Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 122, views: 31.068 •
Submitter: jelle810

Microsoft komt vrijdag met een tussentijdse security-update voor een lek in Internet Explorer. Bovendien is nu al een work-around beschikbaar. Het lek maakt het uitvoeren van malafide code mogelijk als een besmette website wordt bezocht.

Microsoft Internet Explorer 9 logo (90 pix)Dat er vrijdag een tussentijdse update wordt uitgerold, geeft aan dat Microsoft het lek als ernstig beschouwt en dat het actief wordt misbruikt; normaliter wacht Microsoft met updates tot update tuesday, de tweede dinsdag van de maand. Dat is om ict-afdelingen niet onnodig te belasten, redeneert Microsoft.

Nu komt er dus toch een tussentijdse update. Bovendien kan er nu al een work-around worden geïnstalleerd, die het probleem moet verhelpen. "Hoewel de meerderheid van de gebruikers geen last heeft van dit probleem, komen we nu al met een tijdelijke oplossing", laat Microsoft weten. Microsoft raadt gebruikers echter aan om ook als deze hotfix is geïnstalleerd, de update vrijdag toch te installeren.

Het beveiligingsprobleem in kwestie kwam eerder deze week aan het licht. Aanvankelijk leek het er enkel op dat alleen Internet Explorer 7 en 8 kwetsbaar waren voor de bug, die het uitvoeren van malafide code mogelijk maakt. Later bleek echter ook de recentste IE-versie, 9.0, kwetsbaar. De komende nieuwe versie van Internet Explorer, IE10, is niet kwetsbaar.

De bug zit hem in de manier waarop Internet Explorer omgaat met objecten in het geheugen die zijn verwijderd of die niet op een juiste manier geheugen toegewezen hebben gekregen. Daardoor kan het geheugen corrupt raken en kan eigen code worden uitgevoerd. Het surfen naar een besmette website is genoeg om de bug op te lopen.

In de afgelopen dagen waarschuwden verschillende instanties voor het gebruik van Internet Explorer in verband met de bug, waaronder de Duitse overheid en de Consumentenbond. Het gebruik van de browser werd afgeraden zo lang er nog geen update beschikbaar was. Daardoor ontstond de nodige media-aandacht, waarbij wordt voorbijgegaan aan het feit dat kwetsbaarheden in software geregeld voorkomen.

Reacties (122)

Reactiefilter:-11220117+172+29+30
Nu maar hopen dat het in één keer opgelost is.
Het is een tussentijdse fix, en als ik de tekst goed lees is het een soort noodpatch en komt er nog een definitieve update.
Het gebruik van de browser werd afgeraden zo lang er nog geen update beschikbaar was. Daardoor ontstond de nodige media-aandacht, waarbij wordt voorbijgegaan aan het feit dat kwetsbaarheden in software geregeld voorkomen.
Zullen we helemaal maar geen software meer gebruiken? Alles bevat fouten. Microsoft, Apple, Google, Linux... Niet blijft verschoont van bugs.
Het gaat erom hoe kritiek de bugs zijn, hoe erg ze misbruikt worden en hoe ze verholpen worden. Dit alles speelt mee in de beoordeling. In Google Chrome worden zeer geregeld security bugs gevonden en verholpen. Deze worden veelvuldig gemeld door beveiligingsonderzoekers en gefixed in een nieuwe release die iedereen automatisch geïnstalleerd krijgt. Nu is het zo dat deze security problemen in deze gevallen niet actief misbruikt worden en snel gefixed worden.

Bij Microsoft is het andersom; er is een bug die actief wordt misbruikt en nu zijn ze op zoek naar een oplossing om dit tegen te gaan en daarna moeten ze nog een fix gaan verspreiden. Internet Explorer is op dit moment bekend onveilig in gebruik. Firefox, Chrome en Opera niet, dus ondanks dat alle software bugs bevat; het advies is toch echt (even) geen IE te gebruiken.

Ook de track-record van Microsoft is erg matig t.o.v. de rest:
https://en.wikipedia.org/...urity_and_vulnerabilities

[Reactie gewijzigd door Peetke op 20 september 2012 09:33]

[quotew] Deze worden veelvuldig gemeld door beveiligingsonderzoekers en gefixed in een nieuwe release die iedereen automatisch geïnstalleerd krijgt. Nu is het zo dat deze security problemen in deze gevallen niet actief misbruikt worden en snel gefixed worden.

Bij Microsoft is het andersom; er is een bug die actief wordt misbruikt en nu zijn ze op zoek naar een oplossing om dit tegen te gaan en daarna moeten ze nog een fix gaan verspreiden. [/quote]
Dit lijkt me pertinente onzin.
Je wee tniet of een lek da tvoorheen onbekend was niet reeds misbruikt wordt. je weet hooguit de schaal waarop dat gebeurde.

Ook MS ( juist MS!) pakt wekelijks op vaste dagen problemen aan. Daar kunnen anderen nog een les leren. Het automatisch updaten wat chrome bijv doet is erg gevaarlijk in productieomgevingen met applicaties die leunen op de browser.
Hoewel straks IE 10 die optie ook krijgt is deze uitschakelbaar voor bedrijfsmatig gebruik.
Juist omdat je eerst wilt testen of een fix ook werkt en geen vervelende bijwerkingen heeft.

Daarnaast was er reeds een workaround die veilig werken mogleijk maakte..
Het automatisch updaten wat chrome bijv doet is erg gevaarlijk in productieomgevingen met applicaties die leunen op de browser.

Dus een actieve exploit is minder erger dan een bug in een productieomgeving?
Daarnaast zijn Chrome & Firefox gewoon STANDAARD browsers, waarin 99% van de functionaliteit altijd werkt. Het is juist IE die ELKE keer het voor elkaar krijgt dingen totaal anders te laten werken. Doordat er dingen voor IE 6 zijn gemaakt draaien sommige bedrijven IE 6.
Ik heb nog nooit gehoord dat een bedrijf Chrome of Firefox (langdurig) niet kon updaten door compatibiliteitsproblemen, BEHALVE wanneer het oorspronkelijk IE was en dat dat niet meer acceptabel is en er een iets oudere versie van Chrome of Firefox is die het wel redelijk doet. Maar het probleem begint eigenlijk altijd met IE.
Dan heb je duidelijke nog niet veel ervaing in het enterprise wereldje.
Dacht je nou echt dat veel bedrijven nog op oude IE versies zitten omdat ze dat leuk vinden? Nee, het is juist omdat de bedrijfs-interne applicaties wel die 1% functionaliteit gebruiken die specifiek is aan bepaalde versies.

En dat geldt net zo goed voor IE als voor Safari / Firefox / Chrome enz, alleen hebben die het geluk dat ze niet de historische installed-base hebben van 10+ jaren in het bedrijfsleven.
En dat geldt net zo goed voor IE als voor Safari / Firefox / Chrome enz, alleen hebben die het geluk dat ze niet de historische installed-base hebben van 10+ jaren in het bedrijfsleven.
Daar ben ik het niet mee eens. Chrome en Firefox houden zich strikt aan de normen, dit kan je never-nooit zeggen van IE. Die met elke update net afwijkt van de rest. Als je dan zo dom ben om daar je bedrijfs-interne applicaties op te laten leunen, moet je ook niet gaan zeuren dat je niet kunt updaten vanwege deze applicaties.

Dan moet je als bedrijf zijnde eens achter je oren gaan krabben of je wel juist bezig bent met je ICT-zaken.

En ja ik weet wel waar je het over hebt want ik heb het zelf ook meegemaakt bij een bedrijf waar ik voor werkte, die hebben uiteindelijk alles laten vervangen voor software die wel volgens de normen gebouwd is, en die kunnen nu gewoon zonder nadenken alles updaten wat ze willen. (bij wijze van spreken)

[Reactie gewijzigd door defixje op 20 september 2012 10:18]

Vroeger... jah, maar toen bestond Chrome bijvoorbeeld nog niet eens.

He huidige versies van IE houden zich net zo goed aan de (ook niet altijd even eenduidig gedefineerde en onveranderelijke) standaarden als de anderen. Elke browser heeft zo zijn eigen eigenaardigheden.

maar ik geloof dat we inmiddels erg off-topic zijn gegaan :)
Nee het is fijn om Chrome te gebruiken in een bedrijfssituatie waarbij Google elke x weken een nieuwe versie opdringt en dus alle applicaties opnieuw getetst moeten worden. Ben je dan goed bezig?
Als je je web-applicaties conform standaarden bouwt zal er niets mis gaan. Van Chrome 1 tm 19 is er minder gewijzigd in ondersteuning van standaarden dan in de Internet Explorer versies 7, 8, 9 en 10 die gedurende deze tijd gereleased zijn.

De wijzigingen in Chrome hebben betrekking om meer snelheid en toevoegen van mogelijkheden als webRTC. De codebase van IE lijkt een paar keer volledig overhoop gegooid te zijn (maar ja dat kun je niet precies weten, want propriety).
Standaarden en webapps: nog zo'n utopie. Geen nekele leverancier doet dit.
Zucht. In een bedrijfsomgeving kun je auto update van Chrome gewoon uitschakelen hoor. Er zijn zelfs policy templates voor die browser.
Zucht. In een bedrijfsomgeving kun je auto update van Chrome gewoon uitschakelen hoor. Er zijn zelfs policy templates voor die browser.
En dus worden security issues met die versie nooit verholpen. Zelfde verhaal dus als met IE6.

Wat is het punt dan van je opmerking? In geval van een security risk moet je dus wel updaten en dus testen. Dat is niet anders dan met IE/Firefox/Chrome of welke browser dan ook.

Applicatieontwikkelaars gebruiken te vaak browserspecifieke zaken die ze niet zouden moeten gebruiken.
houden zich strict aan de normen! hahaha, van welke planeet kom jij kerel?

just so you know, toen IE6 released werd, was het de enige browser die comform W3 standaarden was. (grotendeels, stuk meer als Netscape toendertijd). IE6 baseerde zich toen op standaarden die vastgezet zouden worden (net als nu met HTML5) maar die toen door Sun, Opera en Mozilla/Netscape uit de W3 standaard zijn gehaald of zodanig zijn aangepast dat het niet meer werkt met IE6, waardoor enige tijd na release van IE6, IE6 inderdaad niet meer voldeed aan de standaarden van W3.
Hetzelfde gebeurt regelmatig. MS is al sinds de begin jaren 90 bezig om standaarden te creeren in het web, meestal gepoogd dit te doen in samenwerking met de rest, maar gezien de rest (in die tijd, Sun, Opera, Mozilla/netscape voornamelijk) een takkehekel had aan MS en niet moest denken aan een samenwerkings verband. Moest MS maar met eigen standaarden komen en dergelijke.

Oh en gezien Chrome standaard is, waarom gebruikt het zoveel niet-standaarden die gewoon totaal niet HTML5 zijn?
Waarom worden HTML5 tests gedaan met zogenaamde standaarden die niet in W3 terugkomen, maar wel gepushed worden door Mozilla en Google?

Er word te hard geprobeerd IE/MS in een kwaad daglicht te zetten. Terwijl het echt onzin is.
@batjes

Kom maar met het bewijs.

ActiveX een (open/W3C) standaard? Silverlight cross-platform (en nee - ik bedoel niet tussen verschillende windows versies, ik bedoel cross-platform)? En dan zullen we het nog niet over tig renderings problemen hebben waar HTML designers rekening mee moesten houden.

Het is inderdaad wel beter aan het worden. Of ze willen in ieder geval de schijn wekken. Moet ook wel met de controles van de EU. Maar doe nou niet of het gehele embrace-extend-extinguish nooit bestaan heeft. Je hebt wel een enorm fan-boy-met-oogkleppen gehalte.

http://en.wikipedia.org/wiki/Embrace,_extend_and_extinguish
"Embrace, extend, and extinguish",[1] also known as "Embrace, extend, and exterminate",[2] is a phrase that the U.S. Department of Justice found[3] was used internally by Microsoft[4] to describe its strategy for entering product categories involving widely used standards, extending those standards with proprietary capabilities, and then using those differences to disadvantage its competitors.

[Reactie gewijzigd door freaky op 20 september 2012 11:12]

activex is een browser plugin, je wilt zeggen dat FF en Chrome plugins wel comform W3 standaard zijn? lul niet kerel :D

silverlight is net als flash, een aparte plugin, dit is geen vast onderdeel van IE

maar probeer het gerust nog een keer met betere argumenten

en wat je aanhaald, gebeurt nog steeds, ook door Microsoft, ook door Google en Apple, en ... en ... en...

Vooral Google is hier erg mee bezig de laatste jaren.

[Reactie gewijzigd door batjes op 20 september 2012 11:17]

Heeft Microsoft, in welke browserversie dan ook, definitieve standaarden bewust genegeerd, of hebben ze voorstellen voor standaarden op hun manier geïnterpreteerd, waarna de open scource gemeenschap een andere kant op ging? Volgens mij toch vooral het laatste.

Met de slakkengang waarmee webstandaarden worden vastgesteld kan geen enkele ontwikkelaar wachten tot de definitieve standaard.
Iedereen heeft zijn mond vol over html5, maar dat is nog steeds geen definitieve standaard. Veel zaken staan al vast en van de overige is wel ongeveer bekend welke kant ze op gaan, maar het beste waar een ontwikkelaar nú op kan hopen, is dat zijn interpretatie niet al te veel afwijkt van de definitieve standaard. (Want de consument wil nu al die fantastisch mooie dynamische websites hebben.)

En wat betreft het aanpassen van standaarden: Stel je hebt een browser die exact voldoet aan de standaarden en die ook exact hetzelfde doet als alle andere browsers. Nu heb jij een mogelijkheid bedacht om je browser bewegende elementen te laten weergeven. Je hebt dan twee mogelijkheden:
1. Je brengt de mogelijkheid in als aanvulling op de standaard en wacht (een paar jaar) totdat de standaard ofiiciëel is gewijzigd en brengt samen met al je concurrenten een browser uit die deze mogelijkheid kan gebruiken.
2. Je brengt je volgende versie van je browser uit met die mmogelijkheid en je brengt de mogelijkheid in als aanvulling op de standaard.
Mogelijkheid 1 is de ideële optie die door iedereen op zijn zolderkamertje aan open scource zit te knutselen wordt gepropageerd.
Mogelijkheid 2 is de enige optie voor iedereen die geld wil verdienen aan zijn software, waaronder ook alle bedrijven die professioneel met open scource bezig zijn. (Alleen hebben die laatsten een grote kans dat hun voorstel wordt bejubeld, terwijl Microsoft en andere grote softwarebedrijven arrogante machtspolitiek wordt verweten.)
Hetzelfde gebeurt regelmatig. MS is al sinds de begin jaren 90 bezig om standaarden te creeren in het web, meestal gepoogd dit te doen in samenwerking met de rest, maar gezien de rest (in die tijd, Sun, Opera, Mozilla/netscape voornamelijk) een takkehekel had aan MS en niet moest denken aan een samenwerkings verband. Moest MS maar met eigen standaarden komen en dergelijke.
Van welke planeet kom jij eigenlijk? Het web is in 1991 door Tim Berners-Lee openbaar gemaakt, begin jaren '90 had je voornamelijk Mosaic en Netscape als browsers en Microsoft publiceerde pas in augustus 1995 Internet Explorer 1.0 (die ze hadden overgenomen van een ander bedrijf). IE 1.0 zat niet eens standaard in Windows 95, maar moest je los kopen in het Plus pack. Hoe kun je dan met droge ogen beweren dat "MS is al sinds de begin jaren 90 bezig om standaarden te creeren in het web" terwijl Microsoft pas in 1995 haar eerste browser publiceerde? :X

Enfin, 'nuff said denk ik.
Chrome en Firefox houden zich strikt aan de normen
Het is weken geleden dat ik nog eens zo goed gelachen heb.

Firefox is gebouwd bovenop Netscape Navigator. Niet-standaard dingen die in Netscape zaten zitten vandaag nog altijd in Firefox (bv de blink-tag).

En dan zijn er nog de niet-standaard webkit en Gecko css extensions.

En zo bestaan er een pak voor Javascript ook. Denk bijvoorbeeld maar aan mozRequestFullScreen of webkitPointer.

Als jij een bedrijfskritische applicatie hebt die gebruik maakt van één van de specifieke eigenschappen van een specifieke browser, dan zit je gewoon vast aan die browser.

Als je ergens de schuld wilt leggen, doe het dan bij de applicatieontwikkelaars. Niemand verplicht hen om gebruik te maken van features specifiek voor één browser. Maar blijkbaar doen ze het toch...
ik ben het met je eens over hoe Mozilla omgaat met webstandaarden (enorm brak, nog slechter dan MS)
Maar Firefox is niet gebouwd bovenop de netscape navigator.
De oude Mozilla Browser was dit, maar Firefox is van de grond af aan opnieuw opgebouwd. Alhoewel ze allicht stukken code hergebruikt hebben.

[Reactie gewijzigd door batjes op 20 september 2012 12:33]

Bedankt YDh, right to the point. 'de pot verwijt de ketel dat ie zwart ziet'
En dan nog al die product fans ... pff. Objectiviteit ten top.
LOL
Het is weken geleden dat ik nog eens zo goed gelachen heb.
Fijn dat je er de humor van in ziet, en overdreven is het ook wel (in iedere browser zitten wel wat fouten), maar Internet Explorer is/was er gewoon berucht om (kijk gewoon naar de titels op de eerste x pagina's). Meer kwalitatief zie b.v. hier, hier, hier* (recenter), ... wat je wel ziet is dat standardssupport van IE met de release beter wordt, en met IE9 het probleem aan het verdwijnen is. Het was dus wel een groot probleem. Einde debat. Standaarden werken toch wel redelijk.
Firefox is gebouwd bovenop Netscape Navigator. Niet-standaard dingen die in Netscape zaten zitten vandaag nog altijd in Firefox (bv de blink-tag).
Firefox is grotendeels een voortzetting van de rewrite die met het plan van Netscape 5 is begonnen.

Verder zijn er inderdaad extensies, maar die zijn wel op een duidelijke manier aangegeven, nl. door de toevoeging moz, webkit, en zelfs ms doet dat tegenwoordig, zodat je als ontwikkelaar weet dat je er weliswaar gebruik van kunt maken, maar dat je niet moet klagen als het niet werkt als een standaard oplossing. Je hebt inderdaad wel gelijk dat het gebruik van de webkit prefix uit de bocht aan het vliegen is, maar nogmaals: als ontwikkelaars deze duidelijk als niet-standaard gemarkeerde zaken niet gebruiken werkt de standaard.

En @batjes, jij bedoelt met jouw rants (want zoals ik hierboven heb proberen uit te leggen heeft Mozilla een veel beter track-record dan IE wanneer het op standaarden aan komt). Maar jouw definitie van standaarden is mogelijk anders? Ik definieer een standaard als iets dat gedefinieerd is door een standaarden-organisatie, zij het W3C, IETF, ISO o.i.d. waar verschillende partijen gezamenlijk bepalen (weliswaar in een log en traag proces) hoe iets behoort te werken. En jij gaat er vanuit dat de standaard bepaalt wordt door de grootste partij van gisteren? Ik zal vast partijdige links hebben uitgekozen, maar als jij jouw reacties kunt voorzien van enige onderbouwing dan worden je bijdragen een stuk waardevoller.

* update: een overzicht van overzichten: http://stackoverflow.com/...ross-platform-css-js-bugs

[Reactie gewijzigd door :murb: op 20 september 2012 19:26]

Dus een actieve exploit is minder erger dan een bug in een productieomgeving?
Ja, als het een ernstige prodcutiefout is meestal wel.
Er zijn bijvoorbeeld nauwelijk gevallen bekend die tot nu toe door deze exploit geraakt zijn. De gevonden exploit werkte initieeel in ieder geval bijvoorbeeld ook niet op DEP enabled browser versies en bovendien beschikken de meeste gebruikers ook over extra beschermingsmethode zoals browserfiltering van sites die malware verspreiden en ook vaak over antimalware software die extra bescherming biedt.

Een productie fout in een update op Windows kan in 1 keer een mijard mensen schade doen.

[Reactie gewijzigd door hAl op 20 september 2012 10:37]

De discussie gaat niet om productiefouten maar om veranderingen in een browser waardoor een productiesysteem (webapplicatie) niet meer goed werkt. Stel dat Firefox bijvoorbeeld iets update waardoor een bepaalde functie in een online CRM-systeem niet meer goed werkt, dat soort aanpassingen. Daar hebben niet een miljard mensen schade van.

Ik moet zeggen dat ik bij Firefox en Chrome vrijwel nooit dergelijke problemen tegenkom. Bij IE daarentegen gaat iedere versie weer anders met bepaalde elementen om, en daarmee worden dus dergelijke problemen geïntroduceerd. Dat is meteen de verklaring waarom sommige bedrijven nog erg lang vast blijven houden aan een antieke IE-versie, met alle risico's van dien.
Bij een actieve exploit is er een risico dat men je systeem compromiteerd.
Bij een bug in een productieomgeving weet je zeker dat je mensen niet meer kunnen werken. Dat kost dus zeker geld en als je daardoor je productieproces moet stil leggen kost het misschien wel miljoenen per dag, of zelfs per uur (chemische industrie).

Eerst testen dus. Als het goed is zit je bedrijf achter een degelijke firewall en zorgt antivirus e.d. dat ook andere kanalen van binnenkomst worden afgevangen.

Verder is het inderdaad zo dat bij Opera, Chrome en Firefox die zich aan de standaarden houden, de kans dat iets niet werk vele malen kleiner is als bij IE dat veel te veel afwijkt en ook nog eens te diep in het OS verweven is. Als iets met FF niet meer werkt werkt het mogelijk nog wel met één van de anderen maar desondanks kunnen twee applicaties elkaar dusdanig in de weg zitten dat er hele andere problemen optreden die je helemaal niet had verwacht (als is dat een stuk minder sinds 3.11 en 9x zijn uitgefaseerd ten gunste van de Windows NT-architectuur).
Als jouw applicatie leunt op een specifieke versie van een browser maker, dan doe je iets helemaal verkeerd.

Rij je soms ook met versleten remmen omdat je gewend bent hard te moeten trappen en nieuwe goede remmen je helemaal van slag zouden brengen?
Sommige software werkt op een specifieke browser versie. Why fix it if it aint broken?
Misschien dat jij tijd en geld over hebt om alles constant up-to-date te houden, maar een beetje bedrijf/omgeving gaat niet teveel moeite doen zolang iets naar behoren werkt.
It is broken! Bij veel bedrijven staat veiligheid ook hoog op de agenda. Denk vooral aan instellingen die met patiëntengegevens werken. Je kunt het dan niet verkopen dat je maar bij een oude (lekke) applicatie blijft omdat het "te veel kost" om de applicatie om te bouwen of om een nieuwe applicatie te (laten) ontwikkelen.

In deze situaties is geen prijs te hoog als de privacy van dergelijke patiënten in het geding is!

Trouwens: geen enkel bedrijf zit er op te wachten dat bedrijfsgeheimen op straat komen te liggen. Dus zal er altijd een goede afweging gemaakt moeten worden tussen veiligheid en risico.
Hoezo, IE6 doet wat het moet doen, en zolang je je netwerk gewoon goed beveiligd is er niets mee aan de hand en hoeft het geen beveiligings risico te zijn.

Hoewel ik het ermee eens ben dat upgraden beter is, maar dat is voor jou, mij en anderen zo, maar niet voor elk bedrijf of omgeving die er is.

Er zijn (ook in Nederland) nog hele netwerken die draaien op DOS/Windows 3.11. En het zijn er nog best wat eigenlijk.
IE6 is 10 jaar oud! Applicaties die 10 jaar geleden ontwikkeld zijn, hebben zich inmiddels al lang terug verdient!
Als bedrijf loop je dan wel het risico dat je over 10 jaar nog op IE6 werkt. Om dan te upgraden (of de zaak überhaupt nog te laten werken) is waarschijnlijk nog veel duurder, kijk maar naar hoeveel het kost om bijvoorbeeld oude DOS-applicaties nog te laten werken, of oude mainframes...
DOSBox ;)

Oude mainframes wordt een ander verhaal :)
kan altijd nog met virtuele machines gaan spelen of een server VM met Remote App. Toch op Win2012/win8 zitten en kunnen ze allen hun crappy oude software gebruiken :P
Die tabel is erg niets-zeggend. Op het moment scoort IE slecht omdat er een actieve exploit is. Maar zodra een van de anderen een een exploit is, scoort die slecht. Bovendien I zou het eerlijker zijn als ook van andere browsers naar oudere versies gekeken zou worden.

Een zinvoller overzicht zou laten zien hoe lang de gemiddelde tijd is tussen de eerste keer dat een exploit actief (in het veld) misbruikt is, en het beschikbaar worden van de fix. Dan ben ik nog wel benieuwd hoe IE scoort t.o.v. de anderen.

Bovendien is automatisch updaten een nachtmerrie voor de meeste systeem- en applicatiebeheerders in grote bedrijven. Elke verandering brengt risico's met zich mee, en elke patch moet dus eerst binnen de eigen (test-)omgeving getest kunnen worden.
En het uitrollen houden ze liever ook zelf in de hand, zodat het bijvoorbeeld niet toevalig op een bedrijf-kritisch moment gebeurt (einde-jaar rapportages, events, andere releases enz.

Dus nee, de meeste anderen moeten nog wel wat leren voordat hun browsers echt "enterprise-ready" zijn

[Reactie gewijzigd door EgMaf op 20 september 2012 10:01]

De tabel zegt ook niks omdat veel security fouten in andere software dan Windows gewoon geen rapportages krijgen op secunia totdat ze gepatched worden.
Als je de CVE issue datums ernaast legt blijken de fouten dan echter ook al langer open te staan en dus bekend te zijn.

Wat ook vreemd is is dat in de tabel meerdere versies van IE staan maar niet van andere browsers.

Is bijvoorbeeld deze hoogst kritische fout in FF ook al gepatch in alle versies van FF van de afgelopen 10 jaren:
https://bugzilla.mozilla.org/show_bug.cgi?id=771859

[Reactie gewijzigd door hAl op 20 september 2012 10:48]

Wat vooral zorgwekkend is, is dat Firefox 3.x en 4.x nog een groter marktaandeel (bijna 5%) hebben dan IE6 + IE7. Dit betekent dat tientallen miljoenen gebruikers nog vatbaar zijn voor jaren oude exploits.

[Reactie gewijzigd door Dreamvoid op 20 september 2012 12:00]

IE scoort enorm goed.
Zelfs Google's eigen gesponsorde onderzoek kwam uit naar voren dat IE maar 30% van de problemen (bugs, exploits e.d) had die Chrome zelf had. Dat is 1 fucking 3de.
Ook zodra een exploit/flaw is ondekt en dit bekend is bij MS, is er meestal binnen een dag of 2-3 een fix/kb voor. En word dit indien nodig binnen enkele dagen na release van de fix/kb gepushed via Windows Update. Of als het wat minder groot probleem is, gaat het mee in de eerst volgende patch tuesday.

IE scoort al jarenlang het hoogst op zo'n beetje alle fronten.
Het duurde bv anderhalf jaar na release van IE8 voordat er ook maar iemand of iets door de sandbox heen kwam van IE8. IE9 had het dacht ik een half jaar volgehouden.
In hacking competities is IE vaak het moeilijkste te hacken. Safari gaat meestal als eerst, een aantal keer kwam Chrome er niet vlak achterna.

En IE heeft iets wat de andere browsers niet hebben. In volledige releases word er niets, maar dan ook NIETS gedaan aan Trident tenzij het een security exploit is. HTML tags/functies worden niet gewijzigd, worden niet vernieuwd en niet verwijderd.
FF en Chrome doen dit wel. Sommige zeggen wel dat FF en Chrome zich aan standaarden houden en dergelijke. Maar dit is compleet BS.
Chrome en FF pushen juist niet standaarden, hun eigen standaarden het web op (zoals dat idiote WebGL, wat een security risk is die meuk zeg) ook tijdens point releases. En niet alleen bij volledige releases.
Gezien 1-2maanden release cycles niet bepaald volledige releases zijn 8)7
En IE heeft iets wat de andere browsers niet hebben. In volledige releases word er niets, maar dan ook NIETS gedaan aan Trident tenzij het een security exploit is. HTML tags/functies worden niet gewijzigd, worden niet vernieuwd en niet verwijderd.
FF en Chrome doen dit wel.
Dat is pas BS.

Nog nooit van Firefox ESR gehoord zeker?
Dat is recentelijk pas erbij gekomen. En welk bedrijf gebruikt dat nou? ik moet het nog tegenkomen iig. Ze zitten of op FF3.6 of random versies wat verschild per periode dat het geinstalleerd is.
Kom maar kijken bij ons, dan zie je het. Compleet met GPO's ;)
Het wordt me nu duidelijk waarom o.m. Chrome en Firefox op een versneld versienummerings systeem zijn overgestapt. Chrome 21 heeft geen security bugs. Dûh. 't Is pas twee weken uit. En tegen de tijd dat er security bugs gevonden zijn, is Chrome 22 al weer uit en is Chrome 21 uit het lijstje verdwenen
flikkert toch op zeg, ook bij chrome en firefox zijn er veiligheidslekken die actief gebruikt worden en pas daarna dat er gezocht en gefixed wordt. alleen ie krijgt het veel harder te verduren omdat veel techies een afkeer hebben van ie, puur vanwege het verleden..
Nogal kort door de bocht. Er bestaat geen (on)veilige browser. Ze hebben allemaal hun zwakke en sterke kanten. De patch cycle van Microsoft is de kortste van alle browser leveranciers. Hebben ze meer issues ??? mogelijk wel, maar ze zijn dan wel gemiddeld sneller opgelost.
Lijkt me sowieso een goed idee om geen IE te gebruiken, maar da's om andere redenen.
noem er 1? (behalve persoonlijke voorkeur 'vind het er kut uitzien' oid)
  • Slechte support voor besturingssystemen, met inbegrip van eigen OS'en waarvoor licenties tot 2020 verkocht worden.
  • Zeer beperkte range van plugins.
  • Traag met name waar het realistische complexere taken aankomt (geen sunspider, maar dingen als V8 benchmark of Kraken).
  • Blokkeren van zaken die het internet vooruit kunnen helpen (Dart language).
  • Spellingscontrole pas per versie ie10.
  • Trage release cyclus vanwege corporate weerstand voor waterfall model.
  • Geen support voor webM.
  • Propriety code met bijkomende nadelen.
  • Afwijkende implementatie van CSS (breedte van DIV)
Zo maar even wat zaken die in me opkomen. Hierbij ga ik zelfs uit van het beste wat ie9 en 10 te bieden hebben. Wat zou voor jou een reden hebben om wel te kiezen voor IE?
aanvullend: Overigens geloof ik dat de HTML5 integratie in Internet Explorer 10 wel in orde gaat komen. In ie9 is het nog een ramp en volgens http://html5test.com/results/desktop.html hebben ze met ie10 ook nog aardig wat werk te doen om tussen de andere grote browsers te komen.

Al met al ook geen reden om voor ie10 te kiezen.
-Support met besturings systemen heeft een reden, een goede ook. Zorgt ook voor een gepushde vooruitgang. Of zien we nog steeds graag iedereen op XP of Vista zitten?
Win7 gaat IE10 nog krijgen namelijk. Of een IE10 versie zonder de beveiligingen die het wel heeft in Win7/8, maar niet mogelijk zijn in XP en vista?
-Plugins, zoals wat? IE heeft een stuk meer standaard meegeleverd dan FF/Chrome. En voor de rest zijn er meer dan genoeg plugins te vinden voor IE6-10, die op verschillende versies vlekkeloos werken, niet de browser langzamer maken (of nauwelijks) en je zo'n beetje alle functionaliteit geven die er is.
-V8 benchmark, is zoals de naam zegt. voor de V8 engine van Chrome, niet IE. en Kraken is gemaakt voor/door Mozilla. Alle 3 zijn gewoon biased tegenover andere browsers (IE schopt trouwens kont op sunspider tegen chrome en FF)
-Oh dus Google komt met iets en het moet gesupport worden door MS? MS komt met h.264 en Google blokeert dit ook, terwijl dat al wel een W3 standaard is. Dart niet.
-Spellings controle was al beschikbaar voor IE sinds IE5 (of 6, 1 van deze 2 iig)
-Niets mis met release cyclus van IE. Kost elke release de andere browsers bijna een jaar om weer in de buurt te komen van IE. Zelfs nu nog kan geen browser ook maar de kracht aan van de IE9 GPU acceleratie.
-webM is geen W3 standaard. H.264 daarintegen wel en dat support Chrome niet
-propierty code.. IE zelf bedoel je? dat is me toch een enorm slap argument, damn.
-Leer webdevelopen, ik heb geen problemen met het renderen van sites exact identiek op IE9, FF en Chrome zonder browser specifieke hacks toe te passen.

Oh en de html5test.com is biased als hell. ga maar eens uitzoeken hoeveel punten er gegeven worden voor andere browsers voor zaken die geen HTML5 standaard zijn en veel ook nooit zullen worden.

[Reactie gewijzigd door batjes op 20 september 2012 12:28]

trouwens voor de gein die V8 benchmark gedraait op IE10, Chrome(Iron), Opera en FF(palemoon 64)

IE10: 5036
FF: 5296
Chrome: 10693
Opera: 3930

weinig verschil tussen FF en IE10. Logisch ook gezien het niet voor deze browsers gemaakt is. Opera word helemaal de pan in gehakt. Terwijl van alle browsers Opera IMHO meestal daadwerkelijk het dichst bij de W3 standaarden blijft hangen.


Kraken

IE10: 7874.2
FF: 4222.5
Chrome: 3065.5
Opera: 12146.2

Acid3: alle 4 100

html5test:

IE10: 319 + 6
FF: 346 + 9
Chrome: 437 + 9
Opera: 385 + 9


Zowel HTML5Test en ACID3 zeggen niets over performance of implementatie. Zegt alleen dat de functies in de browser zitten. Regelmatig werken sommige niet of nauwelijks die wel onderdeel zijn van browsers en wel aangegeven worden in deze tests. Geen idee of het nu nog zo is, maar Chrome had 'vroegah' hun scorse opgekrikt door een hele lading HTML5 functies erin te proppen zonder dat deze ook daadwerkelijk werkte of uberhaupt iets deden.

Conclusie, IE blijft goed bij met de rest. Verschillen zijn zodanig weinig dat dit voor de gebruiker gewoon bijna niet terug te merken is kwa performance.
Was laatst nog een test die de top 2000 websites volgens Alexa langs ging en keek welke browser deze allemaal het snelste laden. IE10 kwam toch echt als beste uit de bus. En dat zonder dat fake preloading zoals FF en Chrome doen.

[Reactie gewijzigd door batjes op 20 september 2012 13:00]

'html5' is nog steeds in ontwikkeling, dus het is eigenlijk vreemd dat er al zoveel gebruik wordt gemaakt van html5 terwijl dat het nog niet gefinaliseerd is.
Zelfde was met HTML4.

Maar er is niet eens meer een HTML5 standaard. W3 had het omgedoopt tot gewoon HTML. Is nu meer een rolling release geworden zover ik weet.
wat een onzin zeg, er zijn legio aan plugins voor ie, oh en traag? de ene keer is ff/chrome sneller, de andere keer is ie sneller.
tja, afwijkende imlementatie van css ligt meer aan de specificaties dan aan ms, deze specificaties zijn gewoon niet strak genoeg waardoor er verschillende interpretaties mogelijk zijn (net zoals bv bij dnt)..
hoezo slechte support?
Je noemt trouwens alleen maar bedrijven en een verzamelnaam (Linux), daar zit geen 'software' tussen. Overigens is het alleen Microsoft die daadwerkelijk software verkoopt, Apple verkoopt een compleet product, Google levert (praktisch) alleen diensten en bij Linux kun je alleen supportcontracten krijgen.

Wat ik wel een verschil vind tussen 'software' en IE in Windows, is dat MS ervoor kiest om het mee te leveren. De EU vond dit al neigen naar competitievervalsing. Als het daarna blijkt dat het (weer) lek is, dan kan ik me voorstellen dat overheden, waakhonden en andere partijen hierover vallen. Firefox & Chrome hebben ook problemen, maar het is alleen bij IE telkens zo dat ik alle computerN00bs weer moet gaan uitleggen wat het probleem is en of ze nog risico lopen, want zij gebruiken standaard alleen IE.
Er is ook zoiets als community support ;) Als bedrijf moet je daar natuurlijk niet op vertrouwen. Maar zoals ff wordt onder linux echt vaak rete snel gepatched (3 dagen)

Dit komt omdat de gebruikers zelf kunnen testen. Dat heeft zijn voor en nadelen.

Voordeel is in house testing is gewoon langzamer! ;)
gepatched en dan ook in de repos? pak wat software van de stable distro's in de repos en die lopen soms toch echt jaren achter.
Je bedoeld debian (die backports ze) En dna denk je oke dat backporten duurt lang. Vergis je daar maar niet in. Al is het vrijwilligers werk vaak ze werken in veel gevallen gewoon snachts door! ;)

En ja in de repo´s (stable repo idd vaak als laatste maar ook dat gaat rap! Unstable staan ze natuurlijk al veel eerder in. (alfa´s binnen 4 uur soms)
backporten gaat snel voor de wat populairdere software. Er is genoeg software in de Debian repos waar het best lang kan duren voor de security fixes in de huidige stable repos worden doorgevoerd.
Debian is goed en van alle Distros, heeft het verruit de beste Stable die er te vinden is. Maar ze zijn soms echt zo verschikkelijk sloom met het doorvoeren van updates. (er zit een groot bureaucratische muur achter :P)

En mja, met Sid zit je gewoon op een rolling release. waar alles met erg weinig controle en nauwelijks testen in gekwakt word (en ook is Sid nog beter als bijna elke andere distro in mijn ogen :) )
Het kan wel gepatched zijn, maar alsnog draait bijna 5% van de internetters nog een jaren oude Firefox versie.
Hee, by apple zijn t geen bugs maar features hoor! :P
Goed dat MS d'r iets aan doet en t serieus neemt, en da's logisch, IE krijgt een negatieve publiciteit en d'r zijn al velen die aanraden om firefox/opera/chrome te gaan gebruiken, dus hoe langer dit lek blijft hoe sneller het marktaandeel van IE krimpt..
De Fix it;
http://support.microsoft.com/kb/2757760

Wel fijn dat ze het serieus genoeg nemen, vrijdag is opzich best vlot voor een tussentijdse update.

[Reactie gewijzigd door sambalbaj op 20 september 2012 09:19]

Hopen dat je geen Sophos draait, anders wordt die tussentijdse update vast moeilijk te installeren ;)
wel mooi dat ze o.a. Opera aanraden, kan ik alleen maar in meegaan :)
Nouja, ze moeten wel, EU regelgeving (die scheef genoeg alleen voor Microsoft geldt) :+.
idd, erg scheef.

IE heeft zo'n 50-60% van de browsermarkt en dat word als anticompetitief gezien.
Apple heeft >70% van de tablet markt, en ook in deze markt word Microsoft als anti-competatief gezien.
Google heeft >60% van de smartphone markt, en ook in deze markt word Microsoft als anti-competatief gezien.

het is wel leuk om te aanschouwen soms.
IE heeft absoluut geen 50-60% van de browsermarkt (meer).
IE en Chrome schommelen beide rond de 33%, IE heeft nu een kleine opleving na een daling van zo'n 4 jaar.
Firefox staat daar een procent of 10 onder, het is goed dat het monopoly op de browsermarkt van MS is afgebrokkeld, zou mooi zijn als er ook geen monopoly kwam van een andere browser
Ik denk dat ze dat doen omdat ze niet firefox of chrome willen aanmoedigen aangezien hun relatief gezien al vaker gebruikt worden.
Ze beschouwen het als ernstig voor het bedrijf zelf denk ik eerder. Probleem is dat er nu wereldwijd wordt aangeraden een andere browser te gebruiken dan IE, dit kost ze nog weer meer gebruikers :)
Ach ja, tot de volgende exploit in Chrome, Firefox, etc en de media iedereen weer aanraadt om die browsers te mijden.
Nou moet ik wel zeggen dat ik zo'n ophef nog niet echt voor bij heb zien komen voor andere browsers. Vind dat er een grote mediahype omheen hangt.
De meeste mensen gebruiken ook IE, daarnaast heeft microsoft ook reclame op TV gemaakt over hoe veilig IE wel niet was.

eerste waar ik aan dacht:

http://www.youtube.com/watch?v=2rzJITxvl8w
Google heeft met Chrome ook flink campagne gevoerd hoor, ik herinner me billboards langs de snelweg en advertenties in de kranten. Zo probeert iedere browsermaker gebruikers voor zich te winnen.
Chrome werd ook behoorlijk gepushed wanneer je andere software wilde installeren.
Als je even niet oplette had je ineens Chrome geïnstalleerd, mateloos irritant.
Er was anders een behoorlijk ophef afgelopen April over de OS X Java exploit die via Safari liep. (edit: nevermind, die liep uiteraard over alle browsers).

[Reactie gewijzigd door Dreamvoid op 20 september 2012 10:00]

Er is al eens een enorme ophef geweest over Firefox. Zo zullen er wel meer zijn.
ook voorpagina nieuws in kranten?
nee

Dit hele gebeuren slaat nergens op.
Gister was het toch, de exploit in Webkit/Safari of de laatste en veiligste iOS? maar dat maakt niet uit?
niet lang geleden dat Chrome nog zware security breaches had (die komen ook behoorlijk regelmatig langs trouwens) maar daar kraait geen haan naar.

IE heeft een probleem en BWAM, media aandacht en iedereen kankert maar dat IE onveilig is. Terwijl dit zware BS is.
Dit klopt inderdaad maar dan heb je ook nog eens het feit dat waarschijnlijk 50% van alle gebruikers die overstappen op een andere browser wegens dit lek ook IE niet meer zullen vertrouwen. Als blijkt dat er al zoveel tijd (meerdere versies) een lek in de browser zit en je niks over lekken hoort met bijvoorbeeld firefox of chrome dan lijkt het me dat een hoop de tijdelijke overstap permanent zal maken.

Ik ben eigenlijk persoonlijk best benieuwd naar het aantal gebruikers van IE van voor dit lek en het aantal gebruikers over een paar maanden. Hier zou ik wel een grafiek van willen zien.

Ik denk persoonlijk dat er een ernstige daling is ten tijde van het lek maar dat hij maar een heel klein beetje zal stijgen nadat dit is opgelost.

Ik ga ervanuit dat dit lek hen miljoenen klanten gaat kosten.
For computers that are running 64-bit operating systems, the following Fix it solution only applies to 32-bit versions of Internet Explorer

Betekent dit dat de 64b versie niet vatbaar is voor de virus? IK heb namelijk W7 64b :/

Edit: Oh wacht ik heb wel W7 64b maar Explorer is nog steeds 32b :o

[Reactie gewijzigd door Mandrake466 op 20 september 2012 09:34]

Voor W7 64 bit bestaat naast de IE 32bit ook een IE64 bits versie. Ik weet niet of die ook kwetsbaar is maar heb nu maar naast mijn Firefox 32 bit ook de nightly build (64-bits Firefox) geinstalleerd.
http://nightly.mozilla.org/
netjes, de 64bit windows nightly is al een jaar geleden opgeheven. De 64bit Windows nightly werd ook niet meer geupdate via autoupdate.

de nightly is gewoon 32bit. Wil je 64bit -> Palemoon
Edit: Oh wacht ik heb wel W7 64b maar Explorer is nog steeds 32b :o
Onder Windows 7x64 heb je zowel een 32 bits versie van IE (C:\Program Files (x86)\Internet Explorer) als een 64 bits versie (C:\Program Files\Internet Explorer). Het is alleen dat de standaard snelkoppelingen de 32 bits versie starten.
hou een IE 64bit scherm open en hij start links in de 64bit IE.
Goede communicatie, snelle oplossing. Prima Microsoft! Het is ooit anders geweest.
Vroeger was het anders, maar de laatste jaren kunnen de anderen hier nog een voorbeeld aan nemen.
Vroeger was het niet anders. Het is alleen dat MS het sinds een paar jaar meer naar buiten brengt en meer de media ingooit. Waar ze vroeger gewoon hun ding deden en grotendeels hun bek hielden.
Waardoor het geschreeuw van anderen veel duidelijker was en meer op gelet werd.

[Reactie gewijzigd door batjes op 20 september 2012 11:13]

Ik kan niet zo gauw vinden wat die fix-it tool doet. Hoe kan ik het beste deze fix uitrollen in mijn organisatie? Ik kan nergens vinden hoe dit te implementeren op mijn wsus server.
Iemand een idee?
door local updates te pushen
zie : http://www.localupdatepublisher.com/ (gebruikt de wsus api)
d'r zijn ook andere oplossingen, maar die vereisen misschien meer rechten op je clients.. googel maar
Dit is een msi-pakket dus op een share in je netwerk zetten en via GPO uitrollen is goed te doen.

@zeduude: Ik lees dat LUP gebruik maakt van WSUS API maar dat je de te installeren pakketten niet altijd goed terug ziet in WSUS GUI. Wat zijn jou ervaringen en in wat voor omgeving gebruik jij dit? Was voor mij ook nog onbekende prog.

[Reactie gewijzigd door ViperXL op 20 september 2012 10:58]

Thanks, dat ga ik ook doen. Enige nadeel is dat de msi pas wordt geïnstalleerd na een reboot en niet geforceerd wordt toegepast op draaiende clients. Dat zou helemaal mooi zijn.
doet in ergste geval een relogin, en in een Win7 omgeving is gpupdate/force totaal zinloos.
Vraag:
Als gebruikers via een proxy werken, lopen ze dan ook gevaar? Ja ik denk dat de exploit erop kan komen. Maar kunnen "aanvallers" dan via de proxy op de client komen?
Ja ja en ja, ligt niet in een protocol of verbinding maar in de browser zelf.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Privacy Sony Microsoft Apple Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013