SP2 helpt niet tegen nieuw lek in Internet Explorer
Onenigheid over mogelijk gevaar
23 augustus 2004 | Remco Mourits
Een onafhankelijke onderzoeker heeft een lek ontdekt in de drag-and-drop functie van Microsofts Internet Explorer. Service Pack 2 voor Windows XP biedt hier geen oplossing voor.
De ontdekker van het lek, alleen bekend onder zijn internetalias
http-equiv, zette een voorbeeld online om het gevaar aan te tonen. In zijn voorbeeld is een website te zien met daarop twee rode lijnen en een afbeelding. Daarbij staat de opdracht het plaatje aan te klikken en via drag-and-drop tussen de rode lijnen te plaatsen. Wat de argeloze bezoeker daarmee in werkelijkheid doet, is een programma in zijn Startup-map zetten. De eerstvolgende keer dat de gebruiker zijn computer opstart, zou dat programma worden uitgevoerd.
Door het lek kan een computer dus zeer kwetsbaar worden. Het is echter zeer moeilijk uit te buiten: eerst moet een hacker het beoogde slachtoffer verleiden naar een bepaalde, geprepareerde website te surfen om daar vervolgens de drag-and-drop opdracht uit te voeren.
Microsoft toont zich dan ook niet erg onder de indruk van de ontdekking. "Vanwege de hoeveelheid handelingen die van een gebruiker zijn vereist alvorens een aanval te kunnen uitvoeren, acht Microsoft het probleem niet erg gevaarlijk voor consumenten", aldus een woordvoerder van het bedrijf.
Computerbeveiligingsbedrijf Secunia heeft het lek echter het predikaat 'zeer kritiek' meegegeven: de op één na hoogste waarschuwingsgraad. Als oplossing voor het probleem raadt Secunia aan Active Scripting uit te zetten of een andere browser te gebruiken.
Overigens is de ontdekker van het lek verder zeer te spreken over SP2. Hij meent dat dit servicepack Windows XP-systemen over het algemeen bijzonder veilig maakt.
Met een bijdrage van Robert Lemos, CNet.
Lees meer artikels over :
sp2, explorer, browser, lek
bron: ZDNet
14/04/2009 23:32:50
Origineel bericht van Joris 23/08/2004
Kan er mij iemand zeggen waar je die bug kan uittesten?
14/04/2009 23:32:50
Origineel bericht van E-phonk dmd 23/08/2004
Het lijkt me vrij moeilijk om SP2 bugs te laten oplossen die pas na z'n release ontdekt worden, niet?
14/04/2009 23:32:50
Origineel bericht van pipo 23/08/2004
het is wel niet de eerste keer dat er een bug ontdekt wordt ivm de drag and drop functies
hoewel dit al te waarschijnlijk geen al te eenvoudige materie is zou men toch wel kunnen veronderstellen dat deze code grondig onderzocht wordt na een 1ste bug
14/04/2009 23:32:50
Origineel bericht van Jan 23/08/2004
Dit staat tussen de reacties op hetzelfde bericht toen het verscheen op OSNews.com
An independent researcher warned that a Windows vulnerability still allows to install Linux on top of a computer running Windows XP, in some cases overwriting all files and user settings, even on computers updated with Microsoft's latest security patch.
Microsoft said the issue did not pose a serious risk to users because it requires an attacker to trick people into accepting CD disks with Linux and taking some action at the computer.
"Given the significant amount of user action required to execute an attack, Microsoft does not consider this to be a high risk for our corporate earnings," a company representative said, adding that the software giant's security experts are continuing to research the issue.
14/04/2009 23:32:48
Origineel bericht van sjaaksken leuven 23/08/2004
Als gebruiker ben je zowiezo het best af door mozilla of opera te gebruiken en enkel internet explorer indien echt nodig.
Die worden niet voor niets aangeraden door de beveiligingsspecialisten.
14/04/2009 23:32:48
Origineel bericht van fenix 23/08/2004
toch grappig in IE laad die pagina bij mij niet.
daar in firefox deze wel laad maar kan dan niks slepen 
14/04/2009 23:32:47
Origineel bericht van kiji 24/08/2004
wat me ongelooflijk tegen de borst stuit is dat SP2 uiteindelijk verplicht is, terwijl het incompaitbiliteitsproblemen gaat geven. Implimentatie van SP2 kan maximum 4 maanden worden uitgesteld, maar gaan alle software (en hardware) problemen tegen dan opgelost zijn? Vergelijk even met een auto: de constructeur roept een bepaald model terug omwille van problemen met de airbag. Uiteindelijk zal de airbag beter werken maar zullen andere functies zoals remmen of het stuur niet werken. Onvoorstelbaar? Toch is het (misschien wat overdreven) wat er gebeurd met SP2: je moet uiteindelijk iets installeren waarvan je weet dat software problemen gaat geven. Tenslotte is de lijst "probleemsoftware" ellenlang en niet gespeend van grote namen...Ik heb weinig zin in SP2...veiligheid van mijn pc lata ik niet over aan MS. Ik surf liever, met gezond verstand, met firefox, mail met thunderbird en virussoftware en softfirewall houden de boel verder wel in orde.
14/04/2009 23:32:47
Origineel bericht van Lost Wisdom 24/08/2004
er is toch niemand die je verplicht om sp2 te installeren; waar maak je je dan druk over?
Wat betreft het lek in internet explorer; ik kan me heel goed voorstellen dat er door die drag & drop iets in het startmenu wordt geplaatst, maar houdt dit dan ook in dat er via die weg software op je pc wordt gepushed??
In kan me moeilijk voorstellen dat dat zo eenvoudig is; anders had toch al lang een duistere organisatie dit uitgebeid door gevoelige data op pc's van nietsvermoedende zakenlui te zetten en er daarna misbruik van te maken.
14/04/2009 23:32:47
Origineel bericht van Joris 24/08/2004
Ik heb de pagina geopend en effectief... er verschijnt een txt-bestand in m'n opstartmap! Volgens de code is dat inderdaad ook het enige wat gebeurd, dus het testen is helemaal veilig.
14/04/2009 23:32:47
Origineel bericht van kiji 26/08/2004
MS meent dat SP2 wel een verplichte update is he. Je kan misschien proberen om de download ervan uit te stellen (max 4 maand zoals met een scriptje van MS http://www.microsoft.com/technet/prodte ... aumng.mspx)
maar het is toch de bedoeling dat SP2 op iedere WinXP zal geinstalleerd worden. Update-functie uitschakelen en manueel updaten, daarbij SP2 steeds niet aanvinken? SP2 zal wel terug al "critical" omschreven worden en om critical updates kan je moeilijk . Je zal wel SP2 moeten installeren om andere patches te kunnen downloaden... maar we zullen zien.
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
