quote:Dus iedereen opgepast en dat er maar weer snel updates komenXP SP2 en Server 2003 kwetsbaar
Jamie Biesemans
28 december 2005
Bron: ZDNet http://zdnet.nl/news.cfm?id=52275&mxp=105
Twee beveiligingsfirma's waarschuwen voor een nieuwe trojan waartegen voorlopig geen verdediging bestaat. Ook Windows XP met Service Pack 2 (SP2) en alle actuele patches is kwetsbaar. Verwacht wordt dat Microsoft heel snel een patch voor het probleem gaat vrijgeven. Normaal gesproken zou het volgende Microsoft-veiligheidsbulletin pas op 10 januari verschijnen.
Waarschuwingen over de pas ontdekte kwetsbaarheid zijn te lezen bij Secunia en F-Secure. Beide zijn gealarmeerd omdat er op het internet Trojaanse paarden rondwaren die van het lek gebruikmaken. Secunia kwam de kwetsbaarheid op het spoor na een melding op de mailinglijst BugTraq.
Het is relatief uitzonderlijk dat hackers nog op dezelfde dag dat er informatie over een kwetsbaarheid gepubliceerd wordt, er misbruik van weten te maken. Zo'n zero day exploit is een ernstig veiligheidsrisico, omdat nagenoeg geen enkele computergebruiker dan al van het probleem op de hoogte is.
De kwetsbaarheid zit in een component dat Windows Metafile-bestanden verwerkt en op het scherm toont. Vooral mensen die surfen met Internet Explorer lopen gevaar, omdat de Microsoft-browser de bestanden (te herkennen aan de extensie .WMF) automatisch opent. Voor IE-gebruikers volstaat bijgevolg een bezoek aan een site met malafide WMF-bestanden om geïnfecteerd te raken met een Trojan.
Het zou gaan om een andere WMF-kwetsbaarheid dan die uit de november-editie van Microsofts veiligheidsbulletin.
Firefox en Opera blijven niet helemaal buiten schot, al is een infectie veel minder waarschijnlijk. De openbronbrowser en Opera tonen WMF-bestanden niet en vragen om de Windows Picture and Fax Viewer te openen. Als een gebruiker hiermee instemt, raakt zijn machine alsnog besmet.
Een geluk bij een ongeluk is dat Firefox 1.5 door een bug abusievelijk Windows Media Player (die WMF-bestanden niet kan tonen) aanbiedt in plaats van Windows Picture and Fax Viewer, merkt Mika Hyppönen van F-Secure op.
quote:Hoe veel specifieker dan "arbitrary code execution" kan je zijn?Op woensdag 28 december 2005 17:02 schreef AlphaOmega het volgende:
Interessant dat ook al vermeld wordt wat de troyan aanricht.... heel nuttig...
Maw: trojans die gebruikmaken van de exploit kunnen werkelijk alles doen, een muziekje afspelen, je cdromlade opendoen, een rootkit installeren, spam versturen, je hd formatteren, noem maar op.
ik klikte op een link en werd binnen 0 seconden doorverwezen naar een .wmf bestand en toen zag ik vage codes (zelfde als je de bron van een .jpg kijkt met firefox) en ben dus infecteert.
De releasenotes melden het volgende:
quote:MS WINDOWS METAFILE VULNERABILITY HOTFIX v1.3
PLEASE READ THE FOLLOWING CAREFULLY!
This is a temporary fix for the MS Windows
Metafile file vulnerability:
http://www.hexblog.com/2005/12/wmf_vuln.html
It has been tested on Windows 2000, Windows XP,
and Windows XP Professional 64bit.
Please use it at your own risk and switch
to the official patch from Microsoft as soon
as it is be available.
THIS FIX IS PROVIDED 'AS IS' WITHOUT WARRANTY OF
ANY KIND, EITHER EXPRESS OR IMPLIED, INCLUDING,
BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF FITNESS
FOR A PURPOSE, OR THE WARRANTY OF NON-INFRINGEMENT.
IN NO EVENT SHALL ILFAK GUILFANOV BE LIABLE TO YOU
OR ANY THIRD PARTIES FOR ANY SPECIAL, PUNITIVE,
INCIDENTAL, INDIRECT OR CONSEQUENTIAL DAMAGES
OF ANY KIND, OR ANY DAMAGES WHATSOEVER, INCLUDING,
WITHOUT LIMITATION, THOSE RESULTING FROM LOSS OF USE,
DATA OR PROFITS, WHETHER OR NOT HE HAS BEEN ADVISED
OF THE POSSIBILITY OF SUCH DAMAGES, AND ON ANY THEORY OF
LIABILITY, ARISING OUT OF OR IN CONNECTION WITH THE USE
OF THIS SOFTWARE.
Copyright 2006 by Ilfak Guilfanov, ig@hexblog.com
http://www.hexblog.com
nog steeds wat rare verschijnselen...geen enkele scan hielp; wist me geen raad!
Zal de voorlopige patch wel even gebruiken dan maar
quote:
Gebruikers van Hitman Pro hoeven volgens mij alleen te updaten en het programma een keer draaien dan wordt de patch ook geinstalleerd, ik zag hem net voorbij komen.
en die kutscans duren te lang
dood aan alle v-makers...echt, volgens mij huilen die gasten als ze klaarkomen..kan niet anders
quote:Ja hitman pro duurt echt te langOp woensdag 4 januari 2006 01:33 schreef SHE het volgende:
hitman pro haalt bij mij dus niet alles weg...heb meerdere malen ernaast nog meer onzin aangetroffen
en die kutscans duren te lang
dood aan alle v-makers...echt, volgens mij huilen die gasten als ze klaarkomen..kan niet anders
.exe met daarin een hoop .vbs code die niets meer doet dan "sendkeys" ... wat niet wegneemt dat het voor héél veel mensen een ideale tool is
quote:Firefox of niet maakt rottig weinig uit met deze exploit. Het gaat om het parsen van metafiles. Op het moment dat FF een wmf vermomd als jpeg wil renderen ben je gewoon de sjaak. FF gebruikt daar namelijk gewoon de windows-dll's voor De onofficiele patch doet het redelijk ok, ik ben nog geen verlies van functionaliteit tegengekomen..Op woensdag 4 januari 2006 09:16 schreef nyny83 het volgende:
Leuk weer allemaal... ik ben gelukkig iets minder kwetsbaar met mn firefox
quote:Ik mis alleen nog:Op woensdag 28 december 2005 16:42 schreef Crazy-M het volgende:
Was net beetje aan het surfen en kwam op www.zdnet.nl dit bericht tegen:
[..]
Dus iedereen opgepast en dat er maar weer snel updates komen
STUUR DIT BERICHT DOOR AAN IEDEREEN DIE JE KENT ! ! ! ! !! !11 1!!!
quote:Een lek dat al ruim 15 jaar bestaat... en geen hacker die er nog gebruik van heeft gemaakt alvorens de 'experts' ermee naar buiten komen?Het is relatief uitzonderlijk dat hackers nog op dezelfde dag dat er informatie over een kwetsbaarheid gepubliceerd wordt, er misbruik van weten te maken.
Volhouden. 
quote:Op woensdag 4 januari 2006 09:43 schreef ToMaSZ het volgende:
[..]
Firefox of niet maakt rottig weinig uit met deze exploit. Het gaat om het parsen van metafiles. Op het moment dat FF een wmf vermomd als jpeg wil renderen ben je gewoon de sjaak. FF gebruikt daar namelijk gewoon de windows-dll's voor De onofficiele patch doet het redelijk ok, ik ben nog geen verlies van functionaliteit tegengekomen..
quote:Dit laatste komt toch aardig overeen met wat nyny83 hierboven zegt.Firefox en Opera blijven niet helemaal buiten schot, al is een infectie veel minder waarschijnlijk. De openbronbrowser en Opera tonen WMF-bestanden niet en vragen om de Windows Picture and Fax Viewer te openen. Als een gebruiker hiermee instemt, raakt zijn machine alsnog besmet.
Een geluk bij een ongeluk is dat Firefox 1.5 door een bug abusievelijk Windows Media Player (die WMF-bestanden niet kan tonen) aanbiedt in plaats van Windows Picture and Fax Viewer, merkt Mika Hyppönen van F-Secure op.
quote:Zoals het hier staat: ja. Mooi theoretisch gelul, maar de exploit wordt natuurlijk niet uitgebuit door een wmf direct, met de juiste fileheader/extensie naar de user te sturen. Zoals ik eerder zei: als een kwaadwillende een wmf vermomt als jpeg (niet moeilijk) en het ding wordt in firefox of welke browser dan ook geparset, dan gaat het ook fout.Op woensdag 4 januari 2006 10:25 schreef tsjsieb het volgende:
[..]
[..]
Dit laatste komt toch aardig overeen met wat nyny83 hierboven zegt.
Latn we nou niet weer vervallen in FF fanboy geneuzel, ik gebruik het ding ook naar volle tevredenheid, maar het is in dit geval ook niet veilig. (Het gaat dan ook niet om een browser-lek, maar een lek in windows an sich)
quote:O.k., bedankt voor je uitleg, dan begrijp ik er weer iets meer van m.b.t. tot wat de gevaren zijn.Op woensdag 4 januari 2006 10:31 schreef ToMaSZ het volgende:
[..]
Zoals het hier staat: ja. Mooi theoretisch gelul, maar de exploit wordt natuurlijk niet uitgebuit door een wmf direct, met de juiste fileheader/extensie naar de user te sturen. Zoals ik eerder zei: als een kwaadwillende een wmf vermomt als jpeg (niet moeilijk) en het ding wordt in firefox of welke browser dan ook geparset, dan gaat het ook fout.
Latn we nou niet weer vervallen in FF fanboy geneuzel, ik gebruik het ding ook naar volle tevredenheid, maar het is in dit geval ook niet veilig. (Het gaat dan ook niet om een browser-lek, maar een lek in windows an sich)
quote:Inderdaad! Onder Konqueror heb ik er geen last van!Op woensdag 4 januari 2006 09:43 schreef ToMaSZ het volgende:
[..]
Firefox of niet maakt rottig weinig uit met deze exploit.
(Conclusie: iedereen upgraden naar Konqueror)
quote:
quote:Browsers begrijpen het WMF formaat niet en moeten een programma lanceren welke het wel begrijpt.Op woensdag 4 januari 2006 10:31 schreef ToMaSZ het volgende:
[..]
Zoals het hier staat: ja. Mooi theoretisch gelul, maar de exploit wordt natuurlijk niet uitgebuit door een wmf direct, met de juiste fileheader/extensie naar de user te sturen. Zoals ik eerder zei: als een kwaadwillende een wmf vermomt als jpeg (niet moeilijk) en het ding wordt in firefox of welke browser dan ook geparset, dan gaat het ook fout.
Renamen naar .jpg heeft tot gevolg dat de browser zelf wil gaan parsen en er niets gebeurt omdat ze WMF niet gebruiken.
quote:Op woensdag 4 januari 2006 11:41 schreef klnvntrbyt het volgende:
[..]
Inderdaad! Onder Konqueror heb ik er geen last van!
(Conclusie: iedereen upgraden naar Konqueror)
Het is maar hoe je upgrade definieert zullen we maar zeggen, niet? 
quote:Is dat een verkapte flameOp woensdag 4 januari 2006 11:48 schreef ToMaSZ het volgende:
[..]
tov Konqueror/KHTML?Konqy is render snel en goed en is veilig. Ik zie niet in waarom het niet als volwaardige browser beschouwd wordt. Of vind je Safari ook slecht?!
quote:Als virus-expert zou je toch op de hoogte moeten zijn van het feit dat de eerst bekende exploit op dit lek (PFV-Exploit.D) bestond uit een jpeg?Op woensdag 4 januari 2006 11:47 schreef Schouw het volgende:
[..]
Browsers begrijpen het WMF formaat niet en moeten een programma lanceren welke het wel begrijpt.
Renamen naar .jpg heeft tot gevolg dat de browser zelf wil gaan parsen en er niets gebeurt omdat ze WMF niet gebruiken.
quote:De eerste bekende exploit kan natuurlijk nooit een .D variant zijn, daar komen abc nog voor.Op woensdag 4 januari 2006 11:53 schreef ToMaSZ het volgende:
[..]
Als virus-expert zou je toch op de hoogte moeten zijn van het feit dat de eerst bekende exploit op dit lek (PFV-Exploit.D) bestond uit een jpeg?
Hetgene waar jij naar wijst was een spam run, via email. Heeft niets met de web browser te maken.
quote:Ne hoor, beide goeie browsers, maar het gebruik van konqueror in een windows-omgeving vereist bij mijn weten een losse x-server en verderop een linux machine om te draaien.Op woensdag 4 januari 2006 11:53 schreef klnvntrbyt het volgende:
[..]
Is dat een verkapte flame
Konqy is render snel en goed en is veilig. Ik zie niet in waarom het niet als volwaardige browser beschouwd wordt. Of vind je Safari ook slecht?!
Safari gaat al helemaal niet lukken. Ik zal niemand flamen omdat ie een browser waar hij/zij tevreden over is promoot, maar het suggereren van het 'upgraden' naar een browser op een ander OS is wat onzinnig in een thread over een windows-lek. Correct me if I'm wrong?
quote:Het hele lek heeft weinig met de webbrowser te maken... das het hele puntOp woensdag 4 januari 2006 11:57 schreef Schouw het volgende:
[..]
De eerste bekende exploit kan natuurlijk nooit een .D variant zijn, daar komen abc nog voor.
Hetgene waar jij naar wijst was een spam run, via email. Heeft niets met de web browser te maken.
quote:Bij gebruik van Konqueror ben je helemaal niet vatbaar voor deze lek, omdat Konqueror geen gebruik maakt van de Windows DLLs. Daarom beschouw ik mijn advies als een goed advies.Op woensdag 4 januari 2006 11:58 schreef ToMaSZ het volgende:
het suggereren van het 'upgraden' naar een browser op een ander OS is wat onzinnig in een thread over een windows-lek. Correct me if I'm wrong?
quote:Je hebt wat dat betreft gelijk. Ik ga meteen mn harde schijf formatteren, heb ik ook geen last meer van lekke librariesOp woensdag 4 januari 2006 12:00 schreef klnvntrbyt het volgende:
[..]
Bij gebruik van Konqueror ben je helemaal niet vatbaar voor deze lek, omdat Konqueror geen gebruik maakt van de Windows DLLs. Daarom beschouw ik mijn advies als een goed advies.
quote:Je hoeft me echt niet uit te leggen hoe het lek werkt.Op woensdag 4 januari 2006 11:59 schreef ToMaSZ het volgende:
[..]
Het hele lek heeft weinig met de webbrowser te maken... das het hele punt
Ik zie hier anders voornamelijk verhalen mbt. de browser voorbijkomen.
jpg extensie + browser = not vulnerable.
.jpg extensie + WMF begrijpend programma = vulnerable
quote:Das waar, dus eigenlijk is een bug in firefox de reden dat je als firefox gebruiker net iets minder risico loopt. Weer eens wat andersOp woensdag 4 januari 2006 12:02 schreef Schouw het volgende:
[..]
Je hoeft me echt niet uit te leggen hoe het lek werkt.
Ik zie hier anders voornamelijk verhalen mbt. de browser voorbijkomen.
jpg extensie + browser = not vulnerable.
.jpg extensie + WMF begrijpend programma = vulnerable
Dat is dé oplossing
quote:Dit is een flutopmerking.Op woensdag 4 januari 2006 12:07 schreef DjDev het volgende:
Gewoon niet als een randdebiel over op klikken...
Dat is dé oplossing
Ik zal jou eens een e-mailtje sturen met zo;n verrotte WMF. Dan ben je al geinfecteerd als het plaatje in je preview pane zichtbaar wordt. En dan heb je niet eens hoeven te klikken (ervan uitgaande dat je MUA het eerste nieuwe mailtje automatisch opent).
Of stel dat iemand het Fok! plaatje hierboven vervangt door zo'n kapotte WMF, dan heb je niet speciaal ergens hoeven te klikken om de sjaak te zijn.
quote:Ik open geen berichten van mensen die ik niet kenOp woensdag 4 januari 2006 12:09 schreef klnvntrbyt het volgende:
[..]
Dit is een flutopmerking.
Ik zal jou eens een e-mailtje sturen met zo;n verrotte WMF. Dan ben je al geinfecteerd als het plaatje in je preview pane zichtbaar wordt. En dan heb je niet eens hoeven te klikken (ervan uitgaande dat je MUA het eerste nieuwe mailtje automatisch opent).
Weer een oplossing
quote:Selecteren (om te verwijderen) is bij sommige MUAs al genoeg om het plaatje te activeren.Op woensdag 4 januari 2006 12:10 schreef DjDev het volgende:
Ik open geen berichten van mensen die ik niet ken
Weer een oplossing
(typisch ook dat je niet reageert op die tweede infectiemethode)
quote:Ik weet niet eens wat MUAs zijn dus.Op woensdag 4 januari 2006 12:12 schreef klnvntrbyt het volgende:
[..]
Selecteren (om te verwijderen) is bij sommige MUAs al genoeg om het plaatje te activeren.
(typisch ook dat je niet reageert op die tweede infectiemethode)
quote:Dat heb je correctOp woensdag 4 januari 2006 12:30 schreef klnvntrbyt het volgende:
Het is dat je die kut-smiley (zo van: "het interesseert me eigenlijk geen biet") erachter hebt gezet, anders had ik het nog uitgelegd ook.
quote:Dan hoop ik dat je spoedig geinfecteerd wordt. Dan is er weer een ongeinteresseerde zak minder.Op woensdag 4 januari 2006 12:31 schreef DjDev het volgende:
Dat heb je correct
(Het liefst door een kapotte WMF verpakt als Olsen-plaatje: Marie-kate_horny.jpg )
En dat er dan een mooie W32 Rootkit voor je geinstalleerd wordt.
quote:Op woensdag 4 januari 2006 12:34 schreef klnvntrbyt het volgende:
[..]
Dan hoop ik dat je spoedig geinfecteerd wordt. Dan is er weer een ongeinteresseerde zak minder.
(Het liefst door een kapotte WMF verpakt als Olsen-plaatje: Marie-kate_horny.jpg )
quote:HuillieOp woensdag 4 januari 2006 12:39 schreef klnvntrbyt het volgende:
Of wat dacht je van olsen_twins_lesbian_sex.jpg
En dat er dan een mooie W32 Rootkit voor je geinstalleerd wordt.
Dus als ik het goed begrijp ben je kwetsbaar op het moment dat je een WMF-begrijpend programma op je PC heb staan, ongeacht je browser (behalve natuurlijk de Konqueror fanboyz)
quote:Ja mamaOp woensdag 4 januari 2006 12:42 schreef nyny83 het volgende:
zijn we weer utigespeeld kinders?
quote:er is wel een fix voor die ervoor zorgt dat het niet meer werkt...Dus als ik het goed begrijp ben je kwetsbaar op het moment dat je een WMF-begrijpend programma op je PC heb staan, ongeacht je browser (behalve natuurlijk de Konqueror fanboyz)
Maar ik wacht wel op een officiele patch van MS
-edit-
* http://www.grc.com/miscfiles/wmffix_hexblog14.exe
* http://handlers.sans.org/tliston/wmffix_hexblog14.exe
* http://castlecops.com/modules.php?name=Downloads&d_op=getit&lid=496
* http://csc.sunbelt-software.com/wmf/wmffix_hexblog14.exe
* http://www.antisource.com/download/wmffix_hexblog14.exe
Die dus
quote:waarom reageer je dan uberhaupt stakker
quote:Waarom reageer jij hier?Op woensdag 4 januari 2006 12:43 schreef clowncloon het volgende:
[..]
waarom reageer je dan uberhaupt stakker
quote:Ja, maar de belangrijkste voorwaarde is dat je een OS uit Redmond moet gebruiken. Ik bedoel, ik heb ook een WMF begrijpend programma op m'n werkbak staan, maar deze is niet gevoelig voor het probleem...Op woensdag 4 januari 2006 12:42 schreef nyny83 het volgende:
Dus als ik het goed begrijp ben je kwetsbaar op het moment dat je een WMF-begrijpend programma op je PC heb staan, ongeacht je browser
quote:Alleen heeft dat geen fluit met dit lek te maken. Face it: er zijn een paar keer meer windows gebruikers dan van andere OS's. Logisch ook, aangezien de meese mensen een PC gebruiken voor huis-touin-keuken-kantoorwerk en dit dan veruit het gemakkelijkste is voor de meeste users. Daarnaast hebben kantoorwerkplekkers meestal bepaald geen keus. Irrelevant voor dit topic dus.Op woensdag 4 januari 2006 12:48 schreef klnvntrbyt het volgende:
[..]
Ja, maar de belangrijkste voorwaarde is dat je een OS uit Redmond moet gebruiken. Ik bedoel, ik heb ook een WMF begrijpend programma op m'n werkbak staan, maar deze is niet gevoelig voor het probleem...
quote:Hoezo het heeft er geen fluit mee te maken? Het is toch een Windows-lek? Dan is het gebruik van Windows toch voorwaarde nr 1 om gevoelig te zijn voor dit probleem? Ik snap niet wat ik moet facen.Op woensdag 4 januari 2006 12:54 schreef ToMaSZ het volgende:
[..]
Alleen heeft dat geen fluit met dit lek te maken. Face it: er zijn een paar keer meer windows gebruikers dan van andere OS's. Logisch ook, aangezien de meese mensen een PC gebruiken voor huis-touin-keuken-kantoorwerk en dit dan veruit het gemakkelijkste is voor de meeste users. Daarnaast hebben kantoorwerkplekkers meestal bepaald geen keus. Irrelevant voor dit topic dus.
quote:Dat het roepen dat men maar een ander OS moet gebruiken totaal niet constructief is en andere (misschien zelfs grotere) problemen met zich mee brengt.Op woensdag 4 januari 2006 12:59 schreef klnvntrbyt het volgende:
[..]
Hoezo het heeft er geen fluit mee te maken? Het is toch een Windows-lek? Dan is het gebruik van Windows toch voorwaarde nr 1 om gevoelig te zijn voor dit probleem? Ik snap niet wat ik moet facen.
quote:Je reageerde op deze post:Op woensdag 4 januari 2006 13:01 schreef ToMaSZ het volgende:
[..]
Dat het roepen dat men maar een ander OS moet gebruiken totaal niet constructief is en andere (misschien zelfs grotere) problemen met zich mee brengt.
quote:WAAR zeg ik dat mensen naar een andere OS moeten upgraden?!Op woensdag 4 januari 2006 12:48 schreef klnvntrbyt het volgende:
[..]
Ja, maar de belangrijkste voorwaarde is dat je een OS uit Redmond moet gebruiken. Ik bedoel, ik heb ook een WMF begrijpend programma op m'n werkbak staan, maar deze is niet gevoelig voor het probleem...
Ik zeg alleen dat het hebben van een WMF-begrijpend programma niet de enige voorwaarde is om gevoelig te zijn voor deze lek.
En dan lees jij daaruit dat ik mensen oproep te upgraden naar een ander OS?
Als je doelt op Konqueror, dat is tig posts geleden (en waarom quote je die post dan niet?)
En ik had een
neergezet bij de post over het upgraden naar Konqueror, dus ik snap niet dat dat je nog steeds 'dwars' zit...[ Bericht 8% gewijzigd door klnvntrbyt op 04-01-2006 13:11:00 ]
quote:Je hebt inderdaad niet letterlijk 'ga linux draaien' of iets in die geest geroepen. Claim ik ook nergens. (hoewel je sneer naar 'een OS uit redmond' niet erg multi-interpretabel was)Op woensdag 4 januari 2006 13:05 schreef klnvntrbyt het volgende:
[..]
Je reageerde op deze post:
[..]
WAAR zeg ik dat mensen naar een andere OS moeten upgraden?!
Ik zeg alleen dat het hebben van een WMF-begrijpend programma niet de enige voorwaarde is om gevoelig te zijn voor deze lek.
En dan lees jij daaruit dat ik mensen oproep te upgraden naar een ander OS?
Als je doelt op Konqueror, dat is tig posts geleden (en waarom quote je die post dan niet?)
En ik had een [afbeelding] neergezet bij de post over het upgraden naar Konqueror, dus ik snap niet dat dat je nog steeds 'dwars' zit...
Er zit me ook niks dwars, ik vind alleen dat je weinig nieuws inbrengt. Het lek heeft betrekking op de manier waarop windows met wmf-data omgaat, de verantwoordelijke libraries en functies in het byzonder. De browser die een gebruiker gebruikt is irrelevant. Derhalve is al het gediscussieer over browsers en andere OS's offtopic (En ja, ik heb zelf ook offtopic gepost)
niks hack installaren..
ik wacht totdat de officiele patch uitkomt..
quote:Dat is helemaal geen sneer! Dat is juist een mooie afwisseling in het gebruik van begrippen.Op woensdag 4 januari 2006 13:15 schreef ToMaSZ het volgende:
[..]
(hoewel je sneer naar 'een OS uit redmond' niet erg multi-interpretabel was)
of denk ik nu te simpel? als ik het goed begrijp zullen alleen .wmf bestanden door deze dlls worden behandeld, andersgenoemde plaatjes zal firefox zonder resultaat proberen af te beelden?
quote:Ja, je denkt te simpel.Op woensdag 4 januari 2006 14:03 schreef ralfie het volgende:
stel dat ik in firefox met adblock alle *.wmf bestanden blokkeer, maakt dat dan iets uit? Als ik het goed begrijp zal firefox deze dan niet ophalen/afbeelden met de windows dll?
of denk ik nu te simpel? als ik het goed begrijp zullen alleen .wmf bestanden door deze dlls worden behandeld, andersgenoemde plaatjes zal firefox zonder resultaat proberen af te beelden?
Het kan namelijk ook zijn dat ze de extensie van de wmf in bijv .jpg is veranderd...
quote:dat snap ik, maar ik had begrepen dat die plaatjes dan door een ander stuk software werden afgehandeld (de browser zelf?) die de wmf code niet aankunnenOp woensdag 4 januari 2006 14:05 schreef klnvntrbyt het volgende:
[..]
Ja, je denkt te simpel.
Het kan namelijk ook zijn dat ze de extensie van de wmf in bijv .jpg is veranderd...
quote:Deze zin snap ik niet.Op woensdag 4 januari 2006 14:08 schreef ralfie het volgende:
[..]
dat snap ik, maar ik had begrepen dat die plaatjes dan door een ander stuk software werden afgehandeld (de browser zelf?) die de wmf code niet aankunnen
Maar het blokkeren van *.wmf in je proxy oid heeft niet zoveel zin.
quote:Microsoft patcht WMF-lek op 10 januari
Naar aanleiding van het beruchte WMF-lek heeft Microsoft aangekondigd bezig te zijn met het testen van een patch, die tijdens de maandelijkse patch-ronde op 10 januari het levenslicht zal zien. Het bedrijf acht de omvang van de pogingen het lek te exploiteren niet dusdanig groot dat een tussentijdse patch gerechtvaardigd zou zijn, en wijst erop dat patches een serie standaard tests moeten ondergaan om met minimale onderbreking in alle talen en op alle Windows-versies te kunnen worden geïnstalleerd. De softwaregigant geeft wel toe dat het om een ernstige kwetsbaarheid gaat en dat kwaadaardige hackers niet stilzitten om pc's via het lek met hun misbaksels te besmetten. Gebruikers wordt aangeraden geen onvertrouwde websites te bezoeken; professionele gebruikers kunnen hun toevlucht nemen tot een workaround die in Microsofts laatste veiligheidsadvies staat beschreven. De kwetsbaarheid zou alle versies van Windows betreffen.
Maandag riep het Internet Storm Center van SANS vanwege vermeend groot risico gebruikers op een onofficiële patch te installeren. Volgens het ICS gaat het om mogelijk het grootste lek uit de computergeschiedenis. Een ander veiligheidsinstituut, PandaLabs, ontdekte enkele dagen geleden een hacktool genaamd WMFMaker om snel exploits te bakken. PandaLabs zegt dat dit een toename in het aantal aanvallen zou kunnen verklaren. Computerworld schrijft dat zeven procent van McAfees klanten exploitpogingen hadden opgemerkt. De site haalt echter een aantal onderzoekers aan die beweren dat de ernst van de dreiging wordt overdreven en dat bedrijven weinig last van besmettingen hebben die zouden voortvloeien uit het lek.
quote:ik bedoelde ermee, dat een wmf vermomd als jpg niet als wmf maar als jpg zou worden afgehandeld, maar ik heb inmiddels al gelezen dat dit niet zo werkt
wel kun je schijnbaar de afhandeling van wmf uitzetten met dit commando:
'regsvr32 /u shimgvw.dll'
of het werkt weet ik niet, maar aangezien ik wmf nooit gebruik leek het me geen onzinnig idee om maar gewoon dit hele bestandstype uit te schakelen zolang er nog geen officiele patch oid is.
Deze dll is weer in te schakelen via 'regsvr32 /i shimgvw.dll', dus lijkt dit me niet schadelijk
quote:Beetje vaag antwoord, dit lek is gewoon te groot om geen tussentijdse patch uit te brengen.
quote:Och, wat heet groot. Er is een grote hype omheen, omdat het zoveel versies behelst en er een 3e partij-patch eerder beschikbaar was dan de patch van MS. Het is volstrekt logisch dat microsoft geen halve patch die niet getest is gaat uitbrengen. Er is een workaround, waarbij staat aangegeven dat het voor eigen risico is. Wat wil je nog meer?Op woensdag 4 januari 2006 14:39 schreef Me_Wesley het volgende:
[..]
Beetje vaag antwoord, dit lek is gewoon te groot om geen tussentijdse patch uit te brengen.
quote:Ja, daar heb je gelijk in. Maar als iemand een shell kan krijgen enkel door je een site te laten bezoeken, noem ik dat risico wel degelijk groot. Daarbij kan het fixen van een buffer-overflow nooit lang duren (gewoon een simpele lengte-check uitvoeren).Op woensdag 4 januari 2006 14:49 schreef ToMaSZ het volgende:
[..]
Och, wat heet groot. Er is een grote hype omheen, omdat het zoveel versies behelst en er een 3e partij-patch eerder beschikbaar was dan de patch van MS. Het is volstrekt logisch dat microsoft geen halve patch die niet getest is gaat uitbrengen. Er is een workaround, waarbij staat aangegeven dat het voor eigen risico is. Wat wil je nog meer?
quote:Patches zijn doorgaans vrij snel uit te brengen ook voor Microsoft, het punt is alleen dat Microsoft veel rekening moet houden met bedrijfsomgevingen. Als een patch bedrijfssystemen doet crashen dan wordt men daar niet blij van, er moet dus veel getest worden, dat is dus de reden dat patches van Microsoft langer duren voor ze uitgebracht worden.Op woensdag 4 januari 2006 15:18 schreef nyny83 het volgende:
het lijkt me dat jij lastig kan oordelen of het een makkelijk op te lossen probleem is of niet. Als het zo simpel was hadden ze wel sneller een patch uitgebracht, niet?
quote:Microsoft zit wel erg te prutsen hoorMicrosofts patch voor wmf-bug uitgelekt
De vorige week ontdekte fout in Windows' wmf-implementatie blijft onderwerp van gesprek, en het aantal sites dat er misbruik van probeert te maken groeit snel: onder andere dankzij kant-en-klare toolkits om exploits te produceren zijn er al meer dan honderd nare beestjes die het lek proberen te misbruiken. Vandaag werd bekend dat Microsoft de patch voor het probleem op 10 januari zal uitbrengen, precies volgens zijn gebruikelijke maandelijkse cyclus. Het SANS had gebruikers daarom al opgeroepen om intussen de onofficiële patch te installeren, maar blijkbaar is de update van Microsoft zelf nu ook al op internet verschenen. Het digitaal ondertekende bestand zou vorige week woensdag gemaakt zijn, wat aantoont dat het bedrijf het gat intern vrijwel direct na de publicatie gedicht heeft. Op grc.com wordt gemeld dat de gelekte patch goed werkt, maar de site durft niet te garanderen dat het ook de uiteindelijke versie is die volgende week via Windows Update wordt verspreid.
Update (19:02): Microsoft heeft verklaard dat de patch een pre-release status heeft en raadt consumenten aan om hem links te laten liggen. Het bestand zou per ongeluk zijn uitgelekt via een beveiligingssite.
quote:Omdat en een pre-release patch uitlekt? Overdrijven is ook een vak.Op woensdag 4 januari 2006 21:47 schreef DjDev het volgende:
[..]
Microsoft zit wel erg te prutsen hoor
Ik ben een leek op computer gebied en mijn vraag is hoe ik simpel kan controleren of ik ben geinfecteerd.
quote:Ja...ze prutsen nogalOp woensdag 4 januari 2006 21:59 schreef Dubbeldrank het volgende:
[..]
Omdat en een pre-release patch uitlekt? Overdrijven is ook een vak.
Als iemand onwetend die patch installeert dan kunnen er misschien wel 1000 bugs veroorzaken worden
quote:Denk het niet..Op woensdag 4 januari 2006 23:37 schreef blekboks het volgende:
Ik heb windows XP en panda 2006 antivirus scanner
Ik ben een leek op computer gebied en mijn vraag is hoe ik simpel kan controleren of ik ben geinfecteerd.
Gewoon niet op linkjes klikken de komende 6 dagen
quote:iemand onwetend installeerd , als het goed is, niet een patch die ergens in een 'grijs' gebeied rondzwerftOp woensdag 4 januari 2006 23:52 schreef DjDev het volgende:
[..]
Ja...ze prutsen nogal
Als iemand onwetend die patch installeert dan kunnen er misschien wel 1000 bugs veroorzaken worden
quote:Ook niet via start> uitvoeren , en dan in het register kijken waarin je kunt zien of je bent geinfecteerd ?Op woensdag 4 januari 2006 23:52 schreef DjDev het volgende:
[..]
Denk het niet..
Gewoon niet op linkjes klikken de komende 6 dagen
Of kom je er pas achter als je rabo rekening is geplunderd want ik begrijp dat men die mogelijkheid heeft als je zo'n kerstkaartje hebt geopend??
quote:Heb je er een geopend dan?Op donderdag 5 januari 2006 00:10 schreef blekboks het volgende:
[..]
Ook niet via start> uitvoeren , en dan in het register kijken waarin je kunt zien of je bent geinfecteerd ?
Of kom je er pas achter als je rabo rekening is geplunderd want ik begrijp dat men die mogelijkheid heeft als je zo'n kerstkaartje hebt geopend??
Maar ik denk niet dat je het nu kan vinden...Als je denk dat je het hebt is denk ik het best een flinke format (LET OP: DAT IS DUS ALLES WISSEN ALS JE DIT DOET MAAK WEL EERST EEN BACK UP VAN JE BELANGRIJKE BESTANDEN ff neergezet voordat ik gezeik krijg
) doen..Maar dat moet je zelf weten
quote:Misschien zijn er 1337 haxors die denken...nou laat ik ff stoer doen en aan m'n vriendjes laten zien waar je een pre-release patch kan downloaden voor het allergrootste lek in windows sinds tijden!Op donderdag 5 januari 2006 00:02 schreef mschol het volgende:
[..]
iemand onwetend installeerd , als het goed is, niet een patch die ergens in een 'grijs' gebeied rondzwerft
!!~!!! En dan installeren ze die patch en komen ze in de problemen
Er wordt een programma geinstalleerd dat het SpywareStrike, en zit de hele tijd de zeiken met meldingen. En als ik IE open dat krijg ik een ms achtige pagina met meldingen.
Hardnekkig gevalletje
quote:lijkt meer gewoon op spyware maar als volgt:Op donderdag 5 januari 2006 21:40 schreef whosvegas het volgende:
weet iemand hoe ik hier van af kan komen?
probbeer eens spybot S&D, ad-aware en anders in een apart topic (misschien eff rond kijken voor algemeen topic) je haijck this log posten..
M'n virusscanner (AVG) heeft tot nu toe nog niks gevonden
Bah, ik heb helemaal geen zin in dit gezeik
quote:AVG is niet zo'n superprogramma..Probeer eens een andere virusscannerOp donderdag 5 januari 2006 21:54 schreef whosvegas het volgende:
ik zal ms spyware eens draaien
M'n virusscanner (AVG) heeft tot nu toe nog niks gevonden
Bah, ik heb helemaal geen zin in dit gezeik
quote:Die zou toch pas de 10e uitkomen?Op donderdag 5 januari 2006 22:45 schreef Swetsenegger het volgende:
de patch is beschikbaar
Of is het die pre-release?
quote:http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspxOp donderdag 5 januari 2006 22:48 schreef DjDev het volgende:
[..]
Die zou toch pas de 10e uitkomen?
Of is het die pre-release?
Zit ook al in windows update
quote:Jup...Heb hem dus ff geinstaleerdOp donderdag 5 januari 2006 22:49 schreef Swetsenegger het volgende:
[..]
http://www.microsoft.com/technet/security/Bulletin/MS06-001.mspx
Zit ook al in windows update
quote:Security Update for Windows XP (KB912919)
A remote code execution security issue has been identified in the Graphics Rendering Engine that could allow an attacker to remotely compromise your Windows-based system and gain control over it. You can help protect your computer by installing this update from Microsoft. After you install this item, you may have to restart your computer.
Nu heb ik alleen nog meer een icon in de taakbalk met een irritante melding, die ik niet wegkrijg
Bij dubbel klikken gebeurt er niks (als je in de melding klikt gaat hij naar de site van SpywareStrike)
Bestanden die ik heb verwijderd (handmatig, in veilige modes)
- System32\nvctrl.exe
- System32\mssearchnet.exe
- System32\mscornet.exe
- System32\hp784.tmp
Iemand ideeen hoe ik dat vervelende icon uit m'n taakbalk krijg (inclusief alle shit die er achter zit)
quote:nee eerst de onofficiele patch er af en daarna de officiele er op anders ga je geheid een dooie windows installatie tegemoet...Op vrijdag 6 januari 2006 10:50 schreef nyny83 het volgende:
lijkt me dat je deze er gewoon overheen kan knallen.
quote:want? De onofficiele patch is toch ook van MS? Aangezien ze er niet voor waarschuwen lijkt me dat je het eroverheen kan gooien. Bovendien zijn dezelfde bestanden aangepast lijkt me, dus die worden overschreven door de nieuwere bestanden die WinUpdate aanlevert.Op vrijdag 6 januari 2006 10:51 schreef mschol het volgende:
[..]
nee eerst de onofficiele patch er af en daarna de officiele er op anders ga je geheid een dooie windows installatie tegemoet...
quote:wow...Op vrijdag 6 januari 2006 10:53 schreef nyny83 het volgende:
[..]
want? De onofficiele patch is toch ook van MS? Aangezien ze er niet voor waarschuwen lijkt me dat je het eroverheen kan gooien. Bovendien zijn dezelfde bestanden aangepast lijkt me, dus die worden overschreven door de nieuwere bestanden die WinUpdate aanlevert.
"de onofficiele patch is toch ook van MS? "
die hitmin installeerd is een HACK m.a.w. een onofficiele patch uitgebracht door derden..
er is idd een lek geweest van de MS patch, maar die wordt niet door hitman geinstalleerd ')
bron: http://www.hexblog.com
quote:Maar het liefst gewoon uninstallen...Anders vul je je pc op den duur met teveel rotzooiOp vrijdag 6 januari 2006 11:08 schreef ToMaSZ het volgende:
Voor de duidelijkheid: je hoeft de onofficiele patch niet perse eerst te deinstalleren het kan voor of na installatie van de officiele patch, heeft verder geen consequenties.
bron: http://www.hexblog.com
quote:Ik raad toch ook het deinstalleren niet af? Ik meld alleen dat dat ook kan na het installeren van de officiele patch. (technisch gezien veiliger, omdat je nooit je vulnerability weer open zet. Niet heel boeiend bij dit lek btw.)Op vrijdag 6 januari 2006 13:28 schreef DjDev het volgende:
[..]
Maar het liefst gewoon uninstallen...Anders vul je je pc op den duur met teveel rotzooi
quote:Jaja verkeerd gelezenOp vrijdag 6 januari 2006 13:29 schreef ToMaSZ het volgende:
[..]
Ik raad toch ook het deinstalleren niet af? Ik meld alleen dat dat ook kan na het installeren van de officiele patch. (technisch gezien veiliger, omdat je nooit je vulnerability weer open zet. Niet heel boeiend bij dit lek btw.)
(ben net wakker )Nofi
Windows opnieuw geinstalleerd
http://www.planet.nl/planet/show/id=74742/contentid=670571
Het is al eerder genoemd, maar via windows update is er een patch beschikbaar.