Windows 2000/NT sourcecode gelekt

elevator schreef op 14 februari 2004 @ 12:56:
[...]

In het persbericht van Microsoft wordt duidelijk gezegd dat het geen lek is van de SharedSource license:

Subsequent investigation has shown this was not the result of any breach of Microsoft’s corporate network or internal security, nor is it related to Microsoft’s Shared Source Initiative or its Government Security Program, which enable our customers, partners and governments to legally access Microsoft source code.


[...]

Als het lek niet aan Microsofts interne veiligheid, gehackte netwerken, trusted sources of wie/wat dan ook te verwijten is wie of wat dan wel.. ??
Blijft niet veel meer over:S
behalve dan: Generatio Spontanea (in het nederlands: spontaan uit het niets ontstaan... )
Rare jongens die Redmond-ers..

equinoxe schreef op 15 februari 2004 @ 01:17:
[...]


Als het lek niet aan Microsofts interne veiligheid, gehackte netwerken, trusted sources of wie/wat dan ook te verwijten is wie of wat dan wel.. ??
Blijft niet veel meer over:S
behalve dan: Generatio Spontanea (in het nederlands: spontaan uit het niets ontstaan... )
Rare jongens die Redmond-ers..

Ja vind het ook een vreemde uitspraak. Maar hoe ging dat ook alweer met die apen laat een paar duizend apen typen en één zal wel een werk van Shakespear na typen. Wel die ene aap heeft nu de source van MS getypt.

equinoxe schreef op 15 februari 2004 @ 01:17:
Als het lek niet aan Microsofts interne veiligheid, gehackte netwerken, trusted sources of wie/wat dan ook te verwijten is wie of wat dan wel.. ??

Lees even elevator in "Windows 2000/NT sourcecode gelekt" - hierin staat uitgelegd dat op dit moment waarschijnlijk is, dat het bij Mainsoft gelekt is

elevator schreef op 15 februari 2004 @ 02:50:
[...]

Lees even elevator in "Windows 2000/NT sourcecode gelekt" - hierin staat uitgelegd dat op dit moment waarschijnlijk is, dat het bij Mainsoft gelekt is

Toch is het niet zo netjes om alvast maar een zwart schaap te noemen. Totdat Ms zelf een of andere actie onderneemt tegen betreffende bedrijf of persoon zou ik me maar onthouden van enig kopieren van aantijgingen.

Er staat niet glashard dat het Mainsoft is - er staat dat het op dit moment waarschijnlijk is dat het Mainsoft is (mede doordat er niet zo heel veel andere non-Shared source licencees zijn, mede door de schijnbare informatie die in de sources informatie zijn en mede doordat Mainsoft al een statement gepubliceerd heeft)

elevator schreef op 15 februari 2004 @ 02:50:
[...]

Lees even elevator in "Windows 2000/NT sourcecode gelekt" - hierin staat uitgelegd dat op dit moment waarschijnlijk is, dat het bij Mainsoft gelekt is

ok maar Micro$oftMicrosoft zegt dus:

"nor is it related to Microsoft’s Shared Source Initiative or its Government Security Program, which enable our customers, partners and governments to legally access Microsoft source code."

Modbreak: laten we het maar gewoon Microsoft noemen
Zie Windows Operated Systems - Policy

[ Voor 19% gewijzigd door momania op 16-02-2004 21:25 ]

Je bedoelt Microsoft ?

Jaja...

quote: http://www.securityfocus.com/archive/1/353997

Description: A vulnerability was reported in Microsoft Internet Explorer (IE) version 5. A remote user can execute arbitrary code on the target system.

It is reported that a remote user can create a specially crafted bitmap file that,
when loaded by IE, will trigger an integer overflow and execute arbitrary code.

The author states that this flaw was found by reviewing the recently leaked Microsoft
Windows source code. The flaw reportedly resides in 'win2k/private/inet/mshtml/src/site/download/imgbmp.cxx'.

The report indicates that IE 5 is affected but that IE 6 is not affected.

A demonstration exploit is provided in the Source Message [it is Base64 encoded].


Impact: A remote user can cause arbitrary code to be executed on the target user's
computer when the target user's browser loads a specially crafted bitmap file.
The code will run with the privileges of the target user.

Tipje van de ijsberg, of bluf? You name it.

Dryw.Filtiarn schreef op 13 februari 2004 @ 10:03:

code:

1 2 3 4 5 6 7 8 9

#include "iexplore.h" #include "rcids.h" #include "shlwapi.h" #include <platform.h> #ifdef UNIX #include "unixstuff.h" #endif

code:

1 2 3 4 5

#if defined(UNIX) // IEUNIX: On solaris we are getting out of file handles with new code pages added to mlang // causing more nls files to be mmapped. INCREASE_FILEHANDLE_LIMIT; #endif

Dingen over UNIX in mainloop.cpp van IExplore?

(dit is geen bedachte code, dit komt uit de originele source)

Is niet zo vreemd hoor, Internet Explorer voor Unix heeft een redelijk tijdje bestaan. Heb ik ook nog mee gewerkt. Is nu niet meer beschikbaar, zie
http://www.microsoft.com/unix/ie/

Verwijderd schreef op 16 februari 2004 @ 20:10:
Jaja...

[...]

Tipje van de ijsberg, of bluf? You name it.

Al is het geen bluf, het maakt wel duidelijk in hoeverre je het 'probleem' serieus moet nemen: geen kip die vaker dan 2 keer per jaar op internet hangt gebruikt namelijk nog IE5

curry684 schreef op 16 februari 2004 @ 23:27:
[...]

Al is het geen bluf, het maakt wel duidelijk in hoeverre je het 'probleem' serieus moet nemen: geen kip die vaker dan 2 keer per jaar op internet hangt gebruikt namelijk nog IE5

Vrouwelijke collega @ sales draait toch nog mooi IE5 hoor.
En zo ken ik er nog wel een paar..
Echt nog genoeg mensen die IE5 draaien hoor, jammergenoeg.

Verwijderd schreef op 16 februari 2004 @ 23:30:
[...]

Vrouwelijke collega @ sales draait toch nog mooi IE5 hoor.
En zo ken ik er nog wel een paar..
Echt nog genoeg mensen die IE5 draaien hoor, jammergenoeg.

Oh tuurlijk, er zijn er ook genoeg die Konqueror, Netscape, Firebird/Firefox en Opera draaien. Wat ik bedoel is dat de nicheplayers gewoon niet interessant zijn om als virusverspreidingsplatform te gebruiken, omdat je penetratie niet hoog genoeg ligt. Als hier al een exploit voor komt is het een bored scriptkiddie die graag administratiemiepjes pest, maar het is niet alsof het een world-economy bedreiging is.

=[edit]=

Let ook op dat MSHTML voor IE5.5 compleet anders is dan die van IE5 wat bij Win2k zat. 5.5 wordt nog wel gebruikt maar 5.0 of 5.01 nauwelijks tot niet.

[ Voor 11% gewijzigd door curry684 op 16-02-2004 23:39 ]

IFASS schreef op 12 februari 2004 @ 21:12:
* IFASS kijkt of hij nog ergens linux heeft liggen

anyway, ik ben benieuwd of dit echt is, zo ja, dat is dan niet goed voor MS, (ook al ben ik een open-source fan)

is dit niet echt.. tja, lollige grap

De grap is juist dat MS nu OpenSource is geworden (gedeeltelijk dan).
de code van Linux is toch ook gewoon openbaar? en Linux is zogenaamd veel veiliger dan Windows (ik heb nooit begrepen waarom dat logisch is bij open source), maar dan zou het nu toch ook geen probleem zijn als de code van windows openbaar is?

Verwijderd schreef op 16 februari 2004 @ 20:10:
Jaja...
[...]
Tipje van de ijsberg, of bluf? You name it.

Dit kwam ik tegen op slashdot (bericht van 14 december 1999) en dan vooral: The problem is C, and yet another overflow bug
There's an exploitable bug in the decompression code for RLE-compressed BMP files. (Yes, that code is inside the NT 4 kernel. Bad design decision.) It's easy to create a BMP file that will crash NT 4 every time it is opened. An attack could potentially be built on that, with enough work.
Dus na ruim 4 jaar wordt zijn vermoeden uiteindelijk bevestigd

Ter aanvulling nog, uit KL nieuwsbrief(spam edited out)

1. Computer Underground Pounds Windows Source Codes

Kaspersky Labs, a leading information security software developer warns
users about a new vulnerability in Internet Explorer (5.0, 5.5 and 6.0)
and Outlook Express 5.0. The new vulnerability allows cyber-criminals
launch malicious programs on breached computers using files in BMP
format.

The vulnerability was discovered by an unknown individual nicknamed
'GTA' and published on several security web sites. The author provided
an example of a possible attack and went on to comment that the proposed
scenario was based on a detailed analysis of the Windows source code
(details (http://www.kaspersky.com/news.html?id=4016180)).

"This report confirms our worst fears; the computer underground is
pouncing on the Windows source code in search of new attack methods. The
speed at which the first discovery appeared forces us to seriously
re-evaluate the immediate future of the Internet", comments Eugene
Kaspersky, Head of Anti-Virus Research at Kaspersky Labs, "From now on,
we can expect similar surprise any minute."

The lack of patches for Internet Explorer and Outlook Express make this
new vulnerability particularly dangerous. Only users who have Windows XP
with Service Pack 1 can relax for now: tests have demonstrated that this
configuration is immune.

At the same time, the new vulnerability poses a serious threat to all
Internet users. It turns out that virus
writers can create BMP files which load malicious programs onto victim
machines while users are looking at images. In fact, infection can occur
both while reading mail in Outlook and while surfing the web. 'At this
point in time, we have not detected any viruses that use this exotic new
method to attack computers. However, the chances of one appearing in the
near future are very real indeed', added Eugene Kaspersky.

MS had gewoon de ballen moeten hebben om eerlijk te zijn.
"Poses no danger" oid, nou kijk aan..

Verwijderd schreef op 17 februari 2004 @ 12:55:
[...]


De grap is juist dat MS nu OpenSource is geworden (gedeeltelijk dan).
de code van Linux is toch ook gewoon openbaar? en Linux is zogenaamd veel veiliger dan Windows (ik heb nooit begrepen waarom dat logisch is bij open source), maar dan zou het nu toch ook geen probleem zijn als de code van windows openbaar is?

Kijk, als je nou de rest van het topic had doorgelezen had je deze post van mij gelezen:

c70070540 schreef op 12 februari 2004 @ 21:16:
Ik snap dat probleem niet zo van de code die dan door anderen ingezien kan worden. Dat is bij Linux en ander OSS projecten toch hetzelfde?

Linux = opensource = Duizenden mensen bekijken en wijzigen de source code dus is er een lek dan komt er al heel snel een patch.

Microsoft windows = dichtgetimmerd achter slot en grendel alleen Bill en zijn werknemers mogen de source zien = Duizenden regels code die niet zo snel gecontroleerd kunnen worden dus: Veel meer bugs, beveiligingsgaten enz.
Als de source verspreid wordt (als het waar is) dan kunnen hackers sneller hacks, virussen enz maken dan Ms kan patchen.

ik volg je niet helemaal

leg eens uit wat je precies bedoelt dan, ik vind je verhaal erg vaag.

idd, en voortaan ff de edit knop gebruiken, dan kun je wat meer een geheel van je verhaal maken, je zegt nu dat er een programma is dat code van microsoft gebruikt (illegaal) ?

ik bedoel dat zonder de geheime API's waarvan gebruik word gemaakt in de source code van Microsoft, het niet mogelijk zal zijn om een gelijkwaardig product zo diep geintegreerd in het besturings systeem te ontwikkellen.

met name in mijn situatie EXPLORER.EXE, in de code die ik heb gezien is duidelijk dat ongedocumenteerde API's worden gebruikt (GEHEIM) die ik niet mag gebruiken, omdat als ik er gebruik van zou maken het duidelijk is dat ik de source code heb gezien. als programmeur mag ik die kennis niet gebruiken. het is direct duidelijk als in een besturingssysteem element zoals KERNEL32.DLL een secret feature die alleen microsoft goed kent word aangeroepen. Met andere woorden, alleen microsoft mag de secret features gebruiken tenzij microsoft toestemming geeft.

alle geheime API's in de source code van in dit geval explorer die nodig zijn om andere programma's te laten denken dat mijn programma (in dit geval een vervanger van explorer.exe en de window manager) dat mijn programma explorer is. het is nodig om andere programma's te laten denken dat mijn programma hetzelfde is als explorer omdat je bepaalde functionaliteit wegens compatibiliteit wel moet aanbieden omdat anders gebruikers van het vervangde product (in dit geval de vervanger voor explorer.exe en de windowmanager) merken dat er bepaalde zaken niet werken. bijvoorbeeld DDE communicatie met explorer.exe.

wat ik nu bijvoorbeeld zou moeten doen, is een DLL injecteren in een process, en de functie aanroepen in dat process naar een CORE element zoals kernel32.dll in ring 3 de functie descriptor adres vervangen naar een functie in de geinjecteerde DLL, waarin ik alle communicatie van een process met bijvoorbeeld kernel32 afluister, en kan beinvloeden en dan alsnog kernel32 aanroep.

ik weet niet of ik het wel uit kan leggen, het gaat er gewoon om, microsoft houd dingen voor mij verborgen, ik wil weten waarom, zonder kan ik geen echt vergelijkbaar product maken.

[ Voor 18% gewijzigd door Verwijderd op 06-03-2004 21:32 ]

duidelijk

Maar hoe willen ze erachterkomen dat je die geheime API's aanspreekt?

Maverick schreef op 06 maart 2004 @ 21:31:
duidelijk

Maar hoe willen ze erachterkomen dat je die geheime API's aanspreekt?

FUNCTIE IMPORT DESCRIPTOR. Bij het laden van een proces (executable) merkte ik dat de geheime API's op een andere manier worden gelinkt zodra RUNTIME begint. Dan worden ORDINALS gebruikt (getallen)

Neem bijvoorbeeld een goed gedocumenteerde functie:

GetAsyncKeyState(....)

In een executable staat duidelijk dat die executable zodra het process moet worden gestart moet worden gelinkt met een systeem core bestand die de functie GetAsyncKeyState geeft.

Maar stel nu dat ik zie dat microsoft die geheime functies slechts met een getal weergeeft tijdens linken zodra een proces opstart, dan is het niet mogelijk dat iemand ziet wat voor functies er zijn, terwijl microsoft aan de hand van het nummer de bijbehorende geheime functie kan identificeren.