---

www.openwarez.org frigav på et tidspunkt en patch til
explorer, der tilsyneladende fjernede et fælt og åbentlyst
hul i explorer.

Jeg installerede denne patch, og iflg. deres "testside" lukkede
jeg dermed hullet...

MEN....kva en god og solid kontrol med mine porte, har det
nu vist sig gentagne gange, at www.openwarez.org forsøger
at få adgang til min PC på port 80.

Det _sutter_ da for vildt !

Nogle lignende tilfælde ?

Forslag til hvad der sker ?

Spang

---

"Spangkuk" <hrmmmfkekgh@tieyskt.æø> wrote in message
news:btacdu$i2u$1@news.cybercity.dk...
> www.openwarez.org frigav på et tidspunkt en patch til
> explorer, der tilsyneladende fjernede et fælt og åbentlyst
> hul i explorer.

Patchen fra OpenWarez fjernede muligheden for at spoofe hvilken adresse der
blev vist i adressebaren, dermed kunne du f.eks. få vist indhold fra
openwarez.org men stadig have microsoft.com stående.

Der er mange flere huller i Internet Explorer som er langt værre, hvoraf en
stor del tillader afvikling af vilkårlig kode - unægtelig noget fælere end
adresse spoofing.

Hvis du gerne vil sikre din IE imod kodeudførsels huller, samt et par andre
i Windows, vil jeg i stedet anbefale Qwik-Fix fra PivX.

http://www.pivx.com/qwikfix/

> Jeg installerede denne patch, og iflg. deres "testside" lukkede
> jeg dermed hullet...

Patchen fra OpenWarez lukkede den mest åbenlyse del af hullet, der
inkluderer spoofing i adressebaren - den fjerner dog blot symptomet istedet
for årsagen, der er en fejl i URL parsing rutinerne i IE. Selv med patchen
fra OpenWarez kan man stadig spoofe adresser, blot ikke i adressebaren men
f.eks. i statusbaren.

> MEN....kva en god og solid kontrol med mine porte, har det
> nu vist sig gentagne gange, at www.openwarez.org forsøger
> at få adgang til min PC på port 80.

Når patchen fra OpenWarez opdager et forsøg på spoofing i adressebaren viser
den en fejlside på OpenWarez istedet. Dette afslører også overfor OpenWarez
hvilke sider du besøger, spørgsmålet er så blot om du stoler mere på
OpenWarez end på Microsoft.

> Det _sutter_ da for vildt !

I det mindste installerede du ikke den første udgave af deres "patch" der
selv introducerede endnu værre sikkerhedshuller - såsom vilkårlig
kodeudførsel gennem buffer overflows.

--
Thor Larholm
<URL: http://www.pivx.com/qwikfix/> Protect your PC now

---

In article <btao79$50pst$1@ID-205354.news.uni-berlin.de>, Thor Larholm wrote:
> Hvis du gerne vil sikre din IE imod kodeudførsels huller, samt et par andre
> i Windows, vil jeg i stedet anbefale Qwik-Fix fra PivX.

Hvem siger i ikke også laver fejl?

Forrige gang jeg prøvede at installere den på en windows 98, gik
programmet i fejl...det lader dog til i har rettet fejlen nu, men
jeres applikation er også blevet væsenlig størrer.

Måske er navnet "Qwik" lidt misvisende :)

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> wrote in message
news:slrnbvi4jp.jti.chel@weebo.dmz.spindelnet.dk...
> In article <btao79$50pst$1@ID-205354.news.uni-berlin.de>, Thor Larholm
wrote:
> > Hvis du gerne vil sikre din IE imod kodeudførsels huller, samt et par
andre
> > i Windows, vil jeg i stedet anbefale Qwik-Fix fra PivX.
>
> Hvem siger i ikke også laver fejl?

Det er der ingen der siger, alle laver fejl :)

Vi sigter blot efter at forhindre værre huller først, hvilket jeg selv synes
er lykkedes ganske godt (men det skal jeg vel synes ;).

> Forrige gang jeg prøvede at installere den på en windows 98, gik
> programmet i fejl...det lader dog til i har rettet fejlen nu, men
> jeres applikation er også blevet væsenlig størrer.

Fordelen ved en beta er at man kan teste nye ting der muligvis ikke virker
på alle installationer, blandt andet grundlæggende indstillinger ved IE
sikkerhed der har mere end tætte relationer til grundlæggende Windows
funktioner.

Istedet for størrelse fokuserer betaen sig på funktionalitet.

> Måske er navnet "Qwik" lidt misvisende :)

Qwik-Fix Pro har en komplet adskillelse af applikation samt individuelle
"fixes", hvilket tillader os at identificere og analysere nye
sikkerhedstrusler samt producere målrettede modreaktioner der kan
distribueres individuelt til vores brugere indenfor timer som 1-til-20 KB
fixes - deraf navnet Qwik Fix ;).

Tidsfaktoren er især særdeles vigtig nu hvor du er garanteret patches højst
en gang om måneden, selv på trusler der kan have været kendt og udnyttet i
flere måneder før.

Derudover sigter vi imod proaktivt at forhindre sikkerhedshuller før de
bliver opdaget og offentliggjort. Dette lykkedes f.eks. med vores IE fix der
på forhånd forhindrede exploits som Liu Die Yu og http-equiv offentliggjorde
i december og januar.


--
Thor Larholm
<URL: http://www.pivx.com/qwikfix/> Protect your PC now

---

In article <btc0k1$5hg68$1@ID-205354.news.uni-berlin.de>, Thor Larholm wrote:
>> Hvem siger i ikke også laver fejl?
>
> Det er der ingen der siger, alle laver fejl :)

Ok, jeg har fundet den første, dog har jeg ikke aktivt ledt efter fejl. Den
kommer pr. default på en windows 98se maskine.


I opgradere iphlpapi.dll til en version (5.00.2195.6602 fra windows 2000) der
ikke er supporteret af windows 98se, dette resultere i en fejl under opstart
med mprapi.dll ikke blev fundet. Når man ruller iphlpapi.dll fra installations
cd'en net7.cab (5.00.1717.2) tilbage til %system%/system virker maskinen igen.

Prøv evt. også at søge på mprapi.dll på google, andre har også
haft problemmet.

Symantec har også en artikel omkring dette,
http://service1.symantec.com/SUPPORT/ent-gate.nsf/pfdocs/2003103013462254


Hvilke fejl rette i forresten ved at opdatere denne fil?


Linksys efterlader også nogle af deres kunder med samme problem :)

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnbvkssa.fj9.chel@weebo.dmz.spindelnet.dk...
> In article <btc0k1$5hg68$1@ID-205354.news.uni-berlin.de>,
Thor Larholm wrote:

Hej Christian,

> Ok, jeg har fundet den første, dog har jeg ikke aktivt
ledt efter fejl. Den
> kommer pr. default på en windows 98se maskine.
>
> I opgradere iphlpapi.dll til en version (5.00.2195.6602
fra windows 2000) der
> ikke er supporteret af windows 98se, dette resultere i en
fejl under opstart
> med mprapi.dll ikke blev fundet.

Jeg kan ikke reproducere den fejl. Nok kan jeg se at filen
erstattes, men jeg modtager ikke fejlmelding som du
beskriver. Testet på Windows 98 SE (DK).

Venligst
Peter Kruse
http://www.krusesecurity.dk

---

Spangkuk skrev:

> MEN....kva en god og solid kontrol med mine porte, har det
> nu vist sig gentagne gange, at www.openwarez.org forsøger
> at få adgang til min PC på port 80.

Det er nok bare live update-funktionen:

http://www.openwares.org/index.php?option=com_remository&Itemid=&func=fileinfo&parent=folder&filecatid=17

"Notice: This product includes our centralized Live update system; you can
uninstall it after installation if you desire. "

Eller også er din maskine nu en del af et Zombie-netværk.

> Det _sutter_ da for vildt !

Tjah, hvad havde du forventet når du installerer patches til programmer
fra andre end producenten af programmet?

Diverse links med beskrivelse af fejlen, på cert.dks webside er der
links til mulige løsninger (filtreringsværktøj fra X-Force ISS):

https://www.cert.dk/perl/publicsystem/PublicSystem.cgi?context=dgxfgBdbh%2bcynI/ud7nbo1JhbmRvbUlWedpM9ncUQbjCEvZ5OYH6gWJjVbkEldLabhc9HkLuDwRLexofC%2brNkUZkvFVbBYBIyu%2blWzqhmLaxvXM8e27p6IFhH4EQ1zPjmVxyEPXR/Mjofi/YKGlRkwjkl2dlw4KtFzOLuUJrShQ=

http://support.microsoft.com/?id=833786

http://cw.dk/default.asp?Mode=2&ArticleID=21988

---

Spangkuk wrote:
> www.openwarez.org frigav på et tidspunkt en patch til
> explorer, der tilsyneladende fjernede et fælt og åbentlyst
> hul i explorer.
>
> Jeg installerede denne patch, og iflg. deres "testside" lukkede
> jeg dermed hullet...
>
> MEN....kva en god og solid kontrol med mine porte, har det
> nu vist sig gentagne gange, at www.openwarez.org forsøger
> at få adgang til min PC på port 80.
>
> Det _sutter_ da for vildt !
>
> Nogle lignende tilfælde ?
>
> Forslag til hvad der sker ?
>
> Spang
>
>

Er du sikker på URL'en. Ville gerne kigge nærmere på deres site, men
URL'en er død!

En googling gi'r ikke meget mere...

/Mvh
Michael

--
"Sed quid custodiet ipsos custodes?"
(But who will guard the guards themselves?)

- Juvenal, C. 100 C.E.

---

"Michael U. Hove" <pots_72@e-mail.dk> skrev i en meddelelse
news:btb437$279t$1@news.cybercity.dk...

Hej Michael,

> Er du sikker på URL'en. Ville gerne kigge nærmere på deres
site, men
> URL'en er død!

Den korrekte adresse er:
http://www.openwares.org

De har tilsynladende udbedret en del af de fejl, som blev
konstateret i den tidligere version af programmet. Jeg ved
dog ikke om det gør applikationen bedre

Venligst
Peter Kruse
http://www.krusesecurity.dk

---

> Den korrekte adresse er:
> http://www.openwares.org

Sorry

Spang

---

Peter Kruse wrote:
> "Michael U. Hove" <pots_72@e-mail.dk> skrev i en meddelelse
> news:btb437$279t$1@news.cybercity.dk...
>
> Hej Michael,
>
>
>>Er du sikker på URL'en. Ville gerne kigge nærmere på deres
>
> site, men
>
>>URL'en er død!
>
>
> Den korrekte adresse er:
> http://www.openwares.org
>
> De har tilsynladende udbedret en del af de fejl, som blev
> konstateret i den tidligere version af programmet. Jeg ved
> dog ikke om det gør applikationen bedre
>
> Venligst
> Peter Kruse
> http://www.krusesecurity.dk
>
>

Takker...


--
"Sed quid custodiet ipsos custodes?"
(But who will guard the guards themselves?)

- Juvenal, C. 100 C.E.

---

"Spangkuk" <hrmmmfkekgh@tieyskt.æø> skrev i en meddelelse
news:btacdu$i2u$1@news.cybercity.dk...

Hej,

> MEN....kva en god og solid kontrol med mine porte, har det
> nu vist sig gentagne gange, at www.openwarez.org forsøger
> at få adgang til min PC på port 80.

Ja, den tidligere udgave fumlede trafik tilbage til
openwares.org, ligesom den også indeholder et buffer
overflow, som er væsentligt værre end det "hul", som
programmet forsøger at lukke. Se evt.
http://www.securitytracker.com/alerts/2003/Dec/1008510.html

Jeg ville afinstallere programmet hvis jeg var dig, eller
som minimum, hente den nyeste udgave af programmet der
skulle være rettet for de rapportede fejl.

Venligst
Peter Kruse
http://www.krusesecurity.dk

---

Peter Kruse skrev:

> Jeg ville afinstallere programmet hvis jeg var dig

Jeg ville geninstallere maskinen forfra, inklusiv sletning af partiti-
oner og ofring af jomfruelige væsener.

Patches skal kun installeres, hvis du stoler på hvor de kommer fra,
det er typisk leverandøren og ikke en tilfældig webside hvor nogle
"ud fra de bedste intentioner" har forsøgt at rette en given fejl.

Overvej eventuelt at holde en pause med at skrive, til du kan komme
med bedre sikkerhedsråd.

---

In article <btd1l1.1u4.3@news.kommunalbastards.org>,
pedervm@myrealbox.com says...
> Jeg ville geninstallere maskinen forfra, inklusiv sletning af partiti-
> oner og ofring af jomfruelige væsener.

Det er ikke nødvendigt at slette partitioner, men jeg er også
betænkelig ved 3.parts opdateringer til closed-source-software som det
MS laver.

Hent kun opdateringer ved producenten, når der er tale om closed-
source-software.


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

Den Tue, 6 Jan 2004 01:00:07 +0100 skrev Peder Vendelbo Mikkelsen:
>Peter Kruse skrev:
>
>> Jeg ville afinstallere programmet hvis jeg var dig
>
>Jeg ville geninstallere maskinen forfra, inklusiv sletning af partiti-
>oner og ofring af jomfruelige væsener.
>
>Patches skal kun installeres, hvis du stoler på hvor de kommer fra,
>det er typisk leverandøren og ikke en tilfældig webside hvor nogle
>"ud fra de bedste intentioner" har forsøgt at rette en given fejl.

Dvs jeg skal holde op med at installere fra windows update? Jeg stoler
i hvert fald ikke på Microsoft.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:bterqg$2mj$1@sunsite.dk...

> Dvs jeg skal holde op med at installere fra windows update? Jeg stoler
> i hvert fald ikke på Microsoft.

Så har du vel ikke Windows installeret, og dermed ikke noget at bruge
windowsupdate til!

/Brian

---

Den Tue, 6 Jan 2004 23:47:58 +0100 skrev Brian R. Jensen:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:bterqg$2mj$1@sunsite.dk...
>
>> Dvs jeg skal holde op med at installere fra windows update? Jeg stoler
>> i hvert fald ikke på Microsoft.
>
>Så har du vel ikke Windows installeret,

Jo, på arbejdet har jeg.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:bthfnm$bdn$6@sunsite.dk...
> Den Tue, 6 Jan 2004 23:47:58 +0100 skrev Brian R. Jensen:

> >> Dvs jeg skal holde op med at installere fra windows update? Jeg stoler
> >> i hvert fald ikke på Microsoft.
> >
> >Så har du vel ikke Windows installeret,
>
> Jo, på arbejdet har jeg.

Nå, men så er det jo nok at din sysadm stoler på MS, det er vel ham/hende
der installere updates

/Brian

---

Den Wed, 7 Jan 2004 19:26:38 +0100 skrev Brian R. Jensen:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:bthfnm$bdn$6@sunsite.dk...
>> Den Tue, 6 Jan 2004 23:47:58 +0100 skrev Brian R. Jensen:
>
>> >> Dvs jeg skal holde op med at installere fra windows update? Jeg stoler
>> >> i hvert fald ikke på Microsoft.
>> >
>> >Så har du vel ikke Windows installeret,
>>
>> Jo, på arbejdet har jeg.
>
>Nå, men så er det jo nok at din sysadm stoler på MS, det er vel ham/hende
>der installere updates

Det var det i hvert fald ikke indtil for nylig.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:
> Den Tue, 6 Jan 2004 01:00:07 +0100 skrev Peder Vendelbo Mikkelsen:
>
>>Peter Kruse skrev:
>>
>>
>>>Jeg ville afinstallere programmet hvis jeg var dig
>>
>>Jeg ville geninstallere maskinen forfra, inklusiv sletning af partiti-
>>oner og ofring af jomfruelige væsener.
>>
>>Patches skal kun installeres, hvis du stoler på hvor de kommer fra,
>>det er typisk leverandøren og ikke en tilfældig webside hvor nogle
>>"ud fra de bedste intentioner" har forsøgt at rette en given fejl.
>
>
> Dvs jeg skal holde op med at installere fra windows update? Jeg stoler
> i hvert fald ikke på Microsoft.
>
> Mvh
> Kent

Jeg vidste ikke at slrn var blevet portet til WinDos

/Mvh
Michael

--
"Sed quid custodiet ipsos custodes?"
(But who will guard the guards themselves?)

- Juvenal, C. 100 C.E.

---

In article <btff4v$1b4b$1@news.cybercity.dk>, pots_72@e-mail.dk says...

> Jeg vidste ikke at slrn var blevet portet til WinDos

http://freshmeat.net/projects/slrn/?topic_id=39


--
Med venlig hilsen/best regards
Jesper G. Poulsen

http://www.netmeister.org/news/learn2quote2.html

---

Jesper G. Poulsen wrote:
> In article <btff4v$1b4b$1@news.cybercity.dk>, pots_72@e-mail.dk says...
>
>
>>Jeg vidste ikke at slrn var blevet portet til WinDos
>
>
> http://freshmeat.net/projects/slrn/?topic_id=39
>
>

Well well...der kan man bare se...kender nu ikke så mange MS brugere der
anvender den endnu

/mvh
michael

--
"Long round trip time, but hell of a good MTU"

Marcus Ranum
- on implementing NFS over IP over e-mail.

---

Kent Friis skrev:

> skrev Peder Vendelbo Mikkelsen:
>> Patches skal kun installeres, hvis du stoler på hvor de kommer fra,
>> det er typisk leverandøren og ikke en tilfældig webside hvor nogle
>> "ud fra de bedste intentioner" har forsøgt at rette en given fejl.

> Dvs jeg skal holde op med at installere fra windows update? Jeg
> stoler i hvert fald ikke på Microsoft.

Jeg tror det er bedst at du forsøger at overbevise MS om at du skal
have adgang til kildekoden, så du kan skrive dine patches selv:

http://microsoft.com//sharedsource/

---

Den Wed, 7 Jan 2004 23:45:07 +0100 skrev Peder Vendelbo Mikkelsen:
>Kent Friis skrev:
>
>> skrev Peder Vendelbo Mikkelsen:
>>> Patches skal kun installeres, hvis du stoler på hvor de kommer fra,
>>> det er typisk leverandøren og ikke en tilfældig webside hvor nogle
>>> "ud fra de bedste intentioner" har forsøgt at rette en given fejl.
>
>> Dvs jeg skal holde op med at installere fra windows update? Jeg
>> stoler i hvert fald ikke på Microsoft.
>
>Jeg tror det er bedst at du forsøger at overbevise MS om at du skal
>have adgang til kildekoden, så du kan skrive dine patches selv:

Nej tak. Jeg tror på den teori om at hvis Microsoft en dag distribuerede
windows som open source, ville 80% af de programmører der kiggede i
koden dø af grin.

Og det har jeg dog mit liv for kært til.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> skrev i
en meddelelse news:btd1l1.1u4.3@news.kommunalbastards.org...
> Jeg ville geninstallere maskinen forfra, inklusiv sletning
af partiti-
> oner og ofring af jomfruelige væsener.

Læs indlægget igen. Der er intet belæg, ud fra den beskrevne
problemstilling, som retfærdiggør en så radikal handling.

> Patches skal kun installeres, hvis du stoler på hvor de
kommer fra,
> det er typisk leverandøren og ikke en tilfældig webside
hvor nogle
> "ud fra de bedste intentioner" har forsøgt at rette en
given fejl.

Ja, så langt er vi så enige, men det gør det ikke nødvendigt
i den pågældende situation, at slette partition og harddisk.
Det var ikke hensigten, at modtage sådanne "råd", så vidt
jeg læser det oprindelige indlæg. En opgradering af
applikationen fjerner problemet. Det samme gør en uninstall.

> Overvej eventuelt at holde en pause med at skrive, til du
kan komme
> med bedre sikkerhedsråd.

Du mener, at den pågældende problemstilling gør det
nødvendigt, at slette maskinen og begynde forfra. Jeg mener
derimod, at dit forslag er spild af tid for personen som
postede indlægget. Det isolerede spørgsmål omhandler en
problemstilling der optræder i forsøget på at lappe en
mindre problemstilling i relation til IE. "Lappen", der
iøvrigt ligger tilgængelig som fri sourcekode og som for den
sags skyld kan være kompilleret af brugeren selv, indeholder
flere fejl. Det kan ikke diskuteres, men det berettiger ikke
en sletning af partition og harddisk.

Jeg svarer på spørgsmålet - du angriber svaret uden at tage
stilling til spørgsmålet ...

Venligst
Peter Kruse
http://www.krusesecurity.dk

---

In article <3ffc47db$0$157$edfadb0f@dread11.news.tele.dk>, Peter Kruse wrote:
> nødvendigt, at slette maskinen og begynde forfra. Jeg mener
> derimod, at dit forslag er spild af tid for personen som
> postede indlægget. Det isolerede spørgsmål omhandler en

Det bør ikke være spild af tid, men en almindelig routine hvis
man har mistanke om ens maskine er komprimiteret.

Desværrer er brugerne ikke klar over de evt. konsekvenser ved
at hente applikationer, hvis funktion de ikke kender. Det
er derfor adware er så udbredt, hvilket ej løser problemmet.

Hvis du mener det tager meget af brugerens resourcer at reinstaller
en maskine, er dette ikke længere tilfældet. Min sidste maskine
jeg har købt, giver mig under opstarten muligheden for at reinstallere alt
på kort tid.

> mindre problemstilling i relation til IE. "Lappen", der
> iøvrigt ligger tilgængelig som fri sourcekode og som for den
> sags skyld kan være kompilleret af brugeren selv, indeholder
> flere fejl. Det kan ikke diskuteres, men det berettiger ikke
> en sletning af partition og harddisk.

Nu bliver jeg nysgerrig. Hvordan ved en bruger om den
binær fil man henter er kompileret fra den tilgændelige
kildetekst?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i
en meddelelse
news:slrnbvoiuv.eke.chel@weebo.dmz.spindelnet.dk...

Hej Christian,

> Det bør ikke være spild af tid, men en almindelig routine
hvis
> man har mistanke om ens maskine er komprimiteret.

Jeg deler denne holding, men der er intet i det beskrevne
der indikerer, at der er tale om kode der har til formål at
kompromittere maskinen (udover den indirekte fejl, som jeg
også påpeger).

> Desværrer er brugerne ikke klar over de evt. konsekvenser
ved
> at hente applikationer, hvis funktion de ikke kender. Det
> er derfor adware er så udbredt, hvilket ej løser
problemmet.

Som udgangspunkt er problemstillingen selvfølgelig langt
mere omfattende og ikke isoleret til spyware komponenter.

Ad-aware, er blevet en "success" fordi det på et tidspunkt
er blevet populært, at inkludere spyware komponenter i
legitim software. Det er stadig de færreste, som gider tage
sig tid til at læse EULA når der installeres en software
pakke. I langt de fleste tilfælde fremgår det af EULA´en, at
der indgår komponenter i pakken, som har til formål at
indsamle diverse data, hvilket juridisk gør det vanskeligt
at forfølge.

> Hvis du mener det tager meget af brugerens resourcer at
reinstaller
> en maskine, er dette ikke længere tilfældet. Min sidste
maskine
> jeg har købt, giver mig under opstarten muligheden for at
reinstallere alt
> på kort tid.

Det er klart, at rescue CD´er kan medvirke til at lette
arbejdet i forbindelse med en reinstallation, men vi flytter
jo ikke på brugerens forståelse for problemstillingen ved at
anbefale en reformattering af harddisken. Jeg anfægter ikke,
at den enkelte bruger må have forståelse for de konsekvenser
det kan medføre at afvikle kode hvis indhold man ikke
kender. Jeg siger blot, at det i denne sammenhæng, er et
angreb på svaret og ikke et konstruktivt respons på
spørgsmålet. Der er intet som tyder på, at den pågældende
problemstilling nødvendiggør en reformattering af
harddisken - ikke isoleret set ihvertfald. Det må være en
lærestreg for brugeren, at han installerer en opdatering der
tilsyneladende skal lukke en problemstilling, men samtidig
introducerer flere og langt værre problemstillinger.

Vi kan ikke straffe brugeren ved at sige "reformatterer dit
og reformatterer dat", men i stedet tydeliggøre
problemstillingerne, så brugeren selv kan træffe sin
beslutning. Det kan jo ikke udelukkes, at der er installeret
andre applikationer fra tvivlsomme kilder. Mit svar var
isoleret til spørgsmålet. Det skal beklages hvis det kunne
misforståes.

> Nu bliver jeg nysgerrig. Hvordan ved en bruger om den
> binær fil man henter er kompileret fra den tilgændelige
> kildetekst?

Lige så meget, som når man henter kompileret "opensource"
kode. Hvis siden indeholder en MD5 sum, er det ingen skade
til at sammenligne med den fil der nedhentes, men det ændrer
jo ikke ved problemstillingen, at man kun skal hente
software fra kilder man har tillid til

Venligst
Peter Kruse
http://www.krusesecurity.dk

---

Den 07 Jan 2004 18:11:43 GMT skrev Christian E. Lysel:
>In article <3ffc47db$0$157$edfadb0f@dread11.news.tele.dk>, Peter Kruse wrote:
>> nødvendigt, at slette maskinen og begynde forfra. Jeg mener
>> derimod, at dit forslag er spild af tid for personen som
>> postede indlægget. Det isolerede spørgsmål omhandler en
>
>Det bør ikke være spild af tid, men en almindelig routine hvis
>man har mistanke om ens maskine er komprimiteret.

Hvis det at man har haft software med kendte fejl installeret er nok
til den mistanke, så bør samtlige computere med MSIE geninstalleres.

>Desværrer er brugerne ikke klar over de evt. konsekvenser ved
>at hente applikationer, hvis funktion de ikke kender. Det
>er derfor adware er så udbredt, hvilket ej løser problemmet.
>
>Hvis du mener det tager meget af brugerens resourcer at reinstaller
>en maskine, er dette ikke længere tilfældet. Min sidste maskine
>jeg har købt, giver mig under opstarten muligheden for at reinstallere alt
>på kort tid.

"alt"?

Altså både al den software man i tidens løb har købt, herunder kopi-
beskyttede spil, og alle de ændringer i opsætningen, som vil tage
forfærdelig lang tid at lave igen, og som er gemt i registry som det
er håbløst at tage backup af?

Eller kun windows + det preinstallerede skrammel, som man nemmest
slipper af med ved at ominstallere maskinen fra en rigtig windows-CD,
lige efter man har taget maskinen ud af pap-kassen?

>> mindre problemstilling i relation til IE. "Lappen", der
>> iøvrigt ligger tilgængelig som fri sourcekode og som for den
>> sags skyld kan være kompilleret af brugeren selv, indeholder
>> flere fejl. Det kan ikke diskuteres, men det berettiger ikke
>> en sletning af partition og harddisk.
>
>Nu bliver jeg nysgerrig. Hvordan ved en bruger om den
>binær fil man henter er kompileret fra den tilgændelige
>kildetekst?

Han kunne jo compile den selv.

Alternativt kunne han jo vælge at stole på kilden, som IMHO er mindst
lige så pålidelig som Microsoft (på en skala fra 1 - 10 scorer MS et
rundt 0, IMHO).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:bthsom$bl6$2@sunsite.dk...

> Alternativt kunne han jo vælge at stole på kilden, som IMHO er mindst
> lige så pålidelig som Microsoft (på en skala fra 1 - 10 scorer MS et
> rundt 0, IMHO).

Hvis man har den holdning, så benytter man vel overhovedet ikke Windows?

Hvis du ikke har tillid til dit (og din opsætning af) OS, hvordan mener du
så at man kan få tillid til det ved at installere tredjeparts patches?

Er dit indlæg ikke bare en del at den alm. MS-bashing fra folk der ikke ved
bedre?

/Brian

---

Den Thu, 8 Jan 2004 08:41:25 +0100 skrev Brian R. Jensen:
>
>"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
>news:bthsom$bl6$2@sunsite.dk...
>
>> Alternativt kunne han jo vælge at stole på kilden, som IMHO er mindst
>> lige så pålidelig som Microsoft (på en skala fra 1 - 10 scorer MS et
>> rundt 0, IMHO).
>
>Hvis man har den holdning, så benytter man vel overhovedet ikke Windows?

Fordi man har en chef...

>Hvis du ikke har tillid til dit (og din opsætning af) OS, hvordan mener du
>så at man kan få tillid til det ved at installere tredjeparts patches?

Jeg har ikke sagt at man kan få tillid til det ved at installere
tredjeparts patches. Men argumentet var at man ikke skulle installere
patches fra kilder man ikke stoler på, og for mit vedkommende inkluderer
det Microsoft.

Om man installerer en patch fra en kilde der måske er lige så upålidelig
som Microsoft, bliver systemet som helhed ikke hverken mere eller mindre
pålideligt af.

Og et argument er der for at tredjeparts-patchen er mere pålidelig -
sourcen er tilgængelig, og selvom man måske ikke selv compiler den, skal
der nok være en eller anden der gør, og hvis resultatet ikke stemte
overens med den exe-fil man kan downloade, ville det ret hurtigt blive
undersøgt hvorfor. Ligesom sourcen ret hurtigt blev undersøgt for fejl,
og man rent faktisk fandt en buffer overflow. En tilsvarende fejl i et
program uden source ville ikke være blevet fundet nær så hurtigt.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On Thu, 8 Jan 2004 22:23:13 +0000 (UTC), leeloo@phreaker.net (Kent
Friis) wrote:

>>> Alternativt kunne han jo vælge at stole på kilden, som IMHO er mindst
>>> lige så pålidelig som Microsoft (på en skala fra 1 - 10 scorer MS et
>>> rundt 0, IMHO).
>>Hvis man har den holdning, så benytter man vel overhovedet ikke Windows?
>Fordi man har en chef...

Men stoler du på din chef?

--
- Peter Brodersen

Ugens sprogtip: ikke (og ikke ik)

---

Den Fri, 09 Jan 2004 03:04:57 +0100 skrev Peter Brodersen:
>On Thu, 8 Jan 2004 22:23:13 +0000 (UTC), leeloo@phreaker.net (Kent
>Friis) wrote:
>
>>>> Alternativt kunne han jo vælge at stole på kilden, som IMHO er mindst
>>>> lige så pålidelig som Microsoft (på en skala fra 1 - 10 scorer MS et
>>>> rundt 0, IMHO).
>>>Hvis man har den holdning, så benytter man vel overhovedet ikke Windows?
>>Fordi man har en chef...
>
>Men stoler du på din chef?

Ikke hvad det angår.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

In article <bthsom$bl6$2@sunsite.dk>, Kent Friis wrote:
> Hvis det at man har haft software med kendte fejl installeret er nok
> til den mistanke, så bør samtlige computere med MSIE geninstalleres.

:)

> Eller kun windows + det preinstallerede skrammel, som man nemmest
> slipper af med ved at ominstallere maskinen fra en rigtig windows-CD,
> lige efter man har taget maskinen ud af pap-kassen?

Ja.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Den 08 Jan 2004 09:46:17 GMT skrev Christian E. Lysel:
>In article <bthsom$bl6$2@sunsite.dk>, Kent Friis wrote:
>> Hvis det at man har haft software med kendte fejl installeret er nok
>> til den mistanke, så bør samtlige computere med MSIE geninstalleres.
>
>:)
>
>> Eller kun windows + det preinstallerede skrammel, som man nemmest
>> slipper af med ved at ominstallere maskinen fra en rigtig windows-CD,
>> lige efter man har taget maskinen ud af pap-kassen?
>
>Ja.

Så er der jo ingen tid sparet ved at bruge restore-CD'en. Tvært imod
så kan man - ved at lade være med at bruge den - spare den ekstra
tid det ville tage først at installere fra restore-CD'en, for derefter
at ominstallere fra en rigtig windows-CD, for at slippe af med alt
skramlet - det sidste er mere pålideligt end tilføj/fjern programmer,
regclean, Ad-Aware og SpyBot, og så regedit til manuelt at fjerne de
sidste underligheder.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

In article <btklds$orl$6@sunsite.dk>, Kent Friis wrote:
> Så er der jo ingen tid sparet ved at bruge restore-CD'en. Tvært imod
> så kan man - ved at lade være med at bruge den - spare den ekstra
> tid det ville tage først at installere fra restore-CD'en, for derefter
> at ominstallere fra en rigtig windows-CD, for at slippe af med alt
> skramlet - det sidste er mere pålideligt end tilføj/fjern programmer,

Den PC jeg købte har en udmærket default installation.

Eller kan ghost bygge en boot cdrom der kan restore ud fra
en given installation.
Men dette kan selvfølgelig udføres _før_ maskinen bliver
komprimiteret.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Den 09 Jan 2004 01:55:10 GMT skrev Christian E. Lysel:
>In article <btklds$orl$6@sunsite.dk>, Kent Friis wrote:
>> Så er der jo ingen tid sparet ved at bruge restore-CD'en. Tvært imod
>> så kan man - ved at lade være med at bruge den - spare den ekstra
>> tid det ville tage først at installere fra restore-CD'en, for derefter
>> at ominstallere fra en rigtig windows-CD, for at slippe af med alt
>> skramlet - det sidste er mere pålideligt end tilføj/fjern programmer,
>
>Den PC jeg købte har en udmærket default installation.
>
>Eller kan ghost bygge en boot cdrom der kan restore ud fra
>en given installation.
>Men dette kan selvfølgelig udføres _før_ maskinen bliver
>komprimiteret.

Her var der ikke noget tegn på at maskinen var kompromiteret, der var
blot installeret software med kendte sikkerhedshuller.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On Wed, 7 Jan 2004 18:59:11 +0100,
Peter Kruse <kruse@_nospam_railroad.dk> wrote:

> "Lappen", der
> iøvrigt ligger tilgængelig som fri sourcekode og som for den
> sags skyld kan være kompilleret af brugeren selv, indeholder
> flere fejl. Det kan ikke diskuteres, men det berettiger ikke
> en sletning af partition og harddisk.

Conspiracy theory: En hacker kender $hul i lappen og udnytter det
i den tid ''lappen'' har vaeret installeret paa systemet. Har du noget
IDS paa maskinen du kan checke fra sikker source ville jeg nok
godt loebe den risiko at mit IDS ikke fangede en eventuel aendring.
Hvis jeg ikke har IDS og givet windows kompleksitet er jeg ikke
sikker paa at jeg ville turde.

--
Jesper

---

"Jesper Louis Andersen" <jlouis@brok.diku.dk> skrev i en
meddelelse news:slrnbvomp9.15s.jlouis@brok.diku.dk...
> On Wed, 7 Jan 2004 18:59:11 +0100,
> Conspiracy theory: En hacker kender $hul i lappen og
udnytter det
> i den tid ''lappen'' har vaeret installeret paa systemet.
Har du noget
> IDS paa maskinen du kan checke fra sikker source ville jeg
nok
> godt loebe den risiko at mit IDS ikke fangede en eventuel
aendring.
> Hvis jeg ikke har IDS og givet windows kompleksitet er jeg
ikke
> sikker paa at jeg ville turde.

Oh ja, men så er det nok ikke den mest snedige måde at lave
$ på, da det forudsætter interaktion fra brugeren for at
denne sårbarhed kan misbruges. Den sårbarhed, som optræder i
denne lap, omhandler noget tilfældig data der "fejlagtigt"
sendes retur til producenten af lappen når systemet
"udsættes" for @ i en URL under IE. Det andet problem, og
velsagtens det værste af de to, er en ikke kontrolleret
buffer, som kan misbruges ved at sende en særligt lang URL
til et system der har installeret lappen. Det kan under
særlige omstændigheder godt lede til afvikling af vilkårlig
kode, men som oftes blot crashe brugerens browser. Der er
dog ikke de store muligheder for at misbruge dette uden at
brugeren spiller med ... IDS eller ej

Venligst
Peter Kruse
http://www.krusesecurity.dk

---

Peter Kruse skrev:

> Oh ja, men så er det nok ikke den mest snedige måde at lave
> $ på, da det forudsætter interaktion fra brugeren for at
> denne sårbarhed kan misbruges.

Er det et problem at forudsætte interaktion?

Folk er da dygtige til at dobbeltklikke på alt hvad de modtager i
email, for blot at tage et eksempel.

---

Den Wed, 7 Jan 2004 19:13:48 +0000 (UTC) skrev Jesper Louis Andersen:
>On Wed, 7 Jan 2004 18:59:11 +0100,
>Peter Kruse <kruse@_nospam_railroad.dk> wrote:
>
>> "Lappen", der
>> iøvrigt ligger tilgængelig som fri sourcekode og som for den
>> sags skyld kan være kompilleret af brugeren selv, indeholder
>> flere fejl. Det kan ikke diskuteres, men det berettiger ikke
>> en sletning af partition og harddisk.
>
>Conspiracy theory: En hacker kender $hul i lappen og udnytter det
>i den tid ''lappen'' har vaeret installeret paa systemet. Har du noget
>IDS paa maskinen du kan checke fra sikker source ville jeg nok
>godt loebe den risiko at mit IDS ikke fangede en eventuel aendring.
>Hvis jeg ikke har IDS og givet windows kompleksitet er jeg ikke
>sikker paa at jeg ville turde.

Der er mindst lige så mange der kender de (andre) upatchede huller
i MSIE.

Ville du også anbefale at reinstallere maskinen, bare fordi brugeren
havde været så tåbelig at installere MSIE?

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On Wed, 7 Jan 2004 21:15:22 +0000 (UTC),
Kent Friis <leeloo@phreaker.net> wrote:

> Der er mindst lige så mange der kender de (andre) upatchede huller
> i MSIE.
>
> Ville du også anbefale at reinstallere maskinen, bare fordi brugeren
> havde været så tåbelig at installere MSIE?

Det kommer helt an paa situationen. I visse tilfaelde saa ja, i andre
tilfaelde saa nej. Jeg vil egentlig hellere diskutere det generelt end
konkret og meget af mit skriveri herinde er ogsaa funderet i generelle
situationer, paa trods af at folk har konkrete spoergsmaal.



--
Jesper

---

Den Thu, 8 Jan 2004 07:09:48 +0000 (UTC) skrev Jesper Louis Andersen:
>On Wed, 7 Jan 2004 21:15:22 +0000 (UTC),
>Kent Friis <leeloo@phreaker.net> wrote:
>
>> Der er mindst lige så mange der kender de (andre) upatchede huller
>> i MSIE.
>>
>> Ville du også anbefale at reinstallere maskinen, bare fordi brugeren
>> havde været så tåbelig at installere MSIE?
>
>Det kommer helt an paa situationen. I visse tilfaelde saa ja, i andre
>tilfaelde saa nej. Jeg vil egentlig hellere diskutere det generelt end
>konkret og meget af mit skriveri herinde er ogsaa funderet i generelle
>situationer, paa trods af at folk har konkrete spoergsmaal.

Hvor mange gange skal man geninstallere en windows-maskine, før at man
er helt sikker på at der ikke er en rest tilbage af MSIE?

(Windows 3.11 og tidlige versioner af Windows 95 tæller ikke).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Peter Kruse skrev:

> "Peder Vendelbo Mikkelsen" skrev
>> Jeg ville geninstallere maskinen forfra, inklusiv sletning af
>> partitioner og ofring af jomfruelige væsener.

> Læs indlægget igen. Der er intet belæg, ud fra den beskrevne
> problemstilling, som retfærdiggør en så radikal handling.

Jeg går ud fra at brugeren kører med fulde administrator-rettigheder,
derfor er det nødvendigt.

> Det var ikke hensigten, at modtage sådanne "råd", så vidt
> jeg læser det oprindelige indlæg.

Naturligvis ikke, de fleste der spørger om råd, vil have at vide at de
skal tage en hovedpine-pille, tage en lur på sofaen og så er problemet
løst om 30 minutter. Det er både min private og professionelle erfa-
ring.

> En opgradering af applikationen fjerner problemet. Det samme gør en
> uninstall.

Jeg må så gå ud fra, at du har prøvet at installere samme patch og har
lavet en før, under og efter analyse, fint nok. Det har jeg dog ikke.

> Du mener, at den pågældende problemstilling gør det nødvendigt, at
> slette maskinen og begynde forfra.

Ja. Patchen havde buffer-overflows som muliggør afvikling af vilkårlig
kode. I den første udgave var der også indbygget en funktion som sendte
gud ved hvilke oplysninger tilbage til udvikleren.

---

"Peder Vendelbo Mikkelsen" <pedervm@myrealbox.com> skrev i
en meddelelse news:bti7bc.1kk.3@news.kommunalbastards.org...
> Jeg går ud fra at brugeren kører med fulde
administrator-rettigheder,
> derfor er det nødvendigt.

En meget stor del af applikationer, som foretager ændringer
på en windows kasse, fordrer, af gode grunde, at man kører
med administratorrettigheder, men det har intet med denne
problemstilling at gøre. I hvertfald ikke isoleret set. Der
er flere detaljer, som vi ikke bekendte med: har brugeren
f.eks. kompileret koden selv? hvordan har brugeren
konstateret, at der sendes data tilbage til producenten
under særlige forudsætninger. Lappen er blevet godkendt og
udsendt via Bugtraq, hvilket normalt betyder, at indholdet
som minimum er blevet verificeret.

> Naturligvis ikke, de fleste der spørger om råd, vil have
at vide at de
> skal tage en hovedpine-pille, tage en lur på sofaen og så
er problemet
> løst om 30 minutter. Det er både min private og
professionelle erfa-
> ring.

Det ville jo heller ikke være løsningen at skære hovedet af,
vel?

> Jeg må så gå ud fra, at du har prøvet at installere samme
patch og har
> lavet en før, under og efter analyse, fint nok. Det har
jeg dog ikke.

Naturligvis. Jeg laver ofte test af opdateringer og
produkter i forbindelse med det arbejde som jeg udfører.

> Ja. Patchen havde buffer-overflows som muliggør afvikling
af vilkårlig
> kode. I den første udgave var der også indbygget en
funktion som sendte
> gud ved hvilke oplysninger tilbage til udvikleren.

Der var ét buffer overflow i koden. Jeg henviser lige til
den URL, som jeg postede tidligere:
http://www.securitytracker.com/alerts/2003/Dec/1008510.html

Med hensyn til oplysninger der returneres til producenten,
så læs nærmere på ovenstående URL. Som jeg ser det, er der
tale om dataindsamling i forbindelse med situationer, hvor
lappen netop forhindrer URL forfalskning. Kan det tænktes,
at sådanne data anvendes til statistik? I givet fald kan man
hoppe i flæsket på mange producenter af software i al
almindelighed. Jeg mener ikke, at funktionen bør være der og
den er såmænd også blevet fjernet af producenten i den
lap-opdatering, som blev frigivet et par dage efter
rapporteringen indløb, ligesom risikoen for et stack
overflowet blev fjernet.

Jeg ser stadig ikke hvordan du kommer frem til
nødvendigheden af en ny partitionering og reformatteringen
af harddisken ud fra de oplysninger der er modtaget fra den
oprindelige poster, men jeg vurderer derimod, at der ligger
en helt anden bevæggrund fra din side i dit firkantede
indlæg.

Venligst
Peter Kruse
http://www.krusesecurity.dk