Security waarschuwing voor Symantec's online Security Check

Status
Niet open voor verdere reacties.
Geplaatst door Bennie
Nooit gepubliceerd? Dus Symantec heeft haar gebruikers helemaal niet gewaarschuwd, zoals WebWereld zegt? :8-0: :8-0: :8-0:

Groetjes,
Bennie
Klik om te vergroten...

Bennie, je begrijpt het niet.
Symantec wist het niet, dus dan valt er ook weinig aan te waarschuwen.
Het bedrijf Secunia heeft Symantec nooit gewaarschuwd voordat ze dit bericht hadden gepubliceerd, en ze hebben Symantec ook niet gewaarschuwd nadat ze het artikel hadden gepubliceerd.
Ze kwamen erachter door het emailtje dat ik naar Symantec stuurde en hebben gelijk toen actie ondernomen.
 
Laatst bewerkt:
Saldos, je leest weer niet goed. Ik citeer WebWereld:

"Symantec heeft gebruikers dinsdag gewaarschuwd voor het gebruik van de online virusscanner. De scanner installeerde een ActiveX-script met een lek."

Wat staat daar nou? Nu weet Symantec het wel, maar er is nog steeds geen waarschuwing op hun website. Vinden ze dat dan niet belangrijk!?

@Ntneusink:

Dat is helemaal niet hun eigen mailinglist:confused: maar gewoon een website over veiligheids-issues.

Lees ook vooral de reacties op het bericht van Symantec:
http://www.securityfocus.com/archive/1/326531/2003-06-22/2003-06-28/2

Overzicht:
http://www.securityfocus.com/archive/1/326513/2003-06-22/2003-06-28/1

De door Symantec geboden oplossing, blijkt dan helemaal geen oplossing te zijn.:8-0: :8-0: :8-0:

LOL!

Groetjes,
Bennie
 
Ik lees hier dat BugTraq een open mailinglist is in handen van Aleph One.

Groetjes,
Bennie
 
Geplaatst door Bennie
Ik lees hier dat BugTraq een open mailinglist is in handen van Aleph One.

Groetjes,
Bennie
Klik om te vergroten...

Dat is ook altijd wel waar geweest maar de huidige moderator van de lijst Dave Ahmad (of dat nou Aleph1 is weet ik niet) werkt bij Symantec. Hoeveel symantec zich met de lijst bemoeit weet ik niet...

http://www.theregister.co.uk/content/55/26315.html
While Symantec has stated that it will not exert influence on BugTraq, which it now owns, many list members find that assurance hard to trust.
Klik om te vergroten...

zelf volg ik bugtraq de laatste tijd niet meer zo intensief.
 
Geplaatst door Bennie
Nu weet Symantec het wel, maar er is nog steeds geen waarschuwing op hun website. Vinden ze dat dan niet belangrijk!?
Klik om te vergroten...

Symantec heeft tegen me gezegd dat ze "misschien" binnenkort een artikel publiceren erover.
Of ze dat echt gaan doen weet ik niet omdat het bestand van de online check al vervangen is.

En trouwens die site van securityfocus.com is inderdaad gelieerd aan Symantec omdat die site van een paar mensen is die bij symantec werken.
 
Ik blijf het merkwaardig vinden dat ze zoiets niet gewoon vermelden op hun eigen site. Het bestand mag dan misschien vervangen zijn, maar dat weten de gebruikers niet (die dus nog steeds die oude activeX-control op hun schijf hebben). Daar komt bij dat uit de reacties op Bugtraq blijkt dat dat "nieuwe bestand" dus lood om oud ijzer is. Mysterie!

Groetjes,
Bennie
 
Geplaatst door Bennie
Ik blijf het merkwaardig vinden dat ze zoiets niet gewoon vermelden op hun eigen site. Het bestand mag dan misschien vervangen zijn, maar dat weten de gebruikers niet (die dus nog steeds die oude activeX-control op hun schijf hebben). Daar komt bij dat uit de reacties op Bugtraq blijkt dat dat "nieuwe bestand" dus lood om oud ijzer is. Mysterie!
Groetjes,
Bennie
Klik om te vergroten...

Heren, ik heb een verassing voor jullie:

Deze artikelen zijn 5 minuten geleden gepubliceerd:

http://service1.symantec.com/SUPPORT/analyzer.nsf/docid/2003062412233347?Open&src=w

http://www-cu.symantec.com/avcenter/security/Content/2003.06.25.html

En ze hebben een verwijder tool erbij ook:

http://www-cu.symantec.com/avcenter/security/Content/2003.06.25a.html
 
Ja, ik zag ze gisteravond staan ja. Het lijkt erop dat ik mijn woorden gedeeltelijk terug moet nemen :)
 
Geplaatst door nteusink
Ja, ik zag ze gisteravond staan ja. Het lijkt erop dat ik mijn woorden gedeeltelijk terug moet nemen :)
Klik om te vergroten...

Bedoel je deze woorden?

Geplaatst door nteusink
Bij symantec zijn ze gewoon te koppig om hun eigen fouten onder ogen te zien:
Klik om te vergroten...
 
Die koppigheid denk ik niet:D

"Does this ActiveX control bear a digital signature? If so, the problem it
causes does not go away simply because there is a new version available from
Symantec. An attacker in possession of the bad code with its attached digital
signature can fool a victim whose computer does not currently have the
vulnerable code installed into trusting the ActiveX control due to the fact
that Symantec's digital signature will validate against the trusted root CA
certificate present by default in Windows -- the existence of the digital
signature on the bad code effectively transfers ownership of millions of other
people's computers to anyone who should become interested in attacking those
computers; it is extremely important that Symantec take further action above
and beyond compiling a new version of the affected code because of the ongoing
threat posed for the duration of the validity of the digital signature."

Bron

Groetjes,
Bennie
 
Geplaatst door Bennie
Die koppigheid denk ik niet:D

"Does this ActiveX control bear a digital signature? If so, the problem it
causes does not go away simply because there is a new version available from
Symantec. (...)
Groetjes,
Bennie
Klik om te vergroten...

Daar zit inderdaad wel wat in. Kans dat er binnenkort weer een microsoft hotfix uitkomt die certificaten intrekt. (Dat hebben ze al eerder gedaan toen er microsoft certificaten uitgelekt waren bij verisign)
 
Geplaatst door nteusink


Zoals ik zei gedeeltelijk, ik kan zo nog een paar symantec incidentjes opnoemen. Waaronder een die slechts gedeeltelijk gefixed is. Nog even afwachten of ze deze hier ook neerzetten:

http://www.securityfocus.com/bid
Klik om te vergroten...

Over welke Symantec incidentjes hebben we het?
 
Laatst bewerkt:
Geplaatst door Bennie
Die koppigheid denk ik niet:D

"Does this ActiveX control bear a digital signature? If so, the problem it
causes does not go away simply because there is a new version available from
Symantec. An attacker in possession of the bad code with its attached digital
signature can fool a victim whose computer does not currently have the
vulnerable code installed into trusting the ActiveX control due to the fact
that Symantec's digital signature will validate against the trusted root CA
certificate present by default in Windows -- the existence of the digital
signature on the bad code effectively transfers ownership of millions of other
people's computers to anyone who should become interested in attacking those
computers; it is extremely important that Symantec take further action above
and beyond compiling a new version of the affected code because of the ongoing
threat posed for the duration of the validity of the digital signature."

Bron

Groetjes,
Bennie
Klik om te vergroten...

Dit geld voor alle software en heeft niets met Symantec te maken.
Elk software kan met de digital signature van (bijvoorbeeld) Microsoft geinstalleerd worden en zo systemen voor de gek houden en de systemen besmetten met een virus of trojan.
Dat is al lang bekend.
 
Geplaatst door saldos
Dit geld voor alle software en heeft niets met Symantec te maken.
Elk software kan met de digital signature van (bijvoorbeeld) Microsoft geinstalleerd worden en zo systemen voor de gek houden en de systemen besmetten met een virus of trojan.
Dat is al lang bekend.
Klik om te vergroten...

Om symantec zelf te quoten:

Aren't ActiveX controls dangerous and inherently unsafe?
Yes and No. ActiveX controls are only as safe as the company that created them. If a control has a digital signature, it means that the control has not been tampered with and is guaranteed to be exactly the same as when the software publisher created it. The ActiveX controls we use are digitally signed by Symantec Corporation. When you see the Security Warning dialog box, check for the statement "Publisher authenticity verified by VeriSign". This statement guarantees that the control has not been tampered with since being signed by Symantec.

Er is nu dus een activex control in omloop dat onveilig is (ivm de bufferoverflow) maar toch gesigned door symantec.

Over welke Symantec incidentjes hebben we het?
Klik om te vergroten...

Een fout op een symantec website die nog steeds niet helemaal gepatched is. verdere details hou ik voor me. Symantec weet er in iedergeval vanaf.
 
Tuurlijk geldt dit voor elke software. Maar daar gaat het ook helemaal niet om. Waar het nu om gaat is dat Symantec pretendeert een oplossing aan te bieden - door simpelweg maar een nieuw bestand te plaatsen - terwijl dat het probleem dus helemaal niet oplost. Het gaat dus om een schijnoplossing.

Als je hele artikel van Jason Coombs hebt gelezen, staat dat er ook:

"Symantec must have known in advance of this discovery and disclosure that
ActiveX was inherently insecure and that the whole system of digital
signatures and third-party PKI advanced by Microsoft was flawed beyond repair,
yet Symantec chose to put the computing public at risk anyway -- how can
Symantec claim that disclosure is a serious threat that should be discouraged
while Symantec knowingly engages in business behavior that the security
community knows to be unsafe? If Symantec's products were designed with
security as the highest priority, they would be open source and they would
avoid using any technique such as ActiveX controls and digitally signed code
that has been proven to be impossible to manage securely."

Symantec blijft evenwel vasthouden aan de "technique such as ActiveX controls and digitally signed code
that has been proven to be impossible to manage securely." Domweg omdat Symantec van mening is dat:

"Such disclosure should be discouraged."

En zo zijn we dus weer bij de koppigheid van Symantec aangeland:D

Groetjes,
Bennie
 
Geplaatst door nteusink
Er is nu dus een activex control in omloop dat onveilig is (ivm de bufferoverflow) maar toch gesigned door symantec
Klik om te vergroten...

Dat probleem is inmiddels opgelost met een veilige active x en een removal tool. Dus laten we daar verder geen woorden meer aan vuil maken.





Geplaatst door nteusink
Een fout op een symantec website die nog steeds niet helemaal gepatched is. verdere details hou ik voor me. Symantec weet er in iedergeval vanaf.
Klik om te vergroten...

Als je A zegt, dan moet je ook B zeggen vind ik, want dit vind ik wel vaag.
 
Geplaatst door saldos


Dat probleem is inmiddels opgelost met een veilige active x en een removal tool. Dus laten we daar verder geen woorden meer aan vuil maken.
Klik om te vergroten...


"If so, the problem it causes does not go away simply because there is a new version available from
Symantec." meer woorden wil ik er ook niet vuil aan maken.

Als je A zegt, dan moet je ook B zeggen vind ik, want dit vind ik wel vaag.
Klik om te vergroten...

Symantec weet van het probleem, het probleem beinvloedt de beveiliging van klanten niet direct, maar de beveiliging van symantec zelf. De details vrijgeven lijkt me dus onnodig.
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan