Mooie letters verbergen hackaanval
Nieuwe patch dicht lekke webfonts
11 januari 2006 | Jamie Biesemans
Het vervroegd verschijnen van de WMF-patch doet geen afbreuk aan het gewoonlijke publicatieritme van Microsofts veiligheidsbulletins. Dinsdag verscheen een update voor het bulletin, met een patch die een nieuw lek aanpakt. Het gaat wederom om een kritische kwetsbaarheid die bijna alle gangbare versies van Windows treft. Ook de oudere Windows 98 en Millennium hebben er last van.
Het nieuwe probleem wordt beschreven in het pas verschenen
Microsoft Security Bulletin MS06-002 en werd ontdekt door
eEye Digital Security. In het bulletin valt te lezen dat de kwetsbaarheid zich bevindt in de afhandeling van ingebedde webfonts. Dat zijn lettertypes die een sitebouwer meegeeft met de webpagina, bijvoorbeeld om een site een unieke stijl mee te geven. De meeste webmasters doen dit niet en opteren om fonts te gebruiken die aanwezig zijn op een doorsnee machine.
Ingebedde lettertypes blijken nu een aardig veiligheidsrisico te zijn. Een aanvaller kan in principe een aangepaste font meegeven met een HTML-pagina of -mail die Windows openbreekt. Daarna kan hij zijn eigen code (bijvoorbeeld een Trojaans paard of worm) op de pc uitvoeren.
Volgens Microsoft wordt de kwetsbaarheid nog niet actief misbruikt, maar vermoedelijk zal dat niet lang duren. Een verzwarende omstandigheid is dat het lek via heel veel applicaties aanspreekbaar is. Niet alleen Microsoft-producten die HTML tonen (zoals IE of Outlook Express) zijn kwetsbaar, ook software van derden blijft niet buiten schot, waarschuwt eEye.
De gepaste softwarepleisters worden bij nieuwe Windows-versies aangeboden via de WindowsUpdate-functie. Wie werkt met Windows 98 of Millennium moet handmatig naar
de WindowsUpdate-site surfen.
Lees meer artikels over :
patch, webfonts, eeye
bron: ZDNet
15/04/2009 05:33:11
Origineel bericht van Jamie Biesemans [ZDNet-redactie] 11/01/2006
Hi Bob, bedankt voor je reactie. Je hebt gelijk: overbodige speculatie is niet nodig. Maar feiten moeten ook - op een realistische wijze - omkaderd worden.
Betreffende punt 2 en 3 van je betoog: dat is geen vermoeden van mijnswege, maar een conclusie van eEye zelf. Die stelt dat: "Many additional products leverage this Microsoft component as well, including Internet Explorer and other third-party browsers, Instant Messaging clients and applications that load web content directly."
En qua punt 1 kan ik enkel opmerken dat in het verleden een groot aantal van dergelijke lekken zich vertaalden naar exploits. Zonder twijfel vraagt het wat technische kennis en misschien gaat het niet om code die op grootschaal (mis)bruikt wordt. Een proof-of-concept blijf echter meestal niet lang uit.
Nog even eEye, in het bulletin over deze kwetsbaarheid (met een streepje reclame voor hun eigen producten): "In addition to legacy security technologies, attacks based on this flaw will also evade more recently introduced behavior-based intrusion prevention systems that “learn� the correct behavior of a system in order to detect attacks. More importantly, since this vulnerability has been socially engineered to fool a user into visiting a malicious website, it is likely that attackers will use this flaw to target specific institutions, masquerading as some type of official notification directing the user to a specific website. "
15/04/2009 05:33:11
Origineel bericht van Onbekend 11/01/2006
"geen kat weet hoe je zulke holes moet misbruiken"
probeer een programmeur
15/04/2009 05:33:11
Origineel bericht van deedee 11/01/2006
Goede punten voor zdnet waar de redactie de posts blijkbaar snel leest en inhoudelijk reageert of de opmerkingen en vragen.
15/04/2009 05:33:09
Origineel bericht van Bob 12/01/2006
Idd, goede punten Jamie... je mag blijven
Groetjes,
Bart.
15/04/2009 05:33:08
Origineel bericht van Bob 16/01/2006
>> 1) maar vermoedelijk zal dat niet lang duren...
>> 2) Een verzwarende omstandigheid is dat het lek via heel veel applicaties...
>> 3) software van derden blijft niet buiten schot...
>> 4) ...
Beste Jamie
Als er over security wordt gesproken in het algemeen, stel ik vast dat er meer met vermoedens word gesproken dan feiten. Zo lijkt elk security probleem als een ware catastrofe terwijl geen kat weet hoe je zulke holes moet misbruiken.
Het uitbuiten van buffer-overruns is iets ingewikkelder dan dat, en je moet tevens een dosis geluk hebben dat het nog zou werken ook op elke box.
maw: Hou je gewoon aan de feiten, de rest van het verhaal is fictie met een lage inschattingswaarde wat betreft security.
15/04/2009 05:33:08
Origineel bericht van Olaf 16/01/2006
"Zo lijkt elk security probleem als een ware catastrofe terwijl geen kat weet hoe je zulke holes moet misbruiken. "
Bob, je hebt welgeteld 1 goede programmeur en IDA Pro nodig en in een half uur of een paar uur heeft hij een werkende exploit als hij wat ervaring heeft in die zakens.
En dan een paar duizend script kiddies die zijn C-Code van het internet halen, een trojan aan plakken hercompileren en verdelen.
Blog : Zakelijke IT
Met de recente lancering van hun eerste update (in Windows termen het equivalent van een Service Pack) voor de vSphere 5 suite staat voor veel bedrijven het licht op groen om hun huidige vSphere 4 omgeving up te graden. Maar hoe eenvoudig is die taak?
lees meer »
in de kijker »
news
De opstarttijd van Windows 8 is zo kort dat er nauwelijks tijd is om in de Veilige Modus te geraken. Microsoft sleutelde daarom flink aan de bootcyclus.
lees meer »
news
In Antwerpen opent vandaag Gamebox, een project waar jongeren onder begeleiding van specialisten kunnen gaan gamen.
lees meer »
help
De webapplicatie Readlists maakt gratis e-books van door jou geselecteerde nieuwsartikelen en verstuurt ze naar je smartphone, tablet of e-reader.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
