Gepubliceerd: Woensdag 20 januari 2010
De uitgelekte Chinese exploitcode voor IE is nu aangepast om ook te werken op IE7 en 8. Het zero day-lek waarmee Google is gehackt, is nu breed in te zetten.
Toon volledig artikel
Eén hacker kan het exploit zo snel aanpassen, terwijl Microsoft sinds zij gewaarschuwd zijn (wanneer precies?) nog steeds geen Patch kan publiceren...
Als MS Windows nou eens open source maakt.. dan kunnen alle techneuten en developers Windows eens goed op de schop nemen.
In mijn opinie verkoop je echt onzin nu. Een patch zal degelijk getest moeten worden voordat het überhaupt gereleased kan worden. Zomaar een patch vrijgeven zonder testen zal uiteindelijk een resultaat opleveren dat een applicatie (in dit geval het web) kan breken. De schade is dan niet te overzien.
Het Open Source maken van Windows zal de zaken niet zomaar veranderen. De wijzigingen in de broncode zullen langzaam moeten worden doorgevoerd. Immers moeten de meeste bestaande applicaties blijven werken. Microsoft is heus wel in staat om een radicaal andere Windows te kunnen maken, echter zullen heel veel softwarehuizen hoge kosten moeten maken om hun applicaties om te zetten.
Het hebben van een hoge installbase brengt dan ook onherroepelijk met zich mee dat grote design changes van een besturingssysteem niet zomaar gedaan kunnen worden.
Het omzetten van MacOS naar een Intel-architectuur door Apple heeft niet voor niets jaren geduurd.
Dat het niet zo snel kan, snap ik ook wel, maar het maatschappelijk belang is er zo langzamerhand wel mee gediend dat niet een beperkt aantal mensen de Code van Windows beheert of kent (waaronder kennelijk chinese hackers? ).
Zulke gaten waren dan waarschijnlijk veel eerder ontdekt.
Scarletta,
Nee, dat denk ik niet. Micrsoft en verschillende andere bedrijven gebruiken verschillende technieken om dit soort bugs te vinden. Echter is er nog geen methode die alle bugs zal kunnen vinden.
De broncode van IE6 is al jaren gelden uitgelekt op het web, echter heeft men toen deze bug niet gevonden. Nieuwe aanvalstechnieken komen er elke dag bij, dat veranderd de manier waarop men dient te programmeren.
Toch ben ik het niet met je eens. Bij open sourcen van de broncode van IE en de manier waarop deze verweven is met het OS zouden veel meer mensen kunnen werken aan beveiliging van de combi.
Uitgelekte broncode helpt niets omdat MS het IP/copyright nog steeds bij MS ligt.
Maar goed, ik zie net dat MS toch snel gaat patchen, dat is maar goed ook, en nou maar hopen dat het afdoende is!
Ik vind al die technische taal geweldig hoor, maar zou het ook mogelijk zijn om in heel simpele bewoordingen eens uit te leggen wat die exploit nu precies doet ?
Ruud T.,
Deze exploit geeft de mogelijkheid voor Remote Code Execution.
Dat houdt dus in dat men vanaf afstand op een andere computer code kan laten uitvoeren. Hiermee kan men dan toegang krijgen tot het systeem. De autorisatie die men dan kan krijgen, kan variëren van de rechten van de gebruiker t/m System-rechten. In het geval van deze exploit zal dat dan de rechten van de gebruiker zijn. Is de gebruiker ingelogd met Adminstrator-rechten, dan zal de aanvaller deze dan ook krijgen.
Ik vind al die technische taal geweldig hoor
Wat is hier de issue?
Is dit lek een incident, of is het zo dat we nu zoveel incidenten gehad dat we kunnen spreken van een structureel probleem?
De doodzonde van Microsoft
Microsoft had de plank misgeslagen. Bill Gates heeft het in key-notes heel hard geroepen: Internet was niet geschikt voor Microsoft gebruikers. Korte tijd later bleek dat Netscape de markt in zeer korte tijd veroverde en dat Microsoft Internet serieus moest gaan nemen. Ze moesten als een haas hun belang op de desktop gaan beschermen en waren niet gediend van essentiele software voor Internet gebruik van een derde partij.
IE was inferieur aan Netscape / Mozilla. Wat moesten ze vanuit marketing geredeneerd doen om te voorkomen dat ze binding met klanten verloren door netscape?
Heel simpel door het inferieure onveilige IE hard en onlosmakelijk te koppelen aan het OS, voor zowel desktops als servers.
Je mag de architectuur van een platform natuurlijk nooit op grond van marketing overwegingen op deze manier ondergeschikt maken aan marketing verlangens.
Vriend en vijand hier zijn het er over eens dat ik een aanhanger ben van de stelling dat de problemen met Microsoft door en door structureel zijn. Hier kun je een set artikelen lezen die uiteenzetten dat de problemen zowel in de architectuur als in de uitwerking in de code zitten. Het is geen Microsoft fan, maar dat hoef je van niemand te verlangen.
Het is een verhaal van een vertrek van een wrakke technische basis in combinatie met ontwikkeling puur op basis van monopolistisch strategisch denken.
Het is een verhaal van een vertrek van een wrakke technische basis in combinatie met ontwikkeling puur op basis van monopolistisch strategisch denken.
Hou toch op met je hysterisch gehuil. Mijarden mensen gebruiken elke dag deze software zonder problemen. Elke dag komen miljoenen mensen om door ongevallen, misdaden, ziekte, natuurrampen, duizenden bedrijven vallen om door mismanagement of slechte economische omstandigheden, en als een handjevol bedrijven gehacked is door een paar chinese nerds, dan staat de hele wereld op zijn achterste poten. O nee, niet de hele wereld, alleen een paar verdwaalde Linux taliban.
Face it: er zijn meer mensen op deze aardbol die apenvlees eten, dan die Linux gebruiken.
Mijarden mensen gebruiken elke dag deze software zonder problemen.
enkel in jou natte dromen is dat zo. In de realiteit zijn er dagelijks allerhande problemen met de MS-bagger die maar blijven duren. Jij dweilt blijkbaar graag met de kraan open? Meer en meer mensen stappen over op een veel veiliger alternatief en kijken nooit meer achterom naar die MS-ramp, die onmogelijk kan blijven duren.
Prima, Google is nu open.Graag hoop ik dat iemand aan de Chinese
gemeenschap doorgeeft dat:
a:)De XP interface voor Linux graag ookin - Nederlandse,Engelse
en Russische Taal
b:) Hack ook Youtube -Betalen hiervoor is belachelijk
c:) Meer chinese hacks Applicaites vertalen naar Engels
/Nederlands en Russisch
Graag meer Chinese Torrentsites net als Piratebay ,Isohunt en Demonoid waar we in het Engels ,Nederlands etc onze software kunnen downloaden
Ik ben de chinese gemeenschap zeer dankbaar
a. XPDE?
b. Leuk, iedereen platleggen waar je het niet mee eens bent.
c. Waarom dat? Wil je de scriptkiddie uit gaan hangen?
Er zit wel wat in als er meer vertalingen komen van hack applicaties. Elke hack die misbruikt wordt, en wat bekent wordt, wordt dichtgemaakt. Ondanks dat het vervelend is dat je gehackt wordt kan het leiden tot een beter dichtgetimmerde omgeving.
Daarnaast leidt zoiets ook tot bepaalde marktwerking dat een zeker monopolie kan doorbreken, kijk maar naar de massale overstap naar IE alternatieven als gevolg van de problemen met IE, of kijk naar het ontstaan van online muziekverkoop als gevolg van massaal downloaden waarop de platenmaatschappijen langzaam tot inzicht komen dat ze iets niet goed doen.
Samengevat, hacken is fout, maar soms kan iets fouts wel positieve gevolgen hebben.
De uitgelekte Chinese exploitcode voor IE is nu aangepast om ook te werken op IE7 en 8. Het zero day-lek waarmee Google is gehackt, is nu breed in te zetten.
Microsoft heeft kennis genomen van de ontwikkelingen en is deze nieuwste claims nog aan het onderzoeken. Toch houdt het vol dat Internet Explorer veiliger is dan alternatieve browsers als Firefox en Chrome."
Liegen totdat je barst noemen we dat in het Nederlands. En onze overheid blijft maar achter ze aan lopen.
Wat voor mij niet duidelijk is, wat is het risico voor een gebruiker in een bedrijf, die niet als admin inlogt.
Veel bedrijven hebben nog IE6 vanwege legacy applicaties, IE6 is de grote target hier lijkt het. Maar meestal zitten dat soort bedrijfs PC's dichtgetimmerd.
Daarnaast, hoe kan Google gehackt zijn via een IE6 gat. Je zou verwachten dat ze daar helemaal geen gebruik van maken in een technologisch vooruitstrevend bedrijf dat ook een eigen browser ontwikkeld. Dus of MS verkondigt onzin door te melden dat het eigenlijk alleen in IE6 gebeurt (want het kan ook in IE7 of 8, maar dat zou volgens MS niet gebeuren), of de eerste write-up waar Adobe de schuld kreeg van de Google Hack klopt beter, of er is nog een andere oorzaak die niet gepubliceerd is.
Iemand die werkt onder Admin rechten, zorgt er voor dat met deze exploit de aanvaller dezelfde rechten krijgt. De aanvaller kan dan het complete systeem naar zijn hand zetten. Hij is dan heer en meester op dat systeem. Werkt iemand op dat systeem met Domain Admin rechten, dan krijgt de aanvaller ook die rechten. De gevolgen zijn dan alleen een stuk groter.
De geruchten gaan dat men geholpen is door iemand binnen Google. De waarheid zal waarschijnlijk nooit echt boven tafel komen.
The Register heeft het ook ergens over de mogelijkheid dat de IE6 nodig was i.v.m. een verbinding met de amerikaanse opsporingsinstanties / overheidsinstellingen die in geval van nood data moeten kunnen checken. (dit vanwege het bericht dat van de gestolenmails alleen de header info gejat zou zijn.?
Het gaat misschien niet om wat het slachtoffer deed of wat 'ie gebruikte maar om hoe graag de dader naar binnen wil. Interessante lectuur.
interessante lectuur
Zeg dat wel..of beangstigend.
Als er op zo'n grote schaal cyberdiefstal plaatvindt...
Verbaasd? Ik allang niet meer. Als je het nieuws volgt, merk je inderdaad dat dit allang aan de gang is. Er is momenteel meer sprake van een external threat dan een insider threat. Waar denk je dat Echelon onder meer voor gebruikt was? Voor het afluisteren van burgers alleen? Nee, men haalde ook voordelen voor het bedrijfsleven mee naar binnen.
De cyberwars zijn allang aan de gang en worden heviger in omvang. Het lukt alleen niet meer om dit buiten de pers te houden.
werkt zelfs als DEP (Data Execution Protection) aan staat.
Hoe vaak Blieb al niet beweerd heeft dat het onmogelijk was dat IE8 kwetsbaar was... Heel jammer. Ik had gehoopt dat hij toch gelijk had.
Dit maakt me overigens wel erg benieuwd naar het hoe van deze exploit.
Het zijn allemaal pleisters. Wat moet gebeuren is vanaf de grond af aan het Windows OS opnieuw opbouwen. In het design moet je de beveiliging al meenemen. Code werkt via het 4 ogen principe, en de target is zo min mogelijk code gebruiken om een zo compact mogelijk OS te bouwen. Applicaties laat je standaard in een sandbox omgeving draaien. etc.
Ook dan zullen er foutjes naar boven komen, maar het zal veel moeilijker worden om die uit te buiten.
Applicaties laat je standaard in een sandbox omgeving draaien.
Zolang software niet met elkaar hoeft te communiceren is dat best een goed idee. Helaas leven we niet meer in de tijd van standalone software. Tegenwoordig Twittert je Mediaplayer via MSN naar welke muziek je luistert. En dat zijn nog de eenvoudige koppelingen.
In principe ben ik het wel eens met je stelling dat het het beste zou zijn om vanaf nul te beginnen, maar of dat financieel haalbaar is voor Microsoft weet ik niet. Ik betwijfel het eigenlijk.
Ik denk dat opnieuw beginnen wel kan. In principe is Apple ook van nul weer begonnen met MacOSX. Ze hebben wat gesmokkeld door BSD als basis te nemen, maar in vergelijking met MS is het bedrijf ook veel kleiner en had het minder financiele armslag.
Voor de compatabiliteit met oude meuk kunnen ze VM gebruiken wat ze nu al een beetje doen met de XP mode in Win7. In de aanloop kunnen ze ook met de processorfabrikanten regelen dat virtualisatie standaard in elke processor ondersteund wordt vanaf een bepaalde datum om die ondersteuning voor te bereiden.
De moeilijkheid zal hem meer in het marketingverhaal zitten, waarom de oude versie Evil is terwijl ze altijd het tegenovergestelde beweert hebben.
Ik denk dat opnieuw beginnen wel kan.
Er zijn wat 'research' projecten geweest/gaande, zoals Singularity en Midori.
Microsoft is er allang mee bezig, echter zullen alle softwaremakers voor dat platform ook hun code moeten wijzigen. Als ze ineens een complete andere Windows versie op de markt zetten zonder dat de applicaties daarvoor aangepast zijn, levert een economische schade op. De economische impact van die schade zal de kosten van de jongste kredietcrisis doen verbleken.
In dat licht gezien is jouw stelling eigenlijk gewoon onzin. Deze planeet kan de kosten van een dergelijke actie gewoon niet aan. Vele bedrijven en landen kunnen daaraan failliet gaan.
Om toch te kunnen overleven, hebben ze dan slechts maar een beperkte keuze. Ze zullen met de wel werkende versie hun organisatie laten werken. Een enkeling zal misschien kiezen voor een totaal ander platform. Maar dat aantal zal eerder in de lage percentage liggen.
De gekozen oplossing om een legacy client lokaal te laten draaien op een nieuwe besturingssysteem is slechts de eerste fase. Op die wijze kunnen zij er voor zorgen dat de applicaties in de tussen tijd gewoon blijven werken. In de tussentijd kunnen zij diverse code wijzigingen doorvoeren die uiteindelijk een erg robuuste besturingssysteem oplevert.
De bedrijven die Windows gebruiken hebben daar door nauwelijks financiële schade. Ineens een compleet andere versie van Windows waarop geen enkele applicatie werkt zou een mega debacle zijn. Men heeft kunnen zien met Windows Vista waar toe dat leidt.
De Virtuele XP-mode is de Rosetta van Microsoft.
Deze planeet kan de kosten van een dergelijke actie gewoon niet aan.
Het zal wat inspanning kosten, maar als Microsoft de basisset van api's herimplementeert in een nieuw os en migratie van code duidelijk documenteert en waar mogelijk automatiseerd, dan gaat het echt wel lukken.
Door een Virtuele mode, zoals jij het noemt, kan je de pijn nog verder verlichten.
Ik ben het met Nixpro eens. Je maakt van Windows een project met bijna mythische proporties, maar dat is toch echt larger than life.
Peter..,
Ik zeg ook niet dat het niet gaat lukken, maar als men praat over het opnieuw schrijven van besturingssysteem vergeet men maar al te snel na te denken over de installbase en de hoeveelheid software dat beschikbaar is.
Met het herimplementeren van de basis api's kan het voorkomen dat applicaties kunnen breken.
Ik maak van Windows niet een project dat larger is dan life, maar men denkt te snel dat het opnieuw schrijven van een besturingssysteem wel even kan en zonder noemenswaardige impact.
De overstap van Windows 9x naar Windows XP heeft ons al laten zien dat een dergelijke impact bestaat. Deze negeren is geen goede zaak. Uiteraard hangt daaraan ten allen tijde een kostenplaatje.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
