---

Så er det atter tiden for en alvorlig sikkerhedsbrist i IE.

http://www.theregister.com/2004/06/10/ms_inpatched_ie_flaw/

Nyheden er egentlig et par dage gammel, men det har ikke været nævnt
her i gruppen - og fejlen er faktisk så alvorlig at jeg vil anbefale
helt at undlade at anvende IE til den er rettet.

El Reg skriver ganske vist at det er nok at disable Active Scripting i
IE, men så vidt jeg kan se (ved simpel efterprøvning med den
(forhåbentlig!) uskadelige udgave[0]), fungerer exploiten alligevel.


[0]: Jeg havde nok ikke testet selv med den, hvis El Reg ikke havde
skrevet som de gjorde. Curses. Nu skal jeg til det igen...

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

På det digitale natbord: Applied Cryptography, Menezes et al. 1996-2001

---

Niels Callesøe wrote:
> Så er det atter tiden for en alvorlig sikkerhedsbrist i IE.
>
[snip]

Ingen tvinger dig til at bruge IE - ok, måske din homebanking. Men din
bank vil næppe lave angreb på din browser....
Altså: Brug IE til homebanking (hvis nødvendigt), og brug så en af de
ordenlige browsere til surf.

Mvh
Lars, der selv anvender Firefox

---

Lars M wrote:
>
> Ingen tvinger dig til at bruge IE - ok, måske din homebanking.

Det problem kan man løse ved at skifte til en anden bank.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

"Lars M" <nospam@thanx.com> skrev i en meddelelse
news:40cae50e$0$160$edfadb0f@dtext01.news.tele.dk...
> Niels Callesøe wrote:
> > Så er det atter tiden for en alvorlig sikkerhedsbrist i IE.

> Altså: brug så en af de ordenlige browsere til surf.
>
> Mvh
> Lars, der selv anvender Firefox

Tjah.. http://www.computerworld.dk/default.asp?Mode=2&ArticleID=24101

Mvh John


---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.706 / Virus Database: 462 - Release Date: 14-06-04

---

John wrote:
> "Lars M" <nospam@thanx.com> skrev i en meddelelse
> news:40cae50e$0$160$edfadb0f@dtext01.news.tele.dk...
>>Mvh
>>Lars, der selv anvender Firefox
>
>
> Tjah.. http://www.computerworld.dk/default.asp?Mode=2&ArticleID=24101
>
Man kan ikke være heldig hver gang...
Desuden har jeg ikke Citibank

.... desuden bruger jeg ikke en warez-linksamling (eller spam-mail) for
at gå på homebanking.

Mvh
Lars

---

On Tue, 15 Jun 2004 13:17:18 +0200, John wrote:

>
> Tjah.. http://www.computerworld.dk/default.asp?Mode=2&ArticleID=24101
>
Hvis du læser artiklen, vil du kunne konstatere ved selvsyn, at det kun
vedrører Mozilla/Firefox under Windows. Det kunne tyde på, at det er en
fejl, der relaterer sig til Windows, og altså ikke er en
applikationsspecifik fejl.

--
Hilsen/Regards
Michael Rasmussen

Get my public GnuPG keys:
mir <at> datanom <dot> net
http://search.keyserver.net:11371/pks/lookup?op=get&search=0xE501F51C
mir <at> miras <dot> org
http://search.keyserver.net:11371/pks/lookup?op=get&search=0xE3E80917
--------------------------------------------------------------
Don't use conditional branches as a substitute for a logical expression.
- The Elements of Programming Style (Kernighan & Plaugher)

---

Niels Callesøe wrote:
> Så er det atter tiden for en alvorlig sikkerhedsbrist i IE.
>
> http://www.theregister.com/2004/06/10/ms_inpatched_ie_flaw/

Jeg har set det, og i forbindelse med nogle andre fejl[1][2], har jeg
taget min holdning til IE og dens security zones op til genovervejelse.
Jeg har tidligere udtrykt, at hvis man undgik de mest problematiske
aspekter i IE ved at forbyde dem i sikkerhedszonen, var man
tilstraekkeligt beskyttet fra et almindeligt forbruger synspunkt.

Jeg haelder efterhaanden til en haard anbefaling om at man ikke benytter
IE paa sites man ikke selv kontrollerer, medmindre man har et teknisk
kendskab til hvordan IE er designet, og man explicit kan formulere under
hvilke omstaendigheder det er passende at bruge et saa komplext og
hullet stykke vaerktoej. Dette ville ogsaa betyde, at Outlook Express er
uegent til at modtage post fra vilkaarlige personer.

Kommentarer fra folk med IE kompetencer?


"There is always away around the mighty Internet Explorer's so-
called 'Security Zone's if not today, then tomorrow." -- http-equiv


[1] http://marc.theaimsgroup.com/?l=bugtraq&m=108628084718957&w=2
[2] http://marc.theaimsgroup.com/?l=bugtraq&m=108662375531940&w=2
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

"Alex Holst" <a@mongers.org> skrev i en meddelelse
news:40cb2be1$0$182$edfadb0f@dtext02.news.tele.dk...
> hullet stykke vaerktoej. Dette ville ogsaa betyde, at Outlook Express er
> uegent til at modtage post fra vilkaarlige personer.

Hvorfor har dette betydning for Outlook Express? Hvis man, som jeg, har
slået HTML fra, burde der da ikke være nogen ricici? Eller har jeg overset
noget?

Mvh
Anders

---

Peter Pan wrote:
> "Alex Holst" <a@mongers.org> skrev i en meddelelse
> news:40cb2be1$0$182$edfadb0f@dtext02.news.tele.dk...
>
>>hullet stykke vaerktoej. Dette ville ogsaa betyde, at Outlook Express er
>>uegent til at modtage post fra vilkaarlige personer.
>
>
> Hvorfor har dette betydning for Outlook Express? Hvis man, som jeg, har
> slået HTML fra, burde der da ikke være nogen ricici? Eller har jeg overset
> noget?

Hvordan har du "slaaet HTML fra"?

Outlook Express kan saettes til ikke at sende HTML mail, men alle nye
beskeder bliver behandlet som defineret i den paagaelende IE security zone.

De fleste fejl der kan udnyttes gennem IE (ved at lokke brugeren ind paa
en webside) kan udnyttes i OE (ved at sende brugeren mail).

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk

---

Alex Holst skrev:

> Hvordan har du "slaaet HTML fra"?

Du kan stille de nyeste versioner af OE til, at alle mails skal
læses som almindelig tekst. Hvis den er stillet til det, har
jeg svært ved at se, hvordan man kan lokkes ind på en webside
automatisk. Den eneste måde det kan ske på, må i mine øjne være,
at lokke brugeren til at klikke på et link, men så er brugeren
da næsten også selv ude om det?

--
Hilsen
Madsen

---

"Thomas G. Madsen" wrote:
>
> Du kan stille de nyeste versioner af OE til, at alle mails skal
> læses som almindelig tekst.

Hvordan behandler den så emails, der kun indeholder
html og ingen text/plain?

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont <abuse@wfbtxutyalwrmianeanaimlqcc.skrammel.yaboo.dk> writes:

> "Thomas G. Madsen" wrote:
> >
> > Du kan stille de nyeste versioner af OE til, at alle mails skal
> > læses som almindelig tekst.
>
> Hvordan behandler den så emails, der kun indeholder
> html og ingen text/plain?

Sender OE ikke altid sine HTML-mails som både text/html og text/plain?
I så fald går den vel bare ud fra, resten af verden også bruger
Microsoft-produkter? (Jeg checkede lige - Outlook 2000 gør i hvert
fald)

> --
> Kasper Dupont -- der bruger for meget tid paa usenet.

--
Ole Hansen

---

Ole Hansen skrev:

>Sender OE ikke altid sine HTML-mails som både text/html og text/plain?

Nej, ikke hvis den er sat rigtigt op.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

---

Kasper Dupont skrev:

> Hvordan behandler den så emails, der kun indeholder
> html og ingen text/plain?

Hmm, det er et godt spørgsmål.
Hver eneste HTML-mail jeg hidtil har modtaget i de nyeste versioner
af OE, bliver vist som almindelig tekst. Selve HTML-delen ligger som
en vedhæftet fil, som man skal åbne for at kunne se, på samme måde
som man skal åbne en hvilken som helst anden vedhæftet fil.

Hvis mailen kun indeholder HTML og ingen almindelig tekst, går jeg
ud fra, at mailen vil synes tom og det eneste man kan se, er en
vedhæftet HTML-fil, men jeg er ikke sikker. Jeg har været de fleste
HTML-mails igennem i min indbakke og kan ikke finde en, som ikke har
en almindelig tekst-del.

--
Hilsen
Madsen

---

"Thomas G. Madsen" wrote:
>
> Hvis mailen kun indeholder HTML og ingen almindelig tekst, går jeg
> ud fra, at mailen vil synes tom og det eneste man kan se, er en
> vedhæftet HTML-fil, men jeg er ikke sikker. Jeg har været de fleste
> HTML-mails igennem i min indbakke og kan ikke finde en, som ikke har
> en almindelig tekst-del.

Jeg tænker altså ikke på multipart beskeder, men på mails
hvor selve mailens content-type er text/html. (Har du
aldrig set sådan en? Du må gerne få noget af mit spam hvis
du er interesseret

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont skrev:

> Jeg tænker altså ikke på multipart beskeder, men på mails
> hvor selve mailens content-type er text/html. (Har du
> aldrig set sådan en?

Jeg er ikke sikker på, om jeg har set sådan en mail. Du må meget
gerne videresende sådan en til mig, for så kan vi da se, hvordan
OE håndterer den (min mail-adresse er gyldig).

> Du må gerne få noget af mit spam hvis du er interesseret

En enkelt spam-mail er nok. :)

--
Hilsen
Madsen

---

"Thomas G. Madsen" wrote:
>
> Jeg er ikke sikker på, om jeg har set sådan en mail. Du må meget
> gerne videresende sådan en til mig, for så kan vi da se, hvordan
> OE håndterer den (min mail-adresse er gyldig).

OK. Jeg har sendt det mindste eksempel jeg kunne finde.
Der står katanabill@qq163.net som afsender adresse.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont skrev:

> Jeg har sendt det mindste eksempel jeg kunne finde.
> Der står katanabill@qq163.net som afsender adresse.

Ok og tak.
Med almindelig tekst koblet til, ser det sådan her ud:
<http://home18.inet.tele.dk/madsen/oe/spam/almindelig_tekst.png>

Med almindelig tekst koblet fra, ser det sådan her ud:
<http://home18.inet.tele.dk/madsen/oe/spam/html.png>

Det tyder på, at den forsøger at hente et billede på adressen:
<http://bogseoul.com/partner/email/email2/1.jpg> i HTML-mailen
og da det billede åbenbart ikke eksisterer, ender det i et rødt
kryds i indholdsruden efter nogle sekunders tid.

Næste version af OE (den der følger med til SP2 til WinXP) vil
temmelig sikkert have en funktion ved navn: 'Block images and
other external content in HTML e-mail', som vil være koblet
til som standard. Med den funktion koblet til, vil den ikke
forsøge at hente billeder fra en ekstern adresse i en HTML-mail,
men vil blot vise dem som et rødt kryds og bede brugeren om at
klikke i et felt, hvis han/hun ønsker at hente billederne som
her: <http://home18.inet.tele.dk/madsen/oe/spam/block.png>.

--
Hilsen
Madsen

---

Thomas G. Madsen skrev:

> Næste version af OE (den der følger med til SP2 til WinXP)

Læs mere her:

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/sp2email.mspx

"Changes to Functionality in Microsoft Windows XP Service Pack 2
Part 4: E-mail Handling Technologies"

"The plain text mode feature of Outlook Express provides users with the
option to render incoming mail messages in plain text instead of HTML.
When Outlook Express is running in plain text mode, the rich edit
control is used instead of the MSHTML control. You avoid some security
issues that result from the use of MSHTML by using the rich edit
control."

Rich edit control bliver også anvendt af notepad, så indtil der udarbej-
des en ny kontrol med bredere funktionalitet, skal man nok forvente
samme begrænsede funktionalitet som i notepad.

Jeg synes at kunne huske at have læst, i en MS-medarbejders blog, at der
bliver arbejdet på problemerne som er nævnt på siden så de er rettet
førend WinXP SP 2 slippes løs.

Jeg har ikke fået læst hele dokumentationen til RC2 endnu, ejheller do-
kumentationen fra MSDN, så jeg ved ikke 100% hvordan OE bliver påvirket
af ikke at anvende komponenter fra IE (mit umiddelbare gæt, er at funk-
tionaliteten med sikkerhedszoner forsvinder, da den funktionalitet er
inbygget i IE og blot "genanvendes" i OE).

> vil temmelig sikkert have en funktion ved navn: 'Block images and
> other external content in HTML e-mail',

Jep:

"Don't Download External HTML Content

Detailed description

This Outlook Express feature helps users to avoid getting repeated spam
mailings by preventing the user from unknowingly validating their e-mail
address to spam originators. Businesses that use spam as a marketing
technique typically include references to images that reside on their
Web servers inside the e-mail message. Some of these spam e-mail
messages contain single pixel images that are not visible to the
recipient of the e-mail so that the recipient will not be aware that
there is any content that is malicious. When the user opened an e-mail
that contains the image, previous versions of Outlook Express
automatically contacted the Web server to download and display the
images. When the request for the image was made to the Web server, it
could ascertain that a spam e-mail message was received by an active e-
mail account, which validated the e-mail address in the spam
originator's mailing list. Now, when the Don't Download External HTML
Content feature is enabled, the default behavior of Outlook Express
changes so that it does not contact the Web server to download external
content, which prevents the verification of the e-mail address with the
spam originator. This download behavior is configurable and is enabled
by default when you install Windows XP Service Pack 2.

This feature also minimizes a common problem that is experienced by
people whose computers use dial-up network connections. Prior to
implementing this feature, if a user downloaded their mail messages and
then disconnected their network connection, when they attempted to view
an HTML messages that included pictures or other external Internet
content, their modem would automatically start to dial out to download
the external content."

Andet relevant fra dokumentet:

"AES API Integration

Description

Outlook Express now integrates a new set of application programming
interfaces (APIs), called the Attachment Execution Service (AES), to
check e-mail attachments. This allows applications to eliminate custom
code that performs similar safety checks and instead rely on this
centrally-managed API set. The use of AES provides a consistent user
experience across all applications that check the security of an
attachment.

Why is this change important?

It is important to have a more unified approach for attachment security
across all Windows applications. This helps to ensure that users get a
consistent experience with regard to the security check performed on
attachments."

---

Peder Vendelbo Mikkelsen skrev:

> Rich edit control bliver også anvendt af notepad,

Nix, den bliver brugt af Wordpad, ifølge Chris Walker (Raymond Chen ret-
ter ikke på påstanden, så den er sikkert korrekt):

http://weblogs.asp.net/oldnewthing/archive/2004/05/25/141253.aspx#141694

---

"Thomas G. Madsen" wrote:
>
> Med almindelig tekst koblet til, ser det sådan her ud:
> <http://home18.inet.tele.dk/madsen/oe/spam/almindelig_tekst.png>

Det ser ud som om den bliver håndteret korrekt,
og ingenting bliver vist.

>
> Næste version af OE (den der følger med til SP2 til WinXP) vil
> temmelig sikkert have en funktion ved navn: 'Block images and
> other external content in HTML e-mail', som vil være koblet
> til som standard.

Nu var det ikke kun billederne vi diskuterede, men alle
de andre ting man kan gøre ved at udnytte fejl i HTML
håndteringen.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use kasperd@kd.lir.dk and abuse@kd.lir.dk
I'd rather be a hammer than a nail.

---

Kasper Dupont skrev:

> Nu var det ikke kun billederne vi diskuterede, men alle
> de andre ting man kan gøre ved at udnytte fejl i HTML
> håndteringen.

Det ved jeg, men det med kald til eksterne billeder er nok det
der irriterer flest og det man oftest støder på i forbindelse
med OE og spammails, hvis 'Read all message in plain text' er
koblet fra og indholdsruden koblet til, så jeg ville bare lige
nævne det overfor dem det nu end måtte interessere.

--
Hilsen
Madsen

---

Peder Vendelbo Mikkelsen skrev:

> Jeg synes at kunne huske at have læst, i en MS-medarbejders
> blog, at der bliver arbejdet på problemerne som er nævnt på
> siden så de er rettet førend WinXP SP 2 slippes løs.

Det er muligt, men mulighederne i OE SP2 RC1 og den nye RC2
er i hvert tilfælde ret begrænsede, når den er stillet til
'Read all messages in plain text' og det en hel del mere end
i de tidligere versioner med samme funktion.
(Både OE 6.00.2800.1106 eller OE SP1 og OE 6.00.2800.1123, har
funktionen).

Et eksempel er OE-Quotefix. Animerede smileys og farvning af de
forskellige citatniveauer virker ikke, når OE bruger Rich edit
control i stedet for MSHTML (altså, når OE SP2 er stillet til
'Read all messages in plain text').

--
Hilsen
Madsen