski, Ormandy en Evans) exploits in IE hebben gepubliceerd in hun "eigen tijd" zonder dat er een patch beschikbaar was.
09-01-2011, 09:42 door Anoniem
Als je echt zo paranoia over beveiligingslekken bent,dan is Linux een betere oplossing.
Daar zitten ook wel lekken in maar die worden altijd sneller door de opensource gemeenschap gedicht.
Trouwens je hebt bij Linux geen last van de internetexplorer exploits,en alle lekken die MS nog niet kan dichten.
09-01-2011, 10:10 door WhizzMan
Even de politiek over de eventuele betrokkenheid van Google er buiten latend, MicroSoft zal kennelijk adequater moeten reageren op meldingen. Het is niet alsof ze 24 uur de tijd hebben gekregen om de boel op te lossen tenslotte. Melding, code vinden, bug patchen, testen en in de volgende patchronde meenemen zou binnen 2 maanden moeten lukken. In het ergste geval 3, als je net na "patch tuesday" de melding krijgt en je de boel niet binnen de maand rond krijgt. Als een organisatie met zo veel coders als MicroSoft meer dan een maand moet doen over het oplossen van een bug, hebben ze het aan zichzelf te wijten als er gepubliceerd wordt.
09-01-2011, 11:59 door Anoniem
De vraag is, hoe kan je iets repareren zonder te weten wat er kapot is. Enige wat MS kan doen in dit geval is de BO er uit halen. Maar een mogelijke impact analyse (Advisory) kunnen ze niet geven.

Nu is de vraag in hoeverre deze Pool niet bezig is zichzelf te verkopen aan de buitenwereld. Want ik blijf het gevoel houden dat deze man iets doet wat niet helemaal te vertrouwen is. Vooral het bashgehalte richting MS valt mij op terwijl er in andere browsers ook ernstige fouten zitten die nog niet opgelost zijn.

Ik denk ook dat we deze man met een korreltje zout moeten nemen en mijn gevoel heeft me de afgelopen 20 jaar nog nooit in de steek gelaten.
09-01-2011, 15:19 door Anoniem
Door WhizzMan: Even de politiek over de eventuele betrokkenheid van Google er buiten latend, MicroSoft zal kennelijk adequater moeten reageren op meldingen. Het is niet alsof ze 24 uur de tijd hebben gekregen om de boel op te lossen tenslotte. Melding, code vinden, bug patchen, testen en in de volgende patchronde meenemen zou binnen 2 maanden moeten lukken. In het ergste geval 3, als je net na "patch tuesday" de melding krijgt en je de boel niet binnen de maand rond krijgt. Als een organisatie met zo veel coders als MicroSoft meer dan een maand moet doen over het oplossen van een bug, hebben ze het aan zichzelf te wijten als er gepubliceerd wordt.
En als je de bug niet kunt reproduceren, dan kun je toch ook geen fix ontwikkelen? Of zie ik dit nu heel erg verkeerd en kun je wel iets fixen waarvan je niet weet wat er kapot is?
11-01-2011, 08:43 door spatieman
It is not a bug, it is a undocumented option.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search