Oude bugs blijven bijten

Fouten uit het verleden zijn moeilijk te vergeten

De Olympische Spelen in China hadden ook last van een softwarefout.

De Olympische Spelen in China hadden ook last van een softwarefout.

Oude bugs in software hebben nog een flinke nasleep. Soms worden oude fouten simpelweg niet hersteld, soms gebeurt het afdekken van gaten niet goed, en ook blijken ze in meer software te zitten. Zo komt het nu gedichte gat in de PDF Reader van Adobe voort uit een ander lek dat in mei al is ontdekt.

Programmeerfouten en -slordigheidjes blijven software plagen en daarmee de beveiliging in gevaar brengen. Ondanks vorderingen voor zowel betere afscherming als veiliger programmeren, blijven er veel bugs en gaten opduiken. Die nieuwe kwetsbaarheden zijn echter lang niet altijd nieuwe gaten, ook niet in nieuwe software.

Een actueel voorbeeld is het nu gedichte lek in de PDF Reader van Adobe. Dat lek komt voort uit een ander gat, dat in mei dit jaar al is ontdekt en onthuld. Dat is een gat in de de Reader-tegenhanger Foxit Reader van Foxit Software. Die gratis software is, in inmiddels oudere versies, kwetsbaar voor een buffer overflow.

Bijblijven dus

Beveiligingsexpert Damián Frizza van beveiligingsleverancier Core Security onderzocht dat oudere gat in de Foxit-applicatie. Adobe Reader heeft een andere beveiligingscontrole ingebouwd, die misbruik van dit PDF-gat kan voorkomen.

Dat blijkt goed te werken, maar Frizza ontdekte dat de manier waarop dat gebeurt weer een ander gat oplevert. Er blijkt een tweede buffer overflow plaats te vinden in de Adobe-software, die dan wel te misbruiken is om code naar keuze uit te voeren op een doel-pc.

De leveranciers, van beide PDF-applicaties, hebben al wel patches uitgebracht. De oplossing lijkt dus simpel: installeer altijd de nieuwste versies van programmatuur. Oh ja, en zorg dat je bijblijft. Dus installeer patches, altijd meteen.

Patches testen

Tenminste, zo snel mogelijk. Je moet software, dus nieuwe versies maar natuurlijk ook patches, wel eerst testen. De ene applicatie kan de andere immers bijten. Dus moet je soms juist bij een oudere versie blijven. Als je al de tijd hebt, of hebt genomen of krijgt, om goed te testen.

Daarnaast is er nog een probleem: het standaard-systeemimage. Veel beheerders gebruiken een image van een standaardinstallatie voor hun computerconfiguratie; besturingssysteem, applicaties en instellingen. Zo'n vast image is dus tegenwoordig eigenlijk niet meer vast. Óf het loopt per definitie achter de feiten aan, de patches dus. Images vallen wel te 'injecteren' met updates, maar daarvoor is geavanceerdere beheersoftware nodig. En het vooraf testen blijft ook nodig.

Windows 3.0

Een bug uit Windows 3 is begin 2006 nog opgedoken in Vista.

Een bug uit Windows 3 is begin 2006 nog opgedoken in Vista.

Gebruik van de nieuwste software geeft echter geen garanties. Daarin kunnen immers ook bugs zitten en dat hoeven niet eens nieuwe te zijn. Oude gaten zijn soms nog niet ontdekt en dus ook niet gepatched. Nu kwaadwillenden zich meer en meer concentreren op applicaties, waarvan er immers veel zijn, vlot het met de zoektocht naar fouten.

Een erg opvallende uitschieter qua ouderdom van het gat is er eentje van een tijdje terug in Windows. Het zogeheten WMF-gat is in januari 2006 in allerijl door Microsoft gedicht. De oorzaak zat in de grafische weergave-engine van Windows en raakte ook de toen nog aanstaande nieuwe versie Vista. Het gat zelf echter stamt nog uit het Windows 3.0-tijdperk.

Het ging weliswaar om achterhaalde functionaliteit, maar de code daarvoor was nog wel aanwezig in de hedendaagse programmatuur. En eenmaal ontdekt, werd dit oude gat snel benut. Het ontdekken van bugs is tegenwoordig een lucratieve business en zoals elke moderne onderneming gaan ook de crackers flexibel om met nieuwe kansen.

Snel en goed reageren

Er is dus nog flink wat patchwerk voor de boeg. Als leveranciers meteen en adequaat reageren. Het is vaak genoeg gebeurd dat een softwareproducent niet direct met een patch kwam. Dit kan diverse redenen hebben. Bijvoorbeeld doordat de leverancier de noodzaak niet inziet, of de ernst van het gat (misbruik daarvan) laag inschat, of niet de mankracht heeft om alles bij te houden, of simpelweg omdat het buiten de reguliere patch-cyclus valt.

Laatstgenoemde tijdsfactor is niet alleen een fijne regelmaat voor de leverancier, maar ook voor de beheerder. Het lijkt tegenwoordig echter vooral de cracker te zijn, die 'geniet' van vaste updateritmes. Die kwaadwillende weet wanneer hij zijn slag moet slaan, en soms ook of zijn exploitcode nog een tijdje ongemoeid verder kan 'exploiteren'.

Dit staat bovendien los van de vraag of zijn aanstaande slachtoffers netjes patchen. Dat gebeurt lang niet altijd, maar wel patchen betekent niet automatisch goed beschermd zijn. Niet patchen zorgt voor kwetsbaarheid, maar soms zijn er geen patches - of nog niet. Daardoor kan kwaadaardige code voor oudere gaten langer doorgaan. Beschermende maatregelen zijn dan ook eigenlijk verplichte kost naast patchen. Vooral omdat patchen niet altijd mogelijk of wenselijk is.