Microsoft waarschuwt voor lek in IE6, -7 en -8
Microsoft waarschuwt voor een lek in Internet Explorer 6, 7 en 8 dat nog niet gedicht is en dat actief misbruikt wordt door kwaadwillenden. Het lek kwam eerder aan het licht door beveiligingsbedrijf FireEye en exploits zouden al sinds in ieder geval 21 december in omloop zijn.
Internet Explorer 9 en 10 bevatten de kwetsbaarheid niet, benadrukt Microsoft in security advisory 2794220, maar wel erkent het softwarebedrijf dat het lek in eerdere versies actief misbruikt wordt met exploits. Het lek maakt het mogelijk code een systeem binnen te smokkelen en op afstand uit te voeren. De kwetsbaarheid betreft de manier die oudere versies van Microsofts browser gebruiken om objecten in het geheugen te benaderen die verwijderd of niet goed gealloceerd zijn. Via een speciaal vervaardige site kunnen kwaadwillenden het geheugen van een IE-gebruiker corrupt maken en de code uitvoeren.
Hackers kunnen het lek ook via gehackte sites misbruiken en dit zou gebeurd zijn via de webpagina van de Amerikaanse denktank Council on Foreign Relations of CFR, volgens FireEye. De exploit zou daar al sinds in ieder geval 21 december gehost worden. De code zou Microsofts beveiligingstechnologieën data execution prevention en address space layout randomization omzeilen.
De code op de CFR-site richtte zich alleen op IE-gebruikers die hun taalinstelling op Engels, Russisch, Chinees, Japans of Koreaans hebben staan. Als dit het geval was werd via JavaScript een Adobe Flash-bestand, genaamd today.swf, geladen die een zogenoemde 'heap spray'-aanval in gang zette en een kwaadaardig bestand met de naam xsainfo.jpg laadde. Niet bekend is of de exploits ook op anderen manieren zijn misbruikt. Vooral gebruikers van Windows XP zijn vatbaar voor een aanval: die kunnen niet upgraden naar latere versies van Internet Explorer. Hen wordt aangeraden de Enhanced Mitigation Experience Toolkit, of EMET, te installeren, en ActiveX en Java in IE uit te schakelen. Microsoft verwacht binnen enkele dagen met een patch te komen.
Reacties (128)
Daarnaast is IE de eerste browser die transitions, transforms en animations zonder prefix ondersteunt, . Ook zou Opera nog steeds geen transform3D ondersteunen, en ook niet in de toekomstige versies. IE 10 ondersteund het blijkbaar wel (http://caniuse.com/transforms3d), behalve als je w3schools gelooft (http://www.w3schools.com/css3/css3_3dtransforms.asp).
Ik heb het niet zelf getest, aangezien ik momenteel nergens een IE10 geïnstalleerd heb.
Andere browsers als Firefox blijven oude besturingsystemen ook niet eindeloos ondersteunen. Firefox >12 werkt ook niet meer op XP SP1 (http://support.mozilla.or...paalde-versies-windows-xp)
Safari werkt ook niet in OSX 10.0 (een OS van maar 2001) of 10.1 (september 2001), dan moet je ook al naar een andere browser grijpen,aangezien safari in zijn geheel OSX 10.2 nodig heeft. OSX 10.1 is, op een maand na, even oud als WinXP.
Safari heeft ook de ondersteuning voor Windows geschrapt, waardoor versie 5 de laatste versie is die je op Windows kan runnen.
Voor Chrome heb je ook XP SP2 of hoger nodig, maar voor OSX heb je al 10.6 als minimum requirement. Geen idee trouwens of je het wel geïnstalleerd krijgt op oudere versies van OSX.
Ik weet nog steeds bedrijven die nog steeds (gedeeltelijk) op Win95/98/2000 werken of tot voor kort IE5 gebruiken.
Hoe je het draait of keert, het doel van MS is geld verdienen. En MS hun main business is nog steeds het ontwikkelen en verkopen van software. Maar niet IE, aangezien dat een gratis tool is, het is Windows welke geld in het laatje brengt.
Mozilla heeft een ander verdienmodel, enerzijds heb je donaties, maar anderzijds hebben ze deals (gehad) met bedrijven als Google om inkomsten te genereren. Om dat in stand te houden heb je marktaandeel nodig, en voor Firefox is de beste manier om cutting edge te zijn, nieuwe features ondersteunen, standaarden ondersteunen, de grote massa tevreden houden. En dus is het Firefox dat geld moet opbrengen.
[Reactie gewijzigd door kluyze op zondag 30 december 2012 14:58]
Niet alleen hardware technieken veranderen, software architecturen hebben in de loop der tijd ook de benodigde refactors. Niet enkel voor nieuwe functionaliteiten maar ook vanuit security oogpunt en om efficiënter te kunnen ontwikkelen (en dus goedkoper). Als dat flauwekul zou zijn waren alle games nog op de Quake engine gebaseerd, was telnet de meest gebruikte browser en draaide WinCE op iedere Android/iPhone.[...]
Flauwekul. Iets dat nu werkt, werkt over 10 jaar en over 100 jaar ook. Hardware daargelaten, XP is niet een stuk software dat geheel uit zichzelf trager en brakker wordt. Over 5000 jaar is het nog exact zoals nu.
Vaak is het niet direct het software product zelf wat vooruitgang vereist maar de componenten waar gebruikt van gemaakt wordt of welke gebruik maken van het product. Het compatible houden geeft een ketting reactie.
Een leuke is het javascript framework jQuery. Vanaf versie 1.9 zal deze ondersteuning laten vallen voor Internet Explorer 6, 7 & 8. Nu is het zo dat op dit moment jQuery het meest gebruikte framework is en een monsterlijke hoeveelheid heeft aan plugins.
ps: XP is juist een product dat op zichzelf trager en brakker wordt door gebruik.
Vandaag nog een stoomlocomotief voorbij zien komen of muziek tape'jes beluisterd op je walkman? Zodra er een beter (en betaalbaar) alternatief is zijn verouderde producten afgeschreven. Niet omdat ze niet meer werken -- maar omdat het niet meer praktisch is.Daarom werken dingen als de Backerell batterij en de Leidse flessen vandaag de dag ook gewoon nog. En precies zo goed (of slecht) als toen.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
