'Net gepatchte Windows-lekken zijn super-kritiek'

Anonymous Coward op Woensdag 14 Januari 2009 12:04

Windows Vista en Windows Server 2008 zijn minder gevoelig. Daarvoor krijgt de update de aanduiding 'moderate'.

Dit komt omdat van de twee gevaarlijkste kwetsbaarheden Vista en W2k8 server voor de ene helemaal niet kwetsbaar zijn en de andere kwetsbaarheid voorkomt in filesharing elementen die in deze twee OS versies niet aanstaaan.

Anders dan Schultz maakt Microsoft zich niet zo heel veel zorgen over het aantal exploits dat er gaat komen. Op de 'exploitability index' geeft het bedrijf deze kritieke lekken een 3, wat betekent dat een functionerende exploit als onwaarschijnlijk wordt gezien.
Dat komt vermoedelijk omdat de gevaarlijkste vunerabilities niet zonder meer eenvoudig makkelijk exploiteerbaar lijken te zijn. Uit de patchberichten:
Most attempts to exploit this vulnerability would result in a system denial of service condition, however remote code execution is theoretically possible.

2 / 12

Anonymous Coward op Woensdag 14 Januari 2009 12:21

Windows Vista en Windows Server 2008 zijn minder gevoelig. Daarvoor krijgt de update de aanduiding 'moderate'.

Zo zie je maar weer hoe MS manipuleert... De grote meerdereheid zit op XP waar de update weldegelijk KRITIEK is...!

-12 / 22

Tuckson op Woensdag 14 Januari 2009 12:25

"Zo zie je maar weer hoe MS manipuleert... De grote meerdereheid zit op XP waar de update weldegelijk KRITIEK is...! "

Reden te meer om over te stappen ;-)

-12 / 16

Anonymous Coward op Woensdag 14 Januari 2009 12:27

Toch maar weer eens proberen de kar voor het paard te spannen...? ;-)

-3 / 7

linus4ever op Donderdag 15 Januari 2009 01:42

Reden te meer om over te stappen

Op?

0 / 2

Anonymous Coward op Woensdag 14 Januari 2009 12:50

De grote meerdereheid zit op XP waar de update weldegelijk KRITIEK is...!

Goh zeg, en wat hebben de voorstanders van Vista altijd geroepen.
Dat het veiliger is dan XP.

-4 / 14

Anonymous Coward op Woensdag 14 Januari 2009 13:32

Dus ALLE middelen zijn goed om Vista maar te pluggen?

Heel zwak hoor! ;-)

-2 / 14

Anonymous Coward op Woensdag 14 Januari 2009 14:43

Ik heb het daar helemaal niet moeilijk mee hoor. Het blijft een OS en ieder OS heeft wel eens een lek, maar dat de Apple-evangelisten hier over het muurtje hun ongefundeerde zonder kennis van zaken kritiek komen spugen, dat is er teveel aan...
;)

-4 / 8

Anonymous Coward op Woensdag 14 Januari 2009 15:47

Waar gebruik ik een lek in OSX om een nieuwe versie van OSX te pluggen dan ?

;-)))) LOL

-4 / 6

linus4ever op Donderdag 15 Januari 2009 01:44

Je bent hier OT SED.

-2 / 4

Anonymous Coward op Donderdag 15 Januari 2009 07:23

Ik heb teveel kennis van XP , XP is gewoon verrot :) daarom gebruik ik juist Apple ;)

0 / 6

Lennart op Woensdag 14 Januari 2009 13:24

Ben ik de enige die het ernstig vindt dat er blijkbaar nog steeds ernstige remote exploits gevonden worden in iets antieks als SMB, dat al tientallen jaren bestaat en inmiddels toch wel uitontwikkeld zou moeten zijn?

2 / 6

tinfoil op Woensdag 14 Januari 2009 14:14

Ben ik de enige die het ernstig vindt dat er blijkbaar nog steeds ernstige remote exploits gevonden worden in iets antieks als SMB, dat al tientallen jaren bestaat en inmiddels toch wel uitontwikkeld zou moeten zijn?

daar heb ik de volgende voor:

Ben ik de enige die het ernstig vindt dat er blijkbaar nog steeds ernstige remote exploits gevonden worden in iets antieks als DNS, dat al tientallen jaren bestaat en inmiddels toch wel uitontwikkeld zou moeten zijn?

nog geen week geleden weer een melding hierover gelezen...

4 / 4

chubbychaser op Woensdag 14 Januari 2009 14:35

*juist* omdat het antiek is en ontwikkeld in een tijd waarin exploits nog niet zo'n punt van zorg waren.

0 / 4

Lennart op Woensdag 14 Januari 2009 15:00

Dat lek in Bind was van een heel andere orde; dat ging niet om een mogelijkheid om remote systemen over te nemen, useraccounts aan te maken of willekeurige code uit te voeren, maar om iets veel minder ernstigs (potentiele dns poisoning). Bovendien ging het om DNSSEC dat nog maar enkele jaren bestaat.

1 / 3

Anonymous Coward op Woensdag 14 Januari 2009 15:52

desalniettemin blijft het bijhouden van patches op alle sysstemen een groot probleem: voorbeeld:

Linux probleem

oude software bij nieuwe apparaten

Iphone probleem 2007

een 33 oud "lek" in Unix

webwereld linux lek

BSD lek van ca 25 jaar oud
BSD lek

-3 / 9

ArjenB op Woensdag 14 Januari 2009 18:58

desalniettemin blijft het bijhouden van patches op alle sysstemen een groot probleem: voorbeeld:

Linux probleem
Sophos meldt zelf over het probleem:
Affected operating systems Unix
Included in our products from March 2008 (4.27)
Protection available since 13 February 2002 10:00:00 (GMT)
Last updated 31 January 2008 20:02:54 (GMT)Een virus waar je, als je als half-intelligente gebruiker je systeem netjes bijhoudt, sinds februari 2002 geen last van hebt, Bekend gemaakt in 2001, opgelost in 2002 in linux-kernel 2.4.x. Linux zit inmiddels inmiddels ergens diep in kernel 2.6.x. Het virus werd door Sophos aangetroffen in 'honeypots' die juist ingericht waren om malware te vangen, en algemeen werd aangenomen dat het virus werd achtergelaten op systemen die al op een andere manier door hackers gekraakt waren. Via zwakke wachtwoorden.

een 33 oud "lek" in Unix

webwereld linux lek
Uit het webwereld-artikel:
De ontwikkelaar uit Heemstede stuitte op het lek toen hij een nieuwe implementatie van de 'memory allocator' malloc testte. Een gebruiker die de nieuwe malloc gebruikte op Sparc64 hardware, waarschuwde Moerbeek dat het compilen van grote C++ projecten soms een 'internal compiler error' (ICE) opleverde.Geen lek, maar een fout in een compiler. In dit geval is je gebruik van aanhalingstekens zeer gepast.

BSD lek van ca 25 jaar oud
BSD lek
Van de pagina die je zelf aangeeft:
This is needed because the existing directory handling in FreeBSD
and OpenBSD (and possibly NetBSD) doesn't correctly handle unlink()
on files in a directory where telldir() has been used. On a block
boundary it will occasionally miss a file when seekdir() is used to
return to a position previously recorded with telldir().

This also fixes a severe performance and memory usage problem with
telldir() on BSD systems. Each call to telldir() in BSD adds an
entry to a linked list, and those entries are cleaned up on
closedir(). This means with a large directory closedir() can take an
arbitrary amount of time, causing network timeouts as millions of
telldir() entries are freedWeer: een bug, geen lek.

Wel eentje die AOW-aspiraties heeft, net als die compiler-bug :-)

Wat die iPhone betreft: dat was heel stom. Waarom bewezen foute code gebruiken als de verbeterde code gratis verkrijgbaar is?

2 / 4

Anonymous Coward op Woensdag 14 Januari 2009 20:55

Dus? desalniettemin blijft het bijhouden van patches op alle sysstemen een groot probleem

Heb je dat nu tegengesproken?

-2 / 2

Anonymous Coward op Woensdag 14 Januari 2009 21:20

desalniettemin blijft het bijhouden van patches op alle systemen een groot probleem
Ik vind het jammer dat de voorbeelden zo suggestief gekozen zijn, want ergens heb je wel gelijk. Het veiligste systeem valt bij de zwakste schakel. Als dat de systeembeheerder is, dan is dat best jammer. Daar kan je namelijk gewoon niets tegen doen. Als iemand 's nachts dronken te voet de snelweg over wil steken, dan kan je dat niet stoppen.

Er is echter ook een os, waar de beheerder minder, en het os meer de zwakste schakel is. Die miste schrijnend in je lijst. Sterker nog, het artikel ging over dat os.

En natuurlijk jammer dat je twee bugs aanvoert die niets met 'super-kritische' lekken van doen hebben. Ik vraag me daarom oprecht af wat je ultiem beoogde met je reactie.

1 / 3

ArjenB op Donderdag 15 Januari 2009 09:23

Heb je dat nu tegengesproken?Nee. Als systemen niet tijdig van patches worden voorzien hoef je je niet af te vragen of er problemen komen, alleen nog maar wanneer. Nou denk ik dat het niet altijd makkelijk is, maar ook niet dat het heksenwerk is om systemen bij te houden.

Ik ben op je voorbeelden ingegaan omdat men als men alleen jouw bijdrage zou lezen, men licht de indruk zou kunnen krijgen dat er heel oude 'lekken' in linux en BSD zitten. Ik wil dat niet 100% uitsluiten, maar de voorbeelden die jij gaf tonen dat niet aan. Ik zeg niet dat je die indruk wilde wekken. De compiler in linux en de BSD-bug zijn goede voorbeelden van stokoude fouten, en passen wat mij betreft netjes in deze draad.

1 / 1

Anonymous Coward op Donderdag 15 Januari 2009 11:00

Het was geen fout in de compiler maar de compiler die de fout boven water bracht. Klein maar essentieel verschil.

Funny thing is that I traced this back to Sixth Edition UNIX, released in 1975. A very similar problem can be spotted here. The lines:

yypv =- yyr2[n];
yyval=yypv[1];

access an item above the stack pointer. If yyr2[n] is zero, this is a potential access outside the stack. Note the archaic use of =-, we write -= these days. Het gevaar zat hier. ( via de originele link te achterhalen)

-2 / 2

ArjenB op Donderdag 15 Januari 2009 11:45

Ik lees dat anders. Uit het WW-artikel:'Het grappige is dat ik dit (de bug, red) heb terug weten te herleiden tot Sixth Edition Unix dat is uitgebracht in 1975', schrijft Moerbeek in een blog. Volgens Moerbeek zit de bug in de 'parser generator' yacc die in de jaren zeventig is ontwikkeld door Stephen C. Johnson van AT&T. Volgens de ontwikkelaar komt de bug alleen op Sparc64 hardware naar boven. Moerbeek heeft inmiddels een reparatie geschreven.
Parser generator. Compiler. Whatever.

2 / 2

Anonymous Coward op Donderdag 15 Januari 2009 14:56

lees de originele engelse tekst, zoals gelinkt in het stuk. Daar wordt een uitleg gegeven dat door het compilen er een fout optrad. Bij analyse van de opgetreden fout ( waarom ging het fout) bleek de bug, zoals ik hierboven al aanhaal. Die trad inderdaad alleen op in vrij specifieke gevallen in combinati met de sparc64.
In quote uit het originele blog met de foutenanalyse, wat geloof je daar niet aan?

-2 / 2

ArjenB op Donderdag 15 Januari 2009 15:02

Die originele tekst, daar mag ik niet bij. Whitelist. Heeft de WW-schrijver er zo'n potje van gemaakt met de vertaling?

2 / 2

Anonymous Coward op Donderdag 15 Januari 2009 15:26

dan zo maar ;)

As some of you know I have been working on a new implementation of malloc, the general purpose memory allocator that's used by userland programs. See this link for more details about it.

My malloc has been tested by many and has been in snapshots for a while now. Some time ago I received a bit of a puzzling report from Nikolay Sturm (sturm@) that on sparc64 compiling big C++ projects would sometimes fail with an Internal Compiler Error (ICE). For a start, it was not clear if my new malloc was involved, but I setup my sparc64 machine for testing. It soon turned out I could reproduce the problem. Switching to the in-tree malloc made the problem go away. So I was facing a malloc bug or a gcc bug, I thought.

Otto continues below...

My new malloc has some features not found in the current malloc: it moves allocations smaller than a page but bigger than half a page to the end of the page, to have a greater chance of catching buffer overflows. Even without guard pages, this works most of the time, since we have a randomized mmap(2): there's a pretty big chance that there is a hole after a page allocated. Accessing that hole leads to a segmentation fault.

So I put my malloc back in, and started investigating. The first thing I tried was to switch off the code that moves small allocations: and yes, that made the bug go away. Using an unstripped version of the compiler, I could interpret the backtrace in gdb, and it soon turned out that the compiler was dying in yyparse(). yyparse() is the main function generated by the parser generator yacc(1). After compiling obj/cp/parse.c with debug options and some fighting with wrong line numbers reported by gdb, I saw the offending statement was the second statement below;

yym = yylen[yyn];
yyval = yyvsp[1-yym];

It turned out yym was 0, so yyvsp[1] was accessed: one stack entry above the current stack pointer.

Yacc has an implicit action that does:

$$ = $1;

before the action of a rule is done. $$ refers to the result of the rule, and $1 refers to the first item on the right hand side of the parse rule, yym says how many right hand side values of the current rule there are on the stack. The two statement above implement the implicit action.

But if the actions are part of a rule that has no right hand side:

A: /* empty */ { foo(); };

the implicit action will access via $1 a value beyond the top of stack: yym will be 0 in that case. Normally, that isn't a big problem: you're just accessing garbage, and assigning it to $$.

But if the stack is at maximum size, this will overflow if an entry on the stack is larger than the 16 bytes leeway my malloc allows. In the case of of C++ it is 24 bytes, so a SEGV occured.

Funny thing is that I traced this back to Sixth Edition UNIX, released in 1975. A very similar problem can be spotted here. The lines:

yypv =- yyr2[n];
yyval=yypv[1];

access an item above the stack pointer. If yyr2[n] is zero, this is a potential access outside the stack. Note the archaic use of =-, we write -= these days.

The bug was only triggered on sparc64, since it uses 8k pages. The default yacc stack size for C++ is 24 * 200 = 4800 bytes, which is larger than a page on most platforms. In this case malloc returns a page aligned object, no moving of the allocation inside a page occurs.

I'm really happy this turned out to be a yacc bug, and not a malloc bug. It's actually a malloc feature in action. ;-)

The commit that fixes this can be found here.
-Otto

-1 / 3

ArjenB op Donderdag 15 Januari 2009 15:38

Dankjewel. Tenzij ik het helemaal verkeerd heb begrepen gaat het toch om een yacc-bug:The bug was only triggered on sparc64, since it uses 8k pages. The default yacc stack size for C++ is 24 * 200 = 4800 bytes, which is larger than a page on most platforms. In this case malloc returns a page aligned object, no moving of the allocation inside a page occurs.

I'm really happy this turned out to be a yacc bug, and not a malloc bug. It's actually a malloc feature in action. ;-)...dus die WW-vertaling is zo gek nog niet.

2 / 2

Anonymous Coward op Donderdag 15 Januari 2009 16:09

Dit lijkt me een gescoorde punt Arjan. Het duurt even, maar dan heb je ook wat. ;)

1 / 3

ArjenB op Donderdag 15 Januari 2009 16:09

Plusje, omdat ik er zelf niet bij kon.

1 / 1

Anonymous Coward op Woensdag 14 Januari 2009 19:26

desalniettemin blijft het bijhouden van patches op alle systemen een groot probleem: voorbeeld: Linux probleem
Zo, wel 12.000 besmettingen! En misschien zelfs nog wel meer want ze hebben alleen root infecties kunnen tellen. Ik denk dat er per dag meer computers overlijden aan een hardwarestoring dan dat er ten slachtoffer vallen aan dit virus.

Tijd dat de Linuxwereld, voor zover ze dat nog niet gedaan hebben, even clamav aan vinkt in de repo. Al zal Sophos waarschijnlijk liever zien dat je hier de beurs trekt. ;)

Wel grappig dat je na al die tijd toch een virus hebt gevonden dat in het wild voor komt, waarvoor kudoos.

-1 / 5

Anonymous Coward op Donderdag 15 Januari 2009 07:26

**** reactie gedeeltelijk verwijderd *****
lees eens goed over BSD en waar gaat het over? SAMBA oja dat systeem om te communiceren met lekke Microsoftware :)

-2 / 4

Anonymous Coward op Donderdag 15 Januari 2009 11:03

**** reactie gedeeltelijk verwijderd ****

Samba is/was lek niet het OS aan de andere kant. Het zijn verder slechts voorbeelden van fouten die ook in andere systemen optreden als men niet tijdig patches toepast. Het originele artikel gaat over eenzelfde probleem in Windows.

-2 / 2

ArjenB op Donderdag 15 Januari 2009 12:08

Rustig, rustig.

1 / 1

nico.coesel op Woensdag 14 Januari 2009 16:57

Zo blijkt maar weer dat Regel nummer 1 blijft nog steeds geldt: hang een windows machine nooit direct aan internet.

-1 / 7

Heiko op Woensdag 14 Januari 2009 17:38

Wat weer een geneuzel. Natuurlijk staan poorten 139 en 445 wagenwijdbeens open! Ik moet mijn illegale MP3'tjes en ohlala filmpjes toch van de ene win32 machine naar de andere kunnen kopieren?!?

Intussen zijn desbetreffende poorten vanaf internet helemaal niet te bereiken dankzij mijn cheapo routertje.

-1 / 3

hallieballie op Woensdag 14 Januari 2009 18:07

Hmmm, Windows zet deze standaard open tijdens een installatie van XP (tijdens de installatie van XP kan men hierdoor al geingecteerd worden, de benodigde patches zijn niet aanwezig)

Kan begrijpen dat dit gedaan wordt in een corporate omgeving, echter niet voor een home editie, wat wel het geval is.

Zet men deze uit in netwerkbeheer en men doet een reboot, dan zijn deze poorten 135 en 445 (staan op luisteren) nog steeds aanwezig.

Men kan wel denken, ik heb een router er tussen staan, hoeveel gebruikers hebben een internetverbinding rechtstreeks waarbij de computer een dhcpadres krijgt van de ISP (bridged modem), denk genoeg.

Deze gebruikers worden geinfecteerd vanwege het beleid wat Microsoft hierin voert, namelijk het kwetsbaar maken van deze gebruikers voor dit soort type aanvallen.

Bij Windows 98SE moet men zoals bij Vista, deze mogelijkhied aanzetten, hierbij moet men dus wat extra doen, een heleboel gebruikers snappen dit niet, gebruikersonvriendelijk noemt men dit.

Eigenlijk kan men stellen dat Windows 98SE op dit punt net zo veilig is als Vista, op de benodigde overige patches na.

2 / 2

Erix4u op Donderdag 15 Januari 2009 08:24

Ik begrijp eerlijk gezegd de ophef niet zo... Zeker niet voor de thuisgebruikers

Bij een standaard windows xp home edition staan die poorten helemaal niet open.
Daar is de windows firewall actief.

Bij de mensen die dat niet hebben, staat al 6 jaar zo'n rood schildje tenzij ze heel bewust of in een bui van "ik weet echt niet wat ik doe" ook dat uitgezet hebben.

Voor Windows xp professional wat je in principe niet thuis zou gebruiken
(Ja ik weet dat de helft van de thuisgebruikers een illegale versie van professional heeft terwijl home edition net zo goed voor hen zou zijn) geldt hetzelfde zolang hij geen onderdeel is van een domain.

Zodra de machine echter in een domain gehangen wordt gaat er heel veel open
Zeker in een grote enterprise organisatie hoeft men daarom vanaf buiten misschien niet bang te zijn om te worden geinfecteerd door zo'n eventuele worm want er staat aan de rand van het netwerk vast wel een goede firewall..
Maar is een worm ook eenmaal binnen (via een attachment van een mailtje ofzo) dan is het hek wel van de dam... Dan zijn alle machines in een enterprise netwerk het haasje..

Dus voor alle ondernemingen met een windows domain.. SNEL PATCHEN !

0 / 2

carolined op Woensdag 14 Januari 2009 18:01

Nou Kritiek of niet kritiek,
Ik probeer met mijn Ubuntu PC bij een share van de windows PC van mijn vriend te komen. Via SMB, maar mooi dat het niet lukt...
Wat kunnen die hackers wel wat ik heel gewoontjes binnen mijn in house netwerk niets eens kan.
Of is het een hoax van Microsoft?

-2 / 4

Anonymous Coward op Donderdag 15 Januari 2009 07:28

Gebrek aan kennis?
Vermoedelijk staat je router/firewall niet goed en moet je nog een poortje openen :)

Anders gaat het nooit lukken!

1 / 1

Anonymous Coward op Woensdag 14 Januari 2009 19:34

Ik ben wel benieuwd hoelang deze lekken open hebben gestaan. Kwamen de de lekken bij deze patches als donderslag bij heldere hemel? Stonden ze al op Secunia?

0 / 2

Anonymous Coward op Donderdag 15 Januari 2009 09:23

Het DoS lek is was al bekend ten minste in september 2008.
De meer kritieke lekken zijn daaraan verwant en zijn ongetwijfeld later ontdekt door mensen die gekeken hebben of het eerder gevonden DoS lek meer mogelijkheden bood.
In theorie kan dit lek misbruikt worden om exploiteerbare data in een (onvoorspelbaar) deel van het (kernelspace) geheugen te schrijven. Dat zal vrijwel altijd leiden tot crashes omdat het bij iedere computer kan verschillen hoe dat geheugen is ingedeeld en wordt gebruikt (afhankelijk van geinstalleerde software en drivers).

-2 / 4