En wat is hier het risico van?? Ik zou graag willen weten wat de gevolgen van
deze lek zijn. Informatie gaat niet verderdan dat het lek er is.

Jammer dat security.nl zichzelf vernederd door de
kwaadaardige link te plaatsen. Knippen en plakken en lekker
doormailen maar. Succes verzekerd dat half Nederland er mee
zit. Misschien niet nu maar wat over een week of twee ...
Bijzonder teleurstellend.

Hmm....weer een reden om over te stappen op Mozilla...

Een hele goede alternatieve browser is FireFox...
http://www.mozilla.org/products/firefox/

Gert

Zo'n link maak je toch niet aanklikbaar als het een lek is??????????

Nee joh, er gebeurd verder niets. Overigens moet je op de link klikken en dan
iets slepen, anders gebeurd er echt helemaal niets.

Tja, als je mensen hiertoe kan verleiden dan weet ik nog wel een paar truuks.

Er staat toch een duidelijke melding dat je hiermee je systeem
compromitteerd??

Iedereen met iets meer herseninhoud dan een kuiken snapt dus dat hij/zij
niet op deze link moet klikken als hij/zij niet weet hoe dit op te lossen is, OF
hij/zij klikt bewust op deze link om uit te zoeken wat er precies gebeurd en
hoe dit eventueel op te lossen is.

Door deze link te plaatsen zijn er heel misschien wel slim genoeg om
een workaround of kleine patch in elkaar te flansen (Firefox/Mozilla is geen
patch maar wel een oplossing ;) )

De link opzich doet niks, pas als je doet wat er op die site
staat gebeurt er wat.
Er komt dan een harmless exe in je startup folder.
Dit is proof of concept.

http-equiv, de security researcher die deze post deed op FD,
gebruikt malware.com voor het posten van zijn PoC dingetjes.

Als je niet kan nagaan wat het risico hiervan is, wat doe je
dan in gods naam op deze site?

Er staat toch een duidelijke waarschuwing bij??
Ik zie het probleem niet.

Wat ben jij een schreeuwlelijk en een ontzettende angsthaas.

ten 1e
moet je meerdere handelelingen uitvoeren voor er iets gebeurd
ten 2e
met een goede browser heb je al hele maal geen probleem
ten 3e
met goede programma's heb je de troep zo weg

Dus knul,
doe wat aan je kennis voor je een zo vernederende post plaatst,
(deze vertelde nl meer over jou dan het onderwerp)
bekijk de gegeven info en test het voor je een mening
uitschreeuwt die helemaal nergens op slaat.

Ik vind dat geen lek hoor, je moet echt actie ondernemen wil het effect
hebben. Maar dat is met alles zo, als je dom bezig bent zal de SP2-update je
echt niet beschermen. Hetzelfde als in het verkeer, autogordels bieden meer
bescherming maar dan nog kan je je zelf en anderen te pletter rijden bij
onverantwoord rijgedrag. Een onzinnig bericht in mijn optiek dus.

Listig, dacht dat de computer weer crashte ofzo met dat
freaky extra window :P

Valt best mee, ik heb de broncode van die pagina even bekeken, en dit is vast
wel in een of ander leuk "online" spelletje te integreren. Dit als attachment in
een mailtje leuk stukje tekst erbij met een virus-achtig iets om door verstuurd
te worden en we hebben een feest.

Een behoorlijke lek toch wel hoor.

Dit is proof of concept. Het wachten is op
scammers/phishers/spammers/spyware jongens om dit iets
geavanceerder te misbruiken.

Nou, helemaal netjes is het natuurlijk niet aangezien je niet echt ziet wat je
doet. Het is een beetje vergelijkbaar met de balletje-balletje truuk die je
vroeger op straat zag. Zo zijn er nog wel een paar te verzinnen.

En daarvan weet je ook dat je belazerd wordt waar je bij staat. Een beetje
eigen verantwoordelijkheid is in deze wel op z/n plaats.

Ad 1:
Een leek voert altijd alle handelingen uit!

Ad 2:
Ik gebruik een goede browser maar het overgrote deel van
Nederland namelijk niet.

Ad 3:
Idd met goede programma's loop je niet eens de kans om
problemen op te lopen.

Ik ben geen angsthaas of schreeuwlelijk. Ik ben er zeer
bewust mee bezig. Het feit is alleen dat het plaatsen van
dit soort links heel lang kunnen nagalmen. En in dit geval
van deze link is het nog vrij onschuldig. Alleen een
kwaadwillende geest kan het makkelijk destructiever maken.

Maar even goede vrienden als jij vind dat het plaatsen van
de link zeer goed past dan geeft ik jou gelijk. Maar ik
blijf er bij dat je problemen blijft afroepen.

Mzzl

Werkt niet in windows 2003, vreemd. Toch als verknocht Windows fan vind ik
dat dit eigenlijk niet in sp2 had moeten kunnen, maar goed, firefox is een
beetje traag bij me, dan maar niets verslepen.

niet echt ziet wat je
doet??? Staan je bestanden hier niet dan ? of voeg je altijd zomaar
bestanden toe, aan je startup folder.

Als ik je nu een mailtje stuur met een .exe met de vraag of je hem ff naar je
startup dir wilt kopieëren, doe je dit dan ook ????

Mijn startup folder is op twee kleine trays na leeg. Dus die zie ik niet. Daarbij
kan ik me voorstellen dat je iemand verleid tot bijvoorbeeld een onschuldig
ogend spelletje.

Het gaat er om dat je niet door hebt wat je doet. Als jij me dat zo expliciet
vraagt dan is de kans klein dat ik zoiets doe.

Je hebt gelijk dat dit niet direct een lek is maar netjes is het niet.

Geen lek? Het is dus normaal dat een browser bestanden in je
startup folder kan zetten, zonder dat jij daar om vraagt,
zonder dat jij dat merkt ?

http://secunia.com/advisories/12321/ ? Dat lijkt me wel een vet lek.

XP SP twee en toch weer niet lekker in je vel en zit het
weer niet mee :)

Vandaar die Windowers altijd zo prikkelbaar zijn, elke link
te moeten wantrouwen en eigenlijk alles wat ze ermee moeten
of trachtten te doen.

Download Mozilla 1.7.2 voor in dit geval Windows, dan heb je
meteen ook een functionerende e-mail en newsclient erbij
naast de befaamde browser
http://ftp.eu.mozilla.org/pub/mozilla.org/mozilla/releases/mozilla1.7.2/mozilla-win32-1.7.2-installer.exe

http://www.theinquirer.net/?article=17966

In jouw optiek is dit misschien onzinnig omdat JIJ er niets
mee kunt.
Maar hiermee is wel aangetoond dat er weing is verandert in
de security van windows xp icm internet explorer.... gewoon
even afwachten dan zul ook jij inzien dat het hier wel
degelijk om een lek gaat.

Nee, de browser doet dat namelijk niet, je moet bewust zelf het bestand in je
folder zetten alleen wordt de schijn gewekt dat je iets onschuldigs doet. Dat
dat kan is niet fraai maar lek is het niet.

Geen lek, nee tuurlijk niet.... Vind je het verslepen van een plaatje een
bewuste actie tot het plaatsen van een executable? Ik niet.
Dat is toch bijna altijd het probleem met dit soort fouten?? Ik vind het een
behoorlijke lek, iemand hoeft dit maar op een leukere manier in te kleden dat
deze site (een leuk klik spelletje) en je bent genaaid. Ik gok dat ongeveer
85% van de Windows gebruikers een leuk spelletje wel willen spelen.

De grote kracht van phishing en goede virussen is juist dat het lijkt alsof het
onschuldig en legitiem is, en daarom trappen er zoveel mensen in.

Prachtig zoals die oogklepjes schoon gewassen uit de kast
worden gehaald en enkelen graag in de ontkennende vicieuze
cirkel blijven vertoeven, gevoelig voor *social engineering*
net als de programma's waar zij op 'vertrouwen'.

'het bestand' is in deze een uitvoerbaar bestand dat zich
vermomt als zijnde een afbeelding. Je weet hoe makkelijk
Windows is met uitvoerbare bestanden, al of niet met active
dit of dat scripting: de extentie maakt daarbij ook niet
zoveel uit.

Kan niet missen.

Oke, ik bekijk het nl net van de andere kant.
De gemiddelde gebruiker wordt alleen van informatie voorzien
dat alles gevaarlijk is en hij zelf verantwoordelijk is.
Op zich is dat ook wel zo, maar de rollen omkeren en de
gevaren op tafel leggen dmv informatie met beschrijving wat
er gebeurd (en hoe het weer op te lossen en te voorkomen
door de juiste programma's te gebruiken) als je dus wel doet
wat de "grapjassen" willen heeft vlg mij een veel grotere
werking mbt kennis hoe te voorkomen, hoe op te lossen, hoe
te herkennen e.d.

Vanuit dat oogpunt vind ik de plaatsing van die link
helemaal niet verkeerd.

Kennis is macht, toch?

:) Daar gebruik je toch ook goede programma's voor?
Wie wil er nou problemen.

Sommigen nemen om die reden zelfs een ander platform.

Wat die link betreft is dit gewoon een proof of concept,
zoals deze normaal gesproken gemeengoed zijn binnen
security-regionen. PoC's helpen een probleem te reproduceren
zodat er een oplossing voor kan worden bedacht.

Het gevoel dat een zo'n linkje enigen geeft, geeft te
denken. Dan durf je voor hun gemoedsrust eigenlijk niet meer
op te melden dat er voor MS alleen grabbeltonnen vol andere
PoC's bestaan. :)

Dat gevoel voor die mensen moet ongeveer hetzelfde zijn als
met 160km/h over een drukke bochtige snelweg te razen in een
brakke Lada die door de APK is afgekeurd.

Geef je fantasie eens de ruimte wat ik kan als ik een
bestand/programmaatje in jou startup kan zetten ? Dan kan ik
inderdaad alles wat ik maar zo willen...

Een buffer-overflow, dat is een lek. Het zou ook lek zijn als het alleen zou
werken door de link aan te klikken. Maar misbruik maken van features en die
dan lek noemen gaat me te ver. Het is hooguit niet fraai.

Het lek zit 'm in deze hooguit bij de gebruiker die hier intrapt.

Kijk, dat zijn nou die kerels die virussen e.d. rotzooi via hun klikgedrag
binnenhalen. NOOIT KLIKKEN OP IETS WAARVAN JE AL VERMOEDT
DAT DIT EEN VIRUS/WORM E.D. IS!!!

IS HET DAN ZO MOEILIJK OM GOEDE RICHTLIJNEN UIT TE VOEREN??

Waar zouden "ikke nie weet" en "ik wille ook weet niet"
hanterende gebruikers dan hun vermoeden op moeten baseren?
Fatsoenlijke programmatuur of oplossingen willen de probleem
chronicie niet.

Social engineering tracht doorgaans juist enig vermoeden weg
te nemen.
In dit voorbeeld versleept iemand immers een "afbeelding" in
MSIE op de harddisk, terwijl het een uitvoerbaar bestand is!

Iemand die niet bekend is (of niet bekend wil zijn) met de
gebreken van MSIE zal in de veronderstelling zijn dat er een
afbeelding wordt verscheept, niet een ander type bestand.

Of nu de browser lek is of de gebruiker met behulp van een
bedenkelijke 'feature' in MSIE, schuilt daar hoe dan ook het
gevaar.

"NOTE: Even though the PoC depends on the user performing a
drag and drop event, it may potentially be rewritten to use
a single click as user interaction instead."

btw, een lek is niet fraai, en dit is geen fraai lek.

ik snap dat de microsoft-werknemers doe hier posten om de ms
en ie naam hoog te houden alle lekken in hun OS/browser het
prettiger vinden om iets "niet fraai" te noemen, dan een
"higly critical vulnerability".

ook getuigt het van weinig inzicht van een groot aantal
mensen hier, dat het begrip Proof of Concept niet begrepen
wordt.

Kunnen ze submissions niet tot 20 regels beperken, want het
wordt zo veel scrollen met jullie geneuzel.

Tip voor de bezoekers hier die moe worden van deze domme anti-MS
discussies: zoek eerst even op "oogklep" via de ctrl + f functie. Als je wat vind,
kun je beter het schermpje sluiten, want dan worden er weer domme
reacties gegeven...

Nou ik ben echt geen MS werknemer of fan maar wel iemand die dit objectief
geen lek vind.

Ben net nog een beetje boos op MS geworden. Ik had hun kantoor aan de lijn
met een lastige vraag over hun SQL server product en vroeg naar persoon A.
Na enige discussie of ik A wel wilde spreken besloot men het nummer van
persoon A. op te zoeken en mij door te verbinden... uh... sorry meneer maar ik
krijg een SQL error.

ik bedoelde dus:

ik snap dat de microsoft-werknemers doe hier posten om de
ms/ie naam hoog te houden, liever alle lekken in hun
OS/browser "niet fraai" noemen, dan een
"highly critical vulnerability".

Ik krijg steeds een genaamde Portal 18 in mijn pc,hij verdringt steeds mijn
startpagina en nestelt zich telkens weer in mijn Program Files.
Heeft hier nog iemand ervaring mee?

Ik weet niet hoe ik het zou noemen een lek of niet maar ik zou het het liefst uit
windows hebben. En ik denk de meeste mensen hier. Dus houd op met
zeiken en gewoon zeggen: shit. En nee dit is geen reden om naar linux te
gaan. Hmm zal ik em vanmiddag eens installeren eeuh sorry.

En waarom vind je dit dan geen lek? Zoals al eerder wordt verteld:
Dus dit is mogelijk aan te passen van slepen naar alleen maar klikken. Echt
veel actie hoeft er dus dan niet meer ondernomen te worden. Alleen maar de
interesse voor een 'link' wekken.

Nee, ten eerste is het niet aangetoond dat je het kan herschrijven naar een
enkele klik actie. Ik acht dat ook onwaarschijnlijk, de gebruikte truuk geeft
geen enkele aanleiding te geloven dat dit kan.

Ten tweede moet je dan altijd nog de link aankiezen en vervolgens iemand
verleiden om ergens op te klikken.

Waar gaat het hier om? Je kan normale functionaliteit zo gebruiken dat je iets
kwaadaardigs als iets onschuldigs presenteert. Er wordt geen security
doorbroken, het gaat alleen om ongelukkige presentatie van informatie.

Ter illustratie:
Als iemand jou een rekening stuurt in de opmaak van een jou bekend bedrijf
met zijn rekeningnummer ipv. die van het bedrijf en jij betaald ten onrechte
die rekening dan zit er geen lek in de rekening hoor.

Juist wel :-)

Houd toch op met ruzieen: de vraag is of je het in Windows zou willen
hebben, en nee het moet eruit.

Ik vind het persoonlijk nog steeds vreemd dat het plaatsen van
bestanden op je computer zo makkelijk mogelijk is. We kunnen met
ons allen nog flink discussieren of dit een lek is of niet, Ik vind dat dit
soort acties(plaatsen van bestanden uitvoeren van executables op jou
computer via internet) helemaal niet mogelijk moeten zijn zonder
nadrukkelijke toestemming van de gebruiker.
Ik begrijp ook dat er veel mensen volgens het klik maar raak principe
werken. Ik vind wel dat microsoft en andere bedrijven die standaarden
uitdenken dat ze deze gebruikers ook in gedachten moeten houden.
Aan de andere kant, juist van deze gebruikers vreten ze zelf ook zeer
goed. Dus ik denk niet dat er snel iets zal veranderen...

Toch !

Waarom wordt er niet meer vanuit het sandbox principe gewerkt.
Of bijvoorbeeld een folder waar gedownloade bestanden geplaatst
worden ( bestaat al weet ik maar ik ben nog niet klaar met mijn verhaal)
en dat deze bestanden ook niet buiten deze folder acties kunnen
verrichten. Ook dat bestanden in deze folder altijd zeer beperkte
rechten hebben. Ook audio en video mogelijkheden moeten zondanig
beperkt worden dat het afspelen wel mogelijk is maar dat er geen
mogelijkheid bestaat om uitvoerbare bestanden aan te roepen vanuit
audio en video bestanden.

Ik hoop dat microsoft en andere bedrijven eens wakker worden en een
goed framewerk ontwikkelen waar de mogelijkheden die we nu hebben
dat deze blijven bestaan(eventueel opofferingen ten bate van de
veiligheid is mijn eerste keus) maar dat het aspect van
betrouwbaarheid en veiligheid hoog in het vaandel worden genomen.


ALG

Zoals het al in de krant stond:

Dit heet "survival of the fittest".

;-.)

Vreemd dat linux nog bestaat, die 2 gebruikers..

Yep en wederom is de intelligentie van 'security experts' ontbloot, lmao
Bedankt security.nl nu kan ik eindelijk eens wat met mijn spam progje gaan
doen. ;P

Enigen gaan nog verder en stoppen het liever stilletjes in
de doofpot door het onconstructief een "domme anti-MS
discussie'" te noemen. Dezen hebben er duidelijk moeite mee
dat er openlijk wordt gepraat over (ernstige) fouten in
diens producten in een poging een oplossing te verhinderen.

Je word toch zo langzamerhand ........
(schijtziek)
van dt stomme ge-ouwehoer over MS versus linux of whatever...

Dat de redactie van deze site er niets aan doet
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Nog ff zo....
er zijn meer (lees: betere) site's
dan houd ik me daar wel bij

De enige reden om hier te komen is omdat het de nederlandse
IT betreft die hier antwoord en post, maar het nivo........
spare me.

Ja op dit moment heb ik een paar heerlijke smyrnoffjes op en
reageer dus zoals ik me normaal gesproken voel als ik hier lees.


REDACTIE DOE UW TAAK EN PROBEER HET NIVO TE LIFTEN

Voor de mensen die denken dat dit geen kritiek lek is:
http://www.derkeiler.com/Mailing-Lists/securityfocus/bugtraq/2004-08/0325.html
Hier een goede site met uitleg en info.
*(en een proof of concept van het lek)

Huh! Hoe komt dat bestandje in mijn startup folder? Huh wat is een startup
folder? Dat heb ik niet gedaan! Hoe kan dat nou? Huh mijn creditcard
gegevens zijn gebruikt door iemand anders vanaf mijn ip-adres. Huh! Hoe
kan dat! Huh iemand gebruikt mijn computer als spamnode, huh hoe kan
dat? Ik heb toch een virusscanner, huh? Huh, ik heb toch ad-ware en spybot!
Huh, iemand heeft kinder porno op mijn PC gezet! Hoe kan dat?

2thepoint: Zoiets als dit mag natuurlijk nooit gebeuren! Dat je een "feature"
als dit wilt gebuiken binnen je Intranet zeg ik OK! Maar dat je zoiets gebruikt
op het Internet WRONG! In feite zou het in geen enkel geval mogelijk moeten
en mogen zijn om bestanden op iemands pc te plaatsen zonder dat deze
hiervoor explicit op de hoogte worden gesteld door een vraag of iets anders
wat herkenbaar is en meteen te kennen geeft dat er iets op het lokale
systeem geplaatst gaat worden!

Ik heb er op de link geklikt, en ik heb niks.

ik heb FireFox :)

Nie;s

en hoe krijg je het achteraf terug weg? schadelijk of niet... het is niet te
wissen...