Open Source patched IE-bug

[sparkiii]

<img src="http://www.userbase.be/forum/images/portal/virus.jpg" align="left">Wat duurt het toch lang moeten ze gedacht hebben... De bug dieMicrosoftwel bevestigde, maar nog niet had opgelost werd blijkbaar onder handen genomen door de Open Source gemeenschap met een patch als resultaat. Of Microsoft hier blij mee is laten we nog in het midden. Het ding blijkt volgens de eerste testen wel degelijk te werken hoewel een gebruiker een foutje in de code melde die een buffer overflow zou kunnen mogelijk maken. De makers beloofden hierop een snelle update. De wereld op zijn kop...

Bron: Openwares

[Blue-Sky]

Het bericht in kwestie is een opdoffer voor MS als dit de realiteit is, toch zou ik zeer voorzichtig zijn met het downloaden van een zogezegde patch om die als critical 5 ingeschatte fout tegen te gaan.
Dat zou dan ook eventueel een stommiteit kunnen zijn, analoog met het uitvoeren van een patch welke aangeboden wordt door een zogezegde patch via e-mail, welke van MS schijnt te komen.
Ik sta daar wantrouwig tegenover en wacht toch liever op de officiële patch van Microsoft, zouden de makers van die malafiede praktijken Phishing de goedgelovige gebruiker langs deze weg een pad in de korf zetten ('k zou zeggen waakzaamheid is geboden)

[Sub Zero]

Ik sta er niet onmiddellijk wantrouwig tegenover. De patch is gemaakt door de open-source gemeenschap. Dus de source van deze patch zal dan ook wel open source zijn zeker. En als dat het geval is, zal er zeker al iemand die patch hebben nagekeken en gezien hebben dat het goed was. Moest er kwaadaardige code in zitten, dan hadden we het al lang gehoord denk ik.

Cheers

[The Oddity]

Open Source vs Microsoft: 1 vs 0 LOOOL

Zalig, nu ik heb liever nen patch van de Open Source dan nen patch van Microsoft.. is al meer dan ééns gebleken dat de Open Source véél sneller reageerd dan MS en dat Open Source wel deglijk een pak degelijke programmeurs aan boord heeft... die wel degelijk de competitie met Microsoft aankunnen . ((op gebied van ontwikkeling eh))

Nu, ik denk dat ze in Redmond niet zullen kunnen lachen . Snel even de code analyseren en dan patentje op pakken.. zo kenne we ze.. en wie heeft het opgelost? :s

[ubremoved_539]

Het probleem patchen door in de assembler te gaan prutsen (de OpenSource oplossing), versus het effectief oplossen van het probleem in de source en hercompileren (de Microsoft oplossing)... dan weet ik toch welke oplossing ik wil.

Dit neemt niet weg dat Microsoft in eerste instantie schuldig is aan het creeeren van het probleem, maar ik kan me echt niet vinden in de OpenSource "oplossing".

[Blue-Sky]

Moest er kwaadaardige code in zitten, dan hadden we het al lang gehoord denk ik.

Ik geloof ook wel in de bekwaamheid van die open source specialisten, toch heb een raar gevoel bij 'n patch welke niet van Microsoft komt.
Zoals leden van de crew al eens de uitdrukking gebruikten " beetje gezond verstand gebruiken" bij een patch aangekondigt door een nep e-mail bericht met als afzender ...schijnbaar MS.

[Heatryn]

Gewoon nooit een patch of executable uitvoeren als je die via mail binnenkrijgt. Dan zou er normaal al een belletje moeten gaan rinkelen.

Heb een paar weken geleden ook zo eens een patch binnengekregen via mail en heb hem uiteraard niet geopend, heb hier een topic over geopend.

Als je hem er even op wilt nalezen, gebruik je maar de zoekfunctie.

[Blue-Sky]

Gewoon nooit een patch of executable uitvoeren als je die via mail binnenkrijgt. Dan zou er normaal al een belletje moeten gaan rinkelen.

In mijn antwoord van Vr Dec 19, 2003 3:07 pm had ik het niet echt over een e-mail bericht hé..., wel wou ik aanduiden dat deze patch door de open source mannen gemaakt, niet van MS komt en ik daar wantrouwig tegenover sta.

Nu, dit heeft mij verder tot nadenken aangezet...in de veronderstelling dat iemand zo'n patch zou uitvoeren afkomstig uit die open source.
Wat zou er kunnen gebeuren bij een latere legale automatische update van Microsoft, als bij de controle van je legale software van MS er een code vastgesteld wordt welke niet origineel MS is. (maar afkomstig van open source)
Eventueel deze automatische update van MS niet meer op de juiste plaats kan genesteld worden waar de update thuishoort?
Zou het niet kunnen dat in dat geval de update's afgebroken worden?... en in het slechtste geval je software niet meer ondersteund zou worden door MS.
Voorbeeld: Als je aan een recent TV toestel zelf manipulaties uitvoert (in het schema iets wijzigt) zal je ook geen garantie meer hebben op dat toestel.

[Gast]

Het probleem patchen door in de assembler te gaan prutsen (de OpenSource oplossing), versus het effectief oplossen van het probleem in de source en hercompileren (de Microsoft oplossing)... dan weet ik toch welke oplossing ik wil.

De open-source proggers kunnen niet anders, want MS geeft de broncode niet vrij, dus veel keuze hebben ze niet.

Ow en nog vergeten.

Bijna alle cracks zijn gemaakt door in assembler te gaan prutsen. En ik moet zeggen dat die over het algemeen wel super werken.

Dus waarom zou de assembler oplossing dan slecht zijn?

greetz,

Nob

[TeTsuo]

even een kleine reactie vanop tweakers.net

Volgens de heren van Heise.de zorgt deze patch echter voor meer beveiligingslekken dan dat er oplost worden. De buffer waar de url in gekopieerd wordt, is maar 256B groot. Als er vervolgens een url van meer dan 256 karakters gekopieerd wordt, ontstaat er een buffer overflow. Deze buffer overflow zorgt ervoor dat delen van de system stack worden overschreven. Als er dus code in de url wordt geplaatst, komt deze code op de stack terecht en wordt deze code uitgevoerd. Een url van 500 karakters overschrijft al cruciale onderdelen en zorgt ervoor dat Internet Explorer vastloopt. Openwares.org is ondertussen bezig met een nieuwe versie zonder de buffer overflow.

Toch nog even wachten vooraleer we deze instaleren...

[Blue-Sky]

even een kleine reactie vanop tweakers.net
Openwares.org is ondertussen bezig met een nieuwe versie zonder de buffer overflow.

Zoals ik voordien al schreef, toch nog even afwachten op de officiële patch van MS is waarschijnlijk de juiste beslissing.

[sparkiii]

To be or not to be...

Newly revised version has been completely rewritten and fully tested on all Windows platforms. All known bugs have been fixed.

Bron: Openwares

[ubremoved_539]

Het leek zo'n mooie stunt: een 'open-sourcepatch' voor Microsofts Internet Explorer. Het plakmiddel blijkt aan alle kanten te rammelen.

Het zichzelf als open-sourceclub manifesterende Openwares trok eind vorige week de oorspronkelijke oplossing voor een probleem in de webbladeraar van Microsoft terug. Al snel bleek dat het lapmiddel meer problemen veroorzaakte dan er werden opgelost.

Inmiddels is vol trots een nieuwe versie gepresenteerd, zónder fouten, zo belooft de beheerder van de site. Belangstellenden zijn echter nogal sceptisch geworden, zo blijkt uit postings op de site. "Tuurlijk, jullie hebben je incompetentie al bewezen. Jullie denken toch niet echt dat we stom genoeg zijn om hier weer in te trappen", aldus een van de critici.

Een ander meldt dat er helemaal geen sprake is van open-source, omdat de softwarepleister niet gepubliceerd is onder een zogeheten gpl (general public license). De Britse nieuwssite The Register heeft inmiddels zijn lezers opgeroepen meer informatie te geven over de 'mysterieuze' site.

In ieder geval op één punt is Openwares niet tegemoet gekomen aan de kritiek. De patch brengt een verandering aan in het register van Windows. Een bepaalde sleutel die vaak voor spyware wordt gebruikt, wordt hiermee geactiveerd.

Na installatie van de patch zoekt de software hierna automatisch contact met Openwares. De programmeurs beloven dat deze functie - LiveUpdate.exe genaamd - na installatie ongedaan kan worden gemaakt, maar lezers hebben ook daar hun twijfels over.

Bron: WebWereld