Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 23, views: 17.940 •

Microsoft heeft een tijdelijke 'Fix it'-patch vrijgegeven voor het lek dat eind december ontdekt werd in Internet Explorer 6, 7 en 8. Het bedrijf denkt bovendien binnen een paar dagen een definitieve oplossing voor het lek te hebben, die vooral gebruikers van Windows XP treft.

Microsoft biedt op het support-gedeelte van zijn website een Fix it-patch aan waarmee Internet Explorer 6, 7 en 8 te repareren zijn. De tijdelijke pleister verhelpt het lek dat eind december gevonden werd in de oude versies van de browser. Volgens website The Next Web houdt Microsoft ondertussen in de gaten of het lek in de oude browsers misbruikt wordt. Als dat het geval is, dan zal het met spoed een definitieve patch vrijgeven. Als er verder geen misbruik geconstateerd wordt, dan verschijnt de patch tijdens de Patch Tuesday van deze maand, zodat er meer tijd is om te testen. Tot nu toe heeft Microsoft 'slechts enkele pogingen waargenomen om het lek uit te buiten', maar het bedrijf raadt toch aan om de Fix it-patch te gebruiken.

Het lek in de oude browsers maakt het mogelijk code een systeem binnen te smokkelen en op afstand uit te voeren. De kwetsbaarheid betreft de manier die de oude browsers gebruiken om objecten in het geheugen te benaderen die verwijderd of niet goed gealloceerd zijn. Via een speciaal vervaardige site kunnen kwaadwillenden het geheugen van een IE-gebruiker corrupt maken en de code uitvoeren. Het lek kwam aan het licht via misbruik van de site van de Amerikaanse denktank Council on Foreign Relations. De exploit zou daar al sinds in ieder geval 21 december gehost worden. De code zou Microsofts beveiligingstechnologieën data execution prevention en address space layout randomization omzeilen.

Alleen IE6, -7 en -8 bevatten het lek, Internet Explorer 9 en 10 niet. Dat maakt vooral systemen met Windows XP kwetsbaar, omdat daarop geen nieuwere versie van de browser geïnstalleerd kan worden.

Reacties (23)

Waarom wachten met uitbrengen van de patch tot ná er misbruik gemaakt wordt? Meteen uitbrengen toch?
Nee, want hij moet eerst grondig getest worden, of hij geen andere problemen veroorzaakt.

Wat er gebeurt als een patch te snel wordt gereleased, zagen we laatst. Die patch veroorzaakte dus weer andere problemen...

Dus liever grondig testen en dan maar wat later releasen, dan versneld releasen en later grote problemen krijgen met andere zaken...
Dat is waar maar je kunt hier toch wel wat vraagtekens bij plaatsen.
- Het lek wordt actief misbruikt. (staat in de MS advisory)
- Microsoft heeft een 'fixit' als tijdelijke oplossing uitgebracht.
- Microsoft adviseert iedereen die tijdelijke fix te installeren.
- Die fix is echter niet verkrijgbaar via WSUS.
- ook de tijdelijke fix zou problemen kunnen geven.

Het komt mij vooral voor dat ze hinken op twee gedachten. Aan de ene kant een fix voor een security probleem uitbrengen, aan de ander kant het risico zoveel mogelijk downplayen.
Dat lijkt er op dat ze eerst en vooral de belangen van Microsoft willen beschermen, en het oplossen van het probleem voor de klant pas op de tweede plaatst komt.

@Blokker_1999: Het punt is dat MS aan de ene kant een fix heeft (de workaround) EN iedereen adviseert hem te installeren, maar tegelijkertijd dat ding niet via Windows update verspreid. Dat is met elkaar in tegenspraak en er kan maar 1 reden zijn om het zo te doen: De verantwoordelijkheid voor eventuele gevolgen van de bug, hetzij gehackt worden omdat je de workaround niet geinstalleerd hebt, hetzij problemen met je machine omdat je hem juist wel geinstalleerd hebt, zoveel mogelijk bij de klant te leggen ipv. bij Microsoft.

[Reactie gewijzigd door locke960 op 1 januari 2013 15:00]

Stel ze zijn te snel met een patch die ze via windows update verspreiden en die lijkt ineens veel schade aan te richten zowel bij consumenten als binnen bedrijven met miljoenen of miljarden claims als gevolg. Hoe denk je dat het bedrijf daar dan op zal reageren? Hoe denk je dat jij daarop zal reageren?

Ja er is op dit moment misbruik, maar dat misbruik is voorlopig nog zeer beperkt. Ik denk dat MS een veel beter beeld heeft over de ernst dan jij of ik.
Wat nou als er een bug in zit? Of dat er een nieuwe kwetsbaarheid wordt geïntroduceerd? Dit is een kleine update om het bloeden te stoppen. Later komt de definitieve, goed geteste, fix.
haast en spoed is zelden goed.

Het klopt dat een patch in wezen zo snel mogelijk moet uitgebracht worden, maar deze moet ook grondig getest zijn. Zoals in het artikel ook word aangegeven wenst MS de patch eerst zelf nog grondiger te testen. Indien achteraf zou blijken dat er nog een bug in zit die een nieuw en ernstiger probleem veroorzaakt zal het MS ook op zware kritiek komen te staan.
Je zal toch eerst aan de slag moeten met een stuk code die dit probleem kan verhelpen..
Dat kost tijd natuurlijk
had liever dat ze IE 9 vrijgaven voor XP en W2k3
Niet noodzakelijk, Microsoft wil van Windows Xp af en ze hebben gelijk, tegen de tijd dat de support van XP voorbij is zou al de beta van Windows 9 uit moeten zijn, dat is doodleuk een systeem van (momenteel) 3 generaties terug.

Trouwens, je hebt nog altijd de keuze om een recente Chrome, Firefox of Opera te gebruiken, keuze zat dus.
zou al de beta van Windows 9 uit moeten zijn [quote]

Jouw gevoel, of heb je dit ergens vandaan?
Ja, laat heb XP maar eens volledig gaan herschrijven; Er duizenden manuren tegenaangooien, miljoenen investeren voor een OS dat ondertussen al 11 jaar oud is en in de extended support fase zit. Misschien zouden ze dan ook ineens IE8 nog naar Win98 kunnen porten?
Onmogelijk, vanaf vista en het driver en security model veranderd. IE maakt gebruikt van dat nieuwe security model en IE9 of hoger zal dus niet gaan werken.
Het is onmogelijk dat het onmogelijk is. Windos vista/7 onderstrepen het punt dat het expliciet mogelijk is, en je ondergraaft je eigen stelling dat het onmogelijk is door te stellen dat het security model veranderd is. Als dat kan met het ene stuk software, dan kan dat dus met alle software en dus ook in windows xp.

Microsoft wíl gewoonweg niet backporten omdat dat hun verdien model schade toebrengt, en dat is de enige reden waarom het niet wordt gedaan.

Microsoft "leeft" vrijwel uitsluitend van de opbrengsten van verkoop van windows en office.
Als ze oude versies die goed zijn zoals windows xp alsmaar blijven bijwerken dan verkopen ze niks meer en houden ze gewoon op met te bestaan op een gegeven moment.
uh, als een programma gebruik maakt van security api's die niet in xp zitten, dan wordt het lastig backporten, of je moet die security api's ook gaan backporten..
En waarom zou MS zo'n oud OS nog steeds moeten ondersteunen? het is niet alsof Apple nog steeds de versie van mac osx van 11jaar geleden ondersteund, of ubuntu hun versie van 11 jaar geleden.. Genoeg softwareleveranciers die na 1 a 2 jaar al totaal geen ondersteuning meer geven.
IE 6 en 7 worden toch allang niet meer ondersteund?
Klopt, en sommige sites zoals die van Google ondersteunen officieel ook geen IE8.
Websites horen geen IE8, of welke browser dan ook., te ondersteunen, maar de open internationale standaarden (W3C?).
Zelfs als je alleen standaarden ondersteunt dan nog zullen browsers verschillen in de mate waarin ze ondersteuning bieden voor bepaalde features. Features die in nieuwere browser aanwezig zijn zitten niet in oudere browsers.
Door zelfs een 100% W3C compatiblele site kan nog steeds meerdere browserversies afzonderlijk ondersteunen.
Een goede methode daarvoor is bijvoorbeeld feature detectie.
IE 6 en IE 7 worden nog steeds ondersteund, zolang het platform waar ze op draaien nog in support zit, dus in het geval van Windows XP tot 8 april 2014, als de support voor XP stopt. Wel kan het zijn dat je een minimum servicepack van het OS nodig hebt voor de officiele support (SP2 in dit geval).

Zie http://blogs.technet.com/...or-internet-explorer.aspx

Datzelfde geld voor IE 8 ook overigens.

Draai je bijvoorbeeld IE 7 of 8 op Windows Vista ipv op XP, blijft die ook na 8-4-2014 nog supporterd, tot de support van Vista stopt.

[Reactie gewijzigd door wildhagen op 1 januari 2013 13:33]

Alsof de mensen die nog met IE6 werken die patch gaan downloaden...
Vaak wel ja. Soms zitten bedrijven nog vast aan IE6 (of 7, of 8 ) in verband met legacy webapplicaties die ze niet helemaal opnieuw willen gaan testen. Inderdaad niet echt een gewenste situatie maar het komt nog behoorlijk veel voor, juist op kantoor-pc's. En dan is het wel aannemelijk dat in ieder geval een deel van deze bedrijven de security patches wel doen.

[Reactie gewijzigd door Argantonis op 1 januari 2013 19:58]

Die goede oude Win3.1 met MSIE1...

Op dit item kan niet meer gereageerd worden.