Microsoft rolt update uit voor kwetsbaarheid Internet Explorer

Microsoft is donderdagavond begonnen met het uitrollen van een update voor Internet Explorer. De update verhelpt een lek in de browser dat afgelopen weekend aan het licht kwam. Opmerkelijk is dat de update ook komt naar Windows XP, waarvan Microsoft de ondersteuning pas heeft beëindigd.

Microsoft Internet Explorer 9 logo (90 pix) Microsoft laat in een blogpost op TechNet weten dat de update is getest voor alle kwetsbare versies van Internet Explorer en zal worden verspreid. "De meerderheid van de klanten heeft het automatisch updaten ingeschakeld staan. Zij hoeven geen actie te ondernemen", zo staat er.

De softwaregigant zegt bovendien dat er ook een update komt voor Internet Explorer op Windows XP, maar wanneer is onbekend. De fix is opmerkelijk, omdat Microsoft begin vorige maand de ondersteuning voor het besturingssysteem uit 2001 beëindigde. Alleen betalende klanten, zoals de overheid, krijgen nog ondersteuning. "We blijven klanten aanmoedigen om naar een modern besturingssysteem zoals Windows 7 of 8.1 te migreren", schrijft Dustin Childs van het Microsoft Security Response Center. Hij suggereert daarmee dat het om een uitzondering gaat.

Het lek dat afgelopen weekend door het Amerikaanse beveiligingsbedrijf FireEye werd ontdekt, stelt hackers in staat om door middel van een kwetsbaarheid in Flash geheugenobjecten in de browser te manipuleren. Zij kunnen daarmee beveiligingsmechanismes als dep en aslr omzeilen.

Hoewel het lek in een groot aantal IE-versies is te vinden, zouden aanvallers de pijlen vooral richten op IE9, IE10 en IE11. Volgens StatCounter gebruikte de afgelopen maand ruim 31 procent van de Nederlandse desktopgebruikers Internet Explorer. Het Team High Tech Crime van de Nederlandse politie raadde die Nederlanders af om de browser nog te gebruiken tot Microsoft een fix zou uitbrengen.

Reacties (134)

Anoniem: 532811 1 mei 2014 19:55

Kunnen we weer rustig ademhalen! Tot de volgende paniekgolf als er een nieuw lek gevonden wordt.

haha

Cergorach @Anoniem: 532811 • 1 mei 2014 20:21

Die paniekgolf is er alleen maar omdat overheidsinstanties (zowel in de US als in Nederland) enorm paniek hebben zitten zaaien zonder dat daar reden voor was. Natuurlijk was er een lek, maar zoals anderen al hadden aangegeven, niet de eerste, niet de ergste en zeker niet de laatste. Vervolgens heeft de media het opgepakt en er nog een schepje bovenop gedaan (inclusief tweakers.net).

Natuurlijk was op dinsdag een van de eerste telefoontjes die ik kreeg "Moeten we Internet Explorer niet de-installeren?" en zo heb ik er nog een aantal gehad... Ik heb gewoon als default 'oplossing' iedereen ActiveX-Filtering aan laten zetten. Resultaat: Storm in glas water gesust.

goarilla @Cergorach • 1 mei 2014 22:21

Ja wel sinds HeartBleed is iedereen "on edge". Verwacht nog meer paniekzaaierij.

computerjunky @Anoniem: 532811 • 1 mei 2014 20:06

Idd ik word er soms wel zo moe van.
Er zitten nog wel 20 andere lekken in kunnen we daar niet ook meteen paniek over zaaien voor de komende 5 jaar zodat we dat alvast gehad hebben.

Lekken zijn er altijd wel ze zijn alleen niet allemaal gevonden.

Loller1

Besturingssystemen
Microsoft

@computerjunky • 1 mei 2014 20:19

Wel, in de huidige Firefox versie zitten 3 zero-day gaten die al bekend zijn, ik hoor nog steeds niemand daar over schreeuwen... Met Firefox 29 zijn er trouwens ook 5 zero-day gaten in Firefox opgelost, hoorde je ook niemand over schreeuwen. IE heeft er 1, en de hele wereld is in rep en roer. Snappen wie het snappen kan...

Gummie @Loller1 • 1 mei 2014 20:32

Tja dat heeft denk ik te maken met het aantal gebruikers wat IE heeft t.o.v. dat wat Firefox heeft.

RGAT @Gummie • 1 mei 2014 20:56

Gebruikers van Firefox is tegenwoordig bijna gelijk aan het aantal van IE.
Het lijkt meer de gewoonte om bij Microsoft moord en brand te roepen in de media...

Sterker nog: de logs van W3 (http://www.w3schools.com/browsers/browsers_stats.asp) tonen dat IE 9,7% en Firefox 25,6% gebruikt worden.
Hoewel daar meer programerende gebruikers komen, wat zou verklaren dat die ook gelijk een andere browser gebruiken...

Maar deze site beweert dat Google's Statistics programma's achter de advertenties zelfs vaker Firefox zien dan IE op normale sites (http://www.gliffy.com/blo...-analytics-using-filters/).

@Hieronder:

Jij, en menig ander hoor, gebruikt deze cijfers om iets aan te tonen en dat is natuurlijk totaal fout.

Wat?... Hoe bedoel je dit, ik verwijs naar twee sites, waarvan een Google's Statistics gebruikt, als die cijfers dus officieel zijn is het wel degelijk een zeer reeel beeld van hoe browsers dagelijks gebruikt worden.

[Reactie gewijzigd door RGAT op 22 juli 2024 23:44]

geertdo @RGAT • 2 mei 2014 00:47

Ik bedoel dit zo: er is een gigantische hoeveelheid mensen, dat nooit op w3schools.com komt, alleen mensen die geïnteresseerd zijn in web technieken komen daar. Gezien de historie van Internet Explorer, is het niet zo vreemd dat de bezoekers van deze website, niet met Internet Explorer naar deze site gaan. Met andere woorden: je krijgt geen eerlijk beeld.

Wat heb je nu aan de GA resultaten van alleen gliffy.com. Denk je nu echt dat dát representatief is voor een populatie?

Dit is nu precies het probleem wat vandaag de dag speelt. De betrouwbaarheid van informatie wordt nauwelijks meer gevalideerd.

Het perfecte recente voorbeeld is het door de media overnemen van een tweet van een knul of miep bij politie Team High Tech Crime dat door de media als heilig / waarheid wordt verklaard, zonder dat ook maar een enkele validatie wordt uitgevoerd. Niets op politie.nl, niets op ncsc.nl, niets op waarschuwingsdienst.nl, nee..'BAM!' op het NOS Journaal. Mediageile journalisten.
Kennelijk is er ingegrepen en wordt dit twitteraccount nu een gemodereerd, in ieder geval is de super spannende twitter header afbeelding, met twee agenten met half getrokken pistolen, verwijderd en zie je alleen tweets over personeelswerving...
Ja ja "De Politie zegt..." Echt, ongelofelijk... maar waar.

geertdo @RGAT • 1 mei 2014 21:37

w3schools.com geeft geen inzicht in statistieken van browsergebruik. Niet landelijk, niet wereldwijd, nee, alleen bezoekers van w3schools.com.

Jij, en menig ander hoor, gebruikt deze cijfers om iets aan te tonen en dat is natuurlijk totaal fout.

Armin @RGAT • 1 mei 2014 21:43

Gewogen vs ongewogen metingen ...

Martinspire

Microsoft
Besturingssystemen

@RGAT • 1 mei 2014 22:52

w3schools heeft een heel specifiek publiek. Publiek dat ook geen afspiegeling is van de maatschappij. Dat is net als de statistieken van tweakers.net. Dan komen nu.nl/nos.nl/telegraaf.nl al beter in de buurt, maar ook daar gaat het om een bepaald publiek en niet de generieke opinie.

Armin @Gummie • 1 mei 2014 21:30

Het is puur omdat Homeland Security een waarschuwing gaf. Dat was niet vanwege de unieke ernst van het lek, maar omdat er aanwijzingen waren dat vreemde mogenheden gerichte aanvallen op Amerikaanse semi-overheids instanties/personen aan het verrichten waren. Vele bedrijven en overheden gebriken IE omdat hun eigen bedrijfssoftware dat vereist.

Reuters miste die context en plaatste een algemeen bericht, en aangezien de rest van de mediawereld - zoals we nu weten - klakkeloos Reuters persberichten overtyped, is de rest geschiedenis.

De schade voor Microsoft is wel enorm groot, door de misinformatie die nu verspreid is.

Martinspire

Microsoft
Besturingssystemen

@Armin • 1 mei 2014 22:53

Mja daarom denk ik ook dat het gefixed is. Het ging ook om alle Windows-versies, dus dan is het meenemen van XP nog niet zo'n heel groot probleem. De imagoschade is dat wel en mede daardoor is het balletje gaan rollen. Zal me ook niet verbazen als de kosten van de XP-patch uit het marketing-budget komt.

Verder denk ik dat men de bedrijven wil ontzien die momenteel in gesprekken zijn om te upgraden naar Win7/8. Dan is het een stukje service om ze over de streep te trekken (en bv niet naar Linux te gaan).

Armin @Martinspire • 1 mei 2014 23:48

Plus natuurlijk dat de XP/IE6 fix toch al gemaakt werd, omdat er ook bedrijven zijn die nog betaalde service-contracten hebben

(Al zijn de testkosten vaak wel theoretisch groter, omdat bij dat soort contracten je enkel hoeft te zorgen dat het werkt bij die specifieke klanten.)

WoutervOorschot

@Gummie • 1 mei 2014 20:37

Dat is tegenwoordig echt niet meer zo groot hoor. Het is pas echt een gevaar wanneer IE op XP draait, en als je nog XP gebruikt snap je waarschijnlijk ook niet wat dit doet of hoe je het zou op moeten lossen.

TunefulDJ_Mike @WoutervOorschot • 1 mei 2014 20:53

Een gigantisch deel van de bedrijven draait IE als primaire browser binnen hun omgeving vanwege de intergratie met windows en daarbij komende group-policy settings enz, het zijn veelal consumenten die andere browsers gebruiken.
Daarnaast, als de bron klop http://www.netmarketshare...d=2&qpcustomd=0&qpcustom= zou er met de versies 8.0 t/m 11.0 nog een marketshare zijn van 53.20%, dat is toch nog vrij fors te noemen. Daarbij komende nog de ouder versies zoals IE 6 & 7 die vermoedelijk ook nog wel wat marketshare hebben, al zal de hopelijk nu wel verwaarloosbaar zijn.

Alfa1970 @TunefulDJ_Mike • 1 mei 2014 22:22

Maar hoe groot is de kans dat mensen bij een bedrijf, met die browser naar een website gaan die de exploit code heeft?

Daarbij optellend dat elk zinnig bedrijf tegenwoordig ook gebruik maakt van url filtering, en dat alle url filters alle websites bevatten die de exploit hosten.

En zelfs dan, als er exploit code binnenkomt en er een virus daardoor binnenkomt, dan wordt die er meteen weer afgemeukt door de anti-virus scanner, als die al niet de download van de exploit code zelf had geblokkeerd.

Zijn er mensen die gepakt zijn hiermee? Vast wel.
Maar lang niet zoveel dat het zich billijkt om er een dusdanige paniek van te maken.
Het SSL heartbleed probleem is duizenden malen kritieker, en daar hoor je de kranten, de politie en andere (media) organisaties die nu hoog van de toren blazen voor dit ene lek helemaal niet over.
Terwijl dat de gehele IT industrie inclusief grote delen van de telecom industrie (vrijwel alle android versies bijvoorbeeld) raakt.
SSL certificates vervangen en wachtwoorden resetten is daarvoor niet het eindantwoord, en de schade ervan is veel groter want het heeft 4 jaar geduurt voordat er iemand achter kwam.

Martinspire

Microsoft
Besturingssystemen

@Alfa1970 • 1 mei 2014 22:47

Er zijn legio bedrijven en branches te bedenken waarbij het zeker mogelijk is dat men besmette pc's krijgt. Als men bijvoorbeeld via een gehackte pc (bv een BYOD device) de intranet-site besmet, heb je zo het hele bedrijf te pakken.

Calypso @Alfa1970 • 1 mei 2014 22:51

Ik vind je reactie niet helemaal terecht. Allereerst is heartbleed ook breed uitgemeten in de pers. Je heeft aan dat er voldoende maatregelen tegen dit lek mogelijk zouden zijn, maar alles wat je aangeeft gaat uit van pattern matching terwijl steeds meer gebruik wordt gemaakt van specifieke target codes door hackers en daar hebben pasten matching technieken het erg moeilijk mee. Als laatste wordt steeds meer geprobeerd om vertrouwde sites te infecteren met malware...

Er is ook nog en cruciaal verschil tussen heartbleed en dit lek: heaetbleed was ver van de belevingswereld van gebruikers: het was pakkie an van icters. Dit lek raakt gebruikers zelf omdat het een voor hun herkenbare applicatie is.

Een probleem in en Toyota prius genereert meer publiciteit als een probleem in een tank, zelfs al is het probleem in de tank veel gevaarlijker..

TunefulDJ_Mike @Alfa1970 • 2 mei 2014 01:29

Ik acht de kans vrij groot, als hacker zou ik namelijk juist bedrijven targetten daar valt namelijk het meeste te halen. De SSL Heathbleed bug is overigens ook breet uitgemeten in de pers, dat dit zo breed uitgemeten word.

Tsja wat moet ik daar van zeggen, komkommertijd ?

Deze bug heeft echter wel een de mogelijkheid tot een grote impact, dus vind ik het niet gek dat het zo breed word uitgemeten

arjankoole @Alfa1970 • 2 mei 2014 06:44

en dat alle url filters alle websites bevatten die de exploit hosten

onmogelijk, die lijst verandert iedere seconde.

Alfa1970 @arjankoole • 2 mei 2014 12:59

Niets is onmogelijk als je de exploit code kent.

coolkil @TunefulDJ_Mike • 2 mei 2014 01:04

Group policy kan je ook gewoon toepassen op chrome, Firefox en ik dacht opera dus dat is geen rede voor bedrijven om aan IE vast te houden. Volgens mij is het echter wel zo dat sommige bedrijf applicatie s alleen werken op IE.

TunefulDJ_Mike @coolkil • 2 mei 2014 01:30

Aangezien een Internet Explorer naar mijn inziens veel verder geintegreerd zit als een Firefox of Chrome lijkt het mij dat deze veel beter te controleren is al FF of Chrome.

Daniel. @TunefulDJ_Mike • 1 mei 2014 23:16

Op het bedrijf waar ik werk kregen we ook een melding over de zero day van IE. Echter werd er niets aangeraden en werd er juist gezegd dat we IE gewoon konden gebruiken. De onderdelen die er gebruik van zouden kunnen maken zouden niet door de firewall instellingen komen van het bedrijf werdt gezegd. Er zit nogal een forse advertentie filter op die alle advertentie's blokt.

BuzzeW @TunefulDJ_Mike • 2 mei 2014 05:29

Lijkt me sterk dat IE8 nog zo'n marktaandeel heeft. Dat Chrome maar een marktaandeel van 8% heeft? Nee hoor. Chrome is al sinds een tweetal jaar ontzettend grote stappen aan het zetten en terrein aan het inpalmen. http://www.dutchcowboys.nl/google/29426 Deze is wat accurater.

PaulC @TunefulDJ_Mike • 2 mei 2014 09:08

Of omdat de intranet-sites alleen op IE werken en je dus wel verplicht bent IE te gebruiken om te kunnen werken

4play @TunefulDJ_Mike • 2 mei 2014 01:57

Als ik ie gebruik kan ik juist nergens bij, er is in werkomgeving just chrome geïnstalleerd zodat we iets meer openheid hebben. Ik kon nog geen pdf downloaded met ie.

geertdo @WoutervOorschot • 1 mei 2014 21:13

Dat is maar de vraag.... ik vind het nog altijd zeer onduidelijk hoe de metingen precies worden gedaan en wat er precies gemeten wordt en voor welke apparatuur.
Statcounter heeft openbaar wat het marktaandeel voor Nederland is, maar welke Nederlandse website precies worden gemeten wordt niet genoemd.
Voor specifieke gegevens van Netmarketshare moet betaald worden, maar ook hier is het niet duidelijk.

Op zich heb ik niet zoveel met 'marktaandeel' want ik kies niet altijd producten met het hoogste marktaandeel. Meestal niet zelfs...
Toch ziet men marktaandeel als iets om keuzes op te baseren in de ICT wereld, zo lijkt het.

Ik zie in ieder geval heel veel variatie in gebruikte browsers bij verschillende websites.

Wereldwijd schijnt IE zo'n 60% marktaandeel (groeiend) te hebben.

Martinspire

Microsoft
Besturingssystemen

@geertdo • 1 mei 2014 22:49

Het blijven schattingen op basis van onvolledige gegevens. Je zult alle websites mee moeten nemen wil je een echte schatting kunnen maken.

Toch is het opvallend dat men nog oude browsers gebruikt. Ik denk dat het voornamelijk te maken heeft met het feit dat het men niet zoveel boeit wat gebruikt wordt, zolang de favoriete websites gewoon benaderd kunnen worden.

ANW @WoutervOorschot • 2 mei 2014 11:54

... en als je nog XP gebruikt snap je waarschijnlijk ook niet wat dit doet of hoe je het zou op moeten lossen.

Klinkt wat denigrerend, jammer.

Teijgetje @Gummie • 1 mei 2014 21:45

Nee, dat heeft te maken met de media die van een muis een olifant maken.
Je kent het wel, fluister je buurman wat in zijn oor en ga zo de kamer rond en kijk wat er uitkomt.

Zo ook hier.

Het oorspronkelijke advies was alleen voor amerikaanse overheidsdiensten om IE niet te gebruiken.
De media namen dit over maar maakten er van dat IE levensgevaarlijk was voor iedereen.
Team High Tech Crime (???) deed er hier een schepje bovenop.
Dat je het "gevaar" simpel kon blocken, met tools van MS (EMET) of simpel in de instellingen (flash blokkeren of hoogste veiligheidsniveau of activeX filtering aanzetten) werd er niet bij gezegd.

Paniek om niets door foute copy pastes van de media, die tegenwoordig gewoon alles klakkeloos overnemen.
Waarschijnlijk wel de reden dat MS dit snel gedicht heeft, dit paniekzaaien.
En netjes dat ze voor XP IE ook gaan fixen.

[Reactie gewijzigd door Teijgetje op 22 juli 2024 23:44]

oZy @Teijgetje • 2 mei 2014 10:45

Ik (en ik ben niet de enige vind het helemaal niet netjes dat ze XP fixen.

We wisten dat dit zou komen voor XP, en ik snap best dat dit misschien erg snel is.. maar het maakt de beweging van het vervangen van XP praktisch vleugellam door nu alle doom scenarios die (imo terecht) door IT pro's werd geschetst om zeep te helpen.. als er volgende week weer een lek opduikt komt er echt wel weer een fix..

RGAT @oZy • 2 mei 2014 11:13

Nee dit zal Microsofts poging zijn de schade aan het imago van IE te herstellen, onder het mom van 'We zijn zo actief met updates dat we zelfs XP gratis even nog meedoen'.
Dit alleen omdat het zo groot werd opgeblazen in de media toen iedereen het maar copy-paste van Reuters...

Martinspire

Microsoft
Besturingssystemen

@Teijgetje • 1 mei 2014 22:54

Ik hoop dat ze inderdaad de betrokken instanties op de vingers tikken met het geven van vals en overdreven advies. In plaats van verbieden is het bieden van een oplossing veel beter imo.

surfrider @Teijgetje • 2 mei 2014 08:15

Ik gok dat Microsoft XP fixed omdat anders het advies blijft om IE niet meer te gebruiken op XP. En dat veel consumenten dat stukje XP even vergeten en daarmee wordt IE dan de nek om gedraait.

[Yellow] @Teijgetje • 2 mei 2014 10:48

Correctie: het oorspronkelijke advies was voor Windows XP gebruikers om IE niet meer te gebruiken. Je lijkt nu bijna op de reguliere media

Teijgetje @[Yellow] • 7 mei 2014 19:40

Je hebt gelijk. My bad.

M2M @Gummie • 1 mei 2014 20:37

plus daarbijkomend dat heel veel mensen enkel internet explorer gebruiken omdat ze niet weten dat er ook nog alternatieven zijn. Of ze weten het wel maar bedrijfspolicy houdt het tegen. Of ze hebben gehoord dat er ook alternatieven zijn maar weten niet hoe ze een andere browser moeten installeren. Eigenlijk best te verklaren dus...

huntedjohan @M2M • 1 mei 2014 21:47

kuch. tweaker1234 word gedownmod maar hij heeft wel waarheid gesproken. Mensen weten heel dondersgoed dat chrome bestaat, nadeel van chrome is alleen dat steeds meer mensen het als negatief ervaren dat ze een freeware pakketje installeren en dat ze 1x niet opletten en gelijk chrome op hun pc hebben staan.

Alleen al uit principe zal ik never chrome installeren omdat ze het via een misselijke manier proberen te pushen in de consumenten omgeving. Bij praktisch elk freeware pakketje wat je download moet je heel vreselijk goed opletten anders heb je het al op je pc staan.

spNk @huntedjohan • 1 mei 2014 22:03

Amen, dat is exact de reden dat ik firefox gebruik (nouja... gebruikte het al voor dat chrome überhaupt in ontwikkeling was).

William_H @huntedjohan • 1 mei 2014 22:56

Hij mag de waarheid spreken. Ik ben het zelfs met hem eens. Ook met jouw reactie over het meeleveren van Chrome bij freeware. Maar de score is in het moderatie-beleid wel correct, het is een off-topic opmerking.
Moderatie is niet bedoelt om je mening te geven over een opmerking, maar om de toegevoegde waarde aan de discussie te waarderen.

Martinspire

Microsoft
Besturingssystemen

@M2M • 1 mei 2014 22:51

Als een browser voor mensen doet wat het moet doen, waarom moeten ze dan veranderen van browser? Als ze alleen nu.nl, buienradar.nl en nog wat sites openen, die werken gewoon prima?

Het probleem zit hem namelijk in het feit dat ze het wel weten, maar niet de voordelen ervan inzien waardoor overstappen (ook binnen Internet Explorer) geen toegevoegde waarde heeft. Of ze hebben verkeerde ideeën (bv"kan ik mijn favorieten dan wel meenemen?") waardoor ze de stap niet nemen.

Tweaker1234 @M2M • 1 mei 2014 20:57

Nou met al die Chrome reclame spam weten ze dat echt wel. LOL.

photofreak @Loller1 • 1 mei 2014 21:35

Er is alleen 1 verschil tussen de zero-day in Internet Explorer en de zero-days in Firefox die je benoemt en dat is dat de zero-day in Internet Explorer actief in het wild wordt misbruikt. Daarentegen zijn de kwetsbaarheden in Firefox door researches aan Mozilla gemeld en vormen ze op die manier geen risico.

Het belangrijkste dat je vergeet is dat je met een gat hooguit een browser kan laten crashen en niet kan infecteren. Je zult echt een exploit om een gat moeten bouwen voordat een cybercrimineel malware op je computer kan droppen.

Loller1

Besturingssystemen
Microsoft

@photofreak • 1 mei 2014 21:42

Het zijn zero-day gaten, als researchers ze aan Moziila zou melden zijn het geen zero-day gaten maar gewone vulnerabilities. Zero-day betekend dat ze gebruikt werden voor dat ze ontdekt zijn. Die researchers hebben het dus ontdekt NA (of tijdens) een aanval.

photofreak @Loller1 • 1 mei 2014 22:08

Je ziet het verkeerd.

Je verwart een zero-day kwetsbaarheid die in het wild wordt misbruikt met kwetsbaarheden die door onderzoekers zelf worden gevonden

Ik zal FireEye quoten met de definitie van een zero-day attack:
"This term is defined as software or hardware vulnerabilities that have been exploited by an attacker where there is no prior knowledge of the flaw in the general information security community, and, therefore, no vendor fix or software patch available for it."

Kwetsbaarheden die door researches worden ontdekt zijn over het algemeen het resultaat van eigen onderzoek. Dit kan bijvoorbeeld gedaan worden door een programma te fuzzen of te reverse engineeren

Mocht het aantal zero-day kwetsbaarheden dat in het wild wordt misbruikt echt zo hoog zijn als je beweert dan zou niemand meer het internet veilig op kunnen gaan.

Ik zal je een lijstje geven van de zero-day kwetsbaarheden die in het wild werden misbruikt sinds september 2013.
(Ik kan er wat missen, dit doe ik even uit mijn hoofd)

CVE-2013-3893 (IE)
CVE-2013-3897 (IE)
CVE-2013-3906 (MS Office)
CVE-2013-3918 (IE)
CVE-2013-5331 (Flash)
CVE-2014-0322 (IE)
CVE-2014-0497 (Flash)
CVE-2014-0502 (Flash)
CVE-2014-0515 (Flash)
CVE-2014-1761 (MS Office)
CVE-2014-1776 (IE)

Dit is slechts een fractie van het totale aantal kwetsbaarheden dat gedicht is door Microsoft en Adobe.

mkools24 @Loller1 • 1 mei 2014 20:45

Gaat erom of ze aktief misbruikt worden. Ieder pakket is lek alleen de lekken moeten vaak eerst nog gevonden worden.

Loller1

Besturingssystemen
Microsoft

@mkools24 • 1 mei 2014 20:56

Zero-day betekent dat het onbekende lekken zijn die pas ontdekt worden nadat het lek misbruikt wordt, dus ja, ze worden ook daadwerkelijk gebruikt.

theduke1989 @Loller1 • 1 mei 2014 23:17

IE is ook meer bedrijfsgericht dan FireFox

firefox zit echt niet in een standaard stock image bij een bedrijf

Daarom is die heisa er ook nog eens.

Voor bedrijven is dit nu echt ideaal om via zulk soort berichten over te stappen op Windows7 duhhh

Cpimp @Loller1 • 2 mei 2014 07:24

Firefox wordt niet standaard meegeleverd met Windows. Men neigt al snel om IE te gebruiken omdat die er toch al op staat.
Ikzelf gebruik Firefox en heb nergens last van (tot op heden)

Anoniem: 145867 @Loller1 • 2 mei 2014 07:24

Dat komt omdat IE meegeleverd wordt met heel veel Windows PC's... je weet wel 90% markt aandeel of zoiets? Daarom denk ik. Opzich ook wel goed dat ze toch nog ff een XP update doen. Tsja, mensen moeten echt af van XP....

[Reactie gewijzigd door Anoniem: 145867 op 22 juli 2024 23:44]

Anoniem: 80466 @Loller1 • 2 mei 2014 10:57

Wel, in de huidige Firefox versie zitten 3 zero-day gaten die al bekend zijn

Bekend bij wie?
Als ze publiek bekend zijn is dat namelijk wel en probleem.
Maar dan moet er ook wel wat info over op het internet te vinden zijn en dat zie ik nu niet.

Nosfera7u @Loller1 • 2 mei 2014 07:33

Dat is de selectieve journalistiek die je vaak ziet als het over Microsoft gaat.
Als je ziet hoeveel lekker er in andere software zit zoals bijvoorbeeld Firefox , Android, IOS, OSX (ook flash gerelateerd) is het heel vreemd dat die niet dezelfde aandacht krijgen, dit zijn toch ook software pakketten die wereldwijd veel gebruikt worden.

Anoniem: 467952 @Loller1 • 2 mei 2014 21:04

Het lijkt me eerder dat google wat geld gestopt heeft in het verspreiden van de paniek

3raser @computerjunky • 2 mei 2014 09:06

Dat heeft waarschijnlijk meer te maken met het feit dat het lek in IE actief misbruikt werd. Daarnaast is niet ieder lek eenvoudig te misbruiken en kun je dus niet alle lekken over één kam scheren.

LCP @Anoniem: 532811 • 1 mei 2014 20:20

Wat wel apart is, is dat je de update zelf moet aanvinken. Het is dus geen update die meteen automatisch geinstalleerd wordt...

Gezien de aard van de patch lijkt me dat toch wel noodzakelijk...?

Eagle Creek

@LCP • 1 mei 2014 20:39

Wat je wel of niet moet aanvinken staat (in principe) los van wat automatisch geïnstalleerd wordt. Microsoft geeft aan dat deze update automatisch wordt geïnstalleerd.

Op https://technet.microsoft.com/library/security/ms14-021 is overigens een lijst te vinden met de handmatige updates, als je die los wilt downloaden. Echter lijken de sets nog niet compleet: ik kreeg bij sommige updates een 404, soms een 404 bij de Dutch versie en soms staat de Dutch-versie er nog niet bij.

De pagina wordt echter wel actief bijgewerkt dus het zal een kwestie van tijd zijn tot de lijst actueel en compleet is.

Voor elke combinatie van besturingssysteem, IE-versie en bits-versie is een aparte update vrijgegeven: flinke serie dus!

geertdo @LCP • 1 mei 2014 22:26

Ik vermoed dat als het niet aangevinkt is, dan is de download nog niet compleet. Zodra de download binnen is, is het ook aangevinkt.

Qlusivenl

@Anoniem: 532811 • 1 mei 2014 21:11

loos alarm man, allemaal onzin. dit lek zit er al zo'n 8 jaar in ( sinds ie6 ). je loopt nog even veel gevaar als 3 weken geleden.
Dit kan ik zeggen als beginnend-ervaren ICT-er en werkzaam bij een bedrijf dat ICT-infrastructuren bij bedrijven beheerd.

zolang er niet naar onbekende/vreemde/illegale/gevaarlijke websites word gesurft en geen links worden aangeklikt in onbetrouwbare e-mails is er niets aan de hand.

Maar wacht!! dit is normaal advies en zou je dus altijd moeten doen en niet alleen nu er een lek is gevonden

(let-op! niet persoonlijk, maar voor iedereen en alle dipshits die hier over flippen

)

Anoniem: 80466 @Qlusivenl • 2 mei 2014 11:29

Bedrijfen kunnen ook beter met een whitelist werken van sites die ze toestaan.
Beperkt die toegang van je mederwerkers gewoon flink en dan is het risico al gigantisch veel minder. Kan ook gigantisch veel traffic schelen als je sites als spotify en/of youtube niet whitelist

Qlusivenl

@Anoniem: 80466 • 2 mei 2014 11:50

jij begrijpt het

Xieoxer @Anoniem: 532811 • 1 mei 2014 23:07

Microsoft zag dat overheden hun burgers oproepte om niet IE te gebruiken, waardoor burgers op zoek gingen naar andere browsers en deze ook ontdekte. Deze groep zal waarschijnlijk ook niet meer snel terug switchen omdat ze de nieuwe browser al gewend zijn en waarschijnlijk sneller zal werken dan IE. Waar ik als webontwikkelaar natuurlijk ontzettend blij mee ben! Bedankt overheid voor jullie steun!

[Reactie gewijzigd door Xieoxer op 22 juli 2024 23:44]

Anoniem: 467952 @Xieoxer • 2 mei 2014 21:05

Gewoon zijn op minder dan 1 week tijd? Lijkt me sterk

geertdo @Anoniem: 588505 • 1 mei 2014 22:02

Ik begrijp dat je dol wordt van patches en lekken, maar je gaat voorbij aan de moeite die gedaan moet worden om een lek daadwerkelijk te misbruiken. Ja, er is een kans dat een lek misbruikt wordt en ja, die lek moet dus gedicht worden. Hoe klein of groot die kans ook is.

Je uitspraak 'zo lek als een mandje' geeft een beeld van een vergiet en dat is dus klinkklare onzin. En de uitspraak 'heeft slechtste browser ooit' slaat ook nergens op. IE6 was inderdaad een dieptepunt, maar momenteel (IE10/IE11) zijn top-browser die volledig voldoen aan de standaard.

Ik gebruik overigens IE, Chrome, Firefox en Safari

goarilla @geertdo • 1 mei 2014 22:27

Ik gebruik overigens IE, Chrome, Firefox en Safari

Wat is je voorkeur ?
Dit is de mijne: Firefox, Chrome, IE|Safari. Ik vind IE enorm log, zeker na starten. Het helpt niet dat ze standaard msn als homepage instellen. Maar het is geen eerlijke vergelijking: zonder noscript en adblock plus zou firefox waarschijnlijk ook log zijn op start.

geertdo @goarilla • 1 mei 2014 23:36

Als 'voorkeur' aangeeft wat ik het meest gebruik, dan is dat Internet Explorer (11).
Ik vind het erg prettig dat de URL's van websites die ik bezoek (tabbladen, favorieten, geschiedenis, instellingen, etc) automatisch worden gesynchroniseerd onder al mijn Windows apparaten. Daarnaast gebruik ik de 'leesweergave' ook veel, echt superhandig.
Ik zit op 'Win 8.1 Update' en vind IE alles behalve 'log'. Dat was in het verleden zeker anders.

Anoniem: 80466 @goarilla • 2 mei 2014 11:43

Adblock plus is er ook voor IE en je kunt met IE ook tracking protection lists downloaden als je tracking scripts wilt inperken.
https://adblockplus.org/en/internet-explorer
https://easylist.adblockplus.org/en/#easyprivacytpl

pstalman @Anoniem: 588505 • 2 mei 2014 07:49

OT: Toch wel knap, IE in 1993 terwijl het pas in 1995 opkwam

Qualixo 1 mei 2014 20:01

Vind het netjes dat ze xp ook meenemen. Hadden ze niet hoeven doen maar gezien de aantallen die er nog actief in omloop van zijn toch slim.

uqrax @Qualixo • 1 mei 2014 20:31

Vooral netjes omdat Microsoft er zelf voor kiest nodeloos Internet Explorer te koppelen aan het besturingssysteem. Een gezonde browser is te updaten zonder dat het volledige besturingssysteem te updaten is!

Dit lek had helemaal geen probleem hoeven zijn voor Windows XP, tenminste, niet groter dan voor andere Windows versies...

Niemand_Anders @uqrax • 1 mei 2014 21:08

OSX heeft anders precies hetzelfde 'euvel' met webkit. Webkit zit heel erg diep in OSX geintergreerd. Net als onder Windows, wordt ook bij OSX de browser engine (bij Apple dus webkit) gebruikt voor Help Viewer.

Onder OSX kun jij voorbeeld ook niet de Gecko (FF) engine gebruiken in combinatie met Help viewer. Onder KDE heeft de KDE file manager (Konqueror) een hardcoded dependency op Webkit (eerdere versies van KDE gebruikte KHTML).

Je kan Microsoft een hoop kwalijk nemen, maar Microsoft heeft al meerdere malen de EOL deadline voor XP opgeschoven om gebruikers meer tijd te geven. Wat voor excuus heeft bijvoorbeeld onze overheid (met honderd duizenden computers nog steeds op XP) voor het niet upgraden naar Vista, Windows7 of Windows 8? Dat een aantal afdelingen niet kunnen upgraden naar een nieuwe Windows versie vanwege maatwerk kan ik wel begrijpen, maar de groep waarvoor dit speelt is gewoon te groot. XP is al sinds 2006 obsolete verklaard door Microsoft. Daarbij is er geen enkel ander besturingssysteem welke na ruim 12 jaar nog steeds updates ontvangt..

Nu applicaties steeds vaker een HTML based interface krijgen, zal de integratie met de native browser van het OS alleen maar groter worden..

uqrax @Niemand_Anders • 2 mei 2014 00:01

Dat het zou moeten zijn dat Microsoft zonder blikken of blozen nu de ondersteuning op XP zou kunnen stopzetten staat hier niet ter discussie. XP is al langer dan dit jaar onveilig. Sowieso vergeet men in de discussie over het Windows XP SP3 EoL voor het gemak de talloze XP machines die reeds al jaren zonder updates aan het internet hangen, met een beetje pech met SP2 of god verhoede nog ouder. Maar nogmaals: het gaat hier niet om het updaten van het besturingssysteem, maar om updaten van de browser. Indien de twee hetzelfde zijn, zijn er grote fouten gemaakt tijdens het opzetten van het besturingssysteem.

Er zit nogal een verschil tussen het gebruik van een geintegreerde html engine om lokale handelingen te verrichten, en koppelen van dezelfde engine aan je eerste verdediging tegen de buitenwereld. Zeker wanneer je je html engine voor crucialer zaken dan een help viewer gebruikt horen wijzigingen in de interne engine veel conservatiever doorgevoerd te worden ten opzichte van wijzigingen in een browser, die juist per definitie constant bijgewerkt moet worden. Hoe belangrijker de html engine wordt voor lokale handelingen, hoe belangrijker een dergelijke scheiding juist wordt!

Ergens kan ik nog wel begrijpen dat dit in de oorspronkelijke versie van XP niet was voorzien. 2001, andere tijden (uitblijven van een oplossing in de 13 jaar sindsdien is echter onbegrijpelijk.) Microsoft heeft hetzelfde probleem echter ook voor zichzelf en haar gebruikers wederom gecreëerd in Vista. Ik vermoed zelf niet zozeer vanwege onkunde, maar vanwege een dit jaar bewezen ineffectieve en achterhaalde poging om gebruikers een extra reden te geven om hun besturingssysteem te updaten.

En nee, dit is geen ingewikkeld probleem om op te lossen. Een dergelijke scheiding tussen interne html engine en de browser is zelfs simpel genoeg door te voeren door iedereen met genoeg rechten om software te installeren: Zet er een browser op die in geval van Windows niet op Trident draait. Indien je daarbuiten de locaties waarie IE je dan nog mee verbindt niet vertrouwt omdat je onder XP "Windows Update" wilt uitvoeren (oops) of IE6-only apps op je eigen intranet wilt uitvoeren (oops), dan heb je meer problemen dan een OS ontwikkelaar die pretendeert anno 2014 het verschil niet te kennen tussen een OS en een browser.

Loller1

Besturingssystemen
Microsoft

@uqrax • 1 mei 2014 20:53

Het lek is ook geen groter probleem op XP dan op enige andere browser. XP wordt gewoon niet meer ondersteund, er zou dus geen patch voor dit lek komen. Dat zou de enige factor zijn die het probleem groter zou maken. Een factor die het kleiner maakt is dat aanvallen zich vooral richtte op IE9-11, geen van de 3 is beschikbaar op XP.

barchettanl 1 mei 2014 19:59

Is het wel een update van het OS (w.o. XP) of eigenlijk toch van Internet Explorer (en daarmee OS en dus XP onafhankelijk)?

pBook @barchettanl • 1 mei 2014 20:18

Blijft wel dat je het moet testen op XP voor je het uitrolt

Loller1

Besturingssystemen
Microsoft

@barchettanl • 1 mei 2014 20:44

In principe is het een update aan Internet Explorer 6, hoewel het OS onafhankelijk is, heeft het wel invloed op Windows XP, aangezien IE ver geïntegreerd zit in Windows.

HollowGamer 1 mei 2014 20:00

Waarom fix naar XP komt: Het Team High Tech Crime van de Nederlandse politie raadde dan ook af om Internet Explorer te gebruiken.
M.a.w. negatieve reclame voor IE, zorgt ervoor dat mensen overstappen naar een andere browser.

Zelf vind ik dat de browsers nu maar eens met een plugin-when-needed systeem moet komen. Waarom moet flash-player, java, etc. altijd actief zijn? Op dit moment gebruik ik op Chrome Ghostery met de modus click-to-play, wat er al voor zorgt dat flash (video's) niet worden geladen en dus ook het probleem wat fixed. Maargoed dat neemt niet het probleem weg, het omzeilt het zeg maar.

Loller1

Besturingssystemen
Microsoft

@HollowGamer • 1 mei 2014 20:46

Alleen maakt het niet uit welke browser je gebruik op Windows XP, het is allemaal even onveilig, je kan geen stevig huis bouwen als de fundering niet goed is. Of je nu IE, Firefox of Chrome gebruikt op XP, het is allemaal even onveilig. Het is zelfs onveiliger om dan Firefox en Chrome te gebruiken omdat je zou denken dat je veilig bent, beter een onveilig gevoel dan een vals gevoel van veiligheid.

Armin @HollowGamer • 1 mei 2014 21:35

Zelf vind ik dat de browsers nu maar eens met een plugin-when-needed systeem moet komen

Voor bepaalde plugins heeft Internet Explorer dat sinds - schrik niet - versie 8. Dat heet ActiveX filtering en blokeert alle plugins van die soort. O.a. de DLL die dit nu befaamde lek bevatte was op die simpele wijze uit te schakelen. Eén van de redenen ook waarom de 'paniek' zo verschrikkelijk waanzinnig overdreven was.

Je krijgt dan een symbooltje in je URL bar als een website een bepaalde plugin wil gebruiken. Je kunt dan zelf beslissen of je de pagina wilt herladen met die ActiveX plugin.

batjes

Besturingssystemen
Microsoft

1 mei 2014 20:02

Iedereen die IE10/11 gebruikt, standaard aanraden in protected mode/64bit mode te draaien. (java, flash en andere 64bit plugins blijven gewoon werken)

En wie nog geen EMET heeft, snel downloaden en instaleren.

Armin @batjes • 1 mei 2014 21:40

Goed, advies, en daarbovenop zou ik ActiveX filtering ook op aan zetten tenzij je veel op interne bedrijfswebsites zit.

Tools -> ActiveX filtering

Je filtert dan op bepaalde bloated sites (zoals de Telegraaf) gelijk veel semi-reclame meuk.

Mocht toch een ActiveX plugin nodig zijn, klik je op het blokeer-iccoontje in de URL bar en die pagina wordt dan eenmalig uitgezonderd en automatisch herladen.

Alleen al dat runtime vinkje had bijvoorbeeld dit lek al 100% voorkomen, omdat de DLL die het lek bevatte dan niet automnatisch geladen werd.

computerjunky @batjes • 1 mei 2014 20:07

Of gewoon lekker niks doen aangezien de kant dat een tweaker geinfecteerd word nihil is zolang hij in de gaten houd wat hij of zij doet.

SkiFan @computerjunky • 1 mei 2014 20:57

Da's onzin. Je kunt ook zo maar via een besmette adserver besmet raken hoor, zelfs hier op Tweakers.

Rockvee2 1 mei 2014 20:09

Ach op mijn bedrijf gebruiken we nog Windows XP met IE 8

Meerdere keren hiervan wat gezegd tegen de mensen die de beslissingen nemen maar ze geven liever geld uit aan iets anders , de zoveelste google play applicatie o.a

gabba25 @Rockvee2 • 1 mei 2014 23:39

Klopt ik ken het. Beveiliging doet ze vaak niks, sommige zijn er echt blind voor; "ik heb toch niks te verbergen"

Batiatus 1 mei 2014 20:16

Kan het zijn dat de update voor XP alleen binnen komt voor de bedrijven die daarvoor betalen? (onze rijksoverheid bijvoorbeeld). Maargoed, dit hoeft Microsoft eigenlijk niet meer voor XP te ondersteunen, al meer dan 10 jaar ondersteuning voor zo'n oud besturingssysteem, dat zie je niet bij consumentensoftware.

The-Priest-NL @Batiatus • 1 mei 2014 20:19

Uit het artikel.

De softwaregigant zegt bovendien dat er ook een update komt voor Internet Explorer op Windows XP, maar wanneer is onbekend.

Dus ja hij komt ook voor XP gebruikers die niet betalen, wel bij uitzondering overigens.

[Reactie gewijzigd door The-Priest-NL op 22 juli 2024 23:44]

Cergorach @Anoniem: 477666 • 1 mei 2014 20:28

Alle browsers hebben hun plus en minpunten. Zo is de Flash player van Chrome niet een van de meest efficiënte. Kwam we laatst achter dat op de wat oudere machines de processors 100% worden misbruikt en je nog issues heb met (1080p) video (sound sync, stuttering). IE met Flash had niet het issue met veel proc kracht te misbruiken maar zorgde nog steeds voor skipping. Alleen Firefox met de losse Flash player zorgde in beide gevallen voor een bug vrije afspeel ervaring.

Jammer genoeg zijn er nog zat html5 implementaties die nog niet optimaal zijn (YouTube I'm looking at you) en das dan ook nog de enige reden waarom ik Flash gebruik.

ClementL @Cergorach • 1 mei 2014 21:05

Ik gebruik al tijden de HTML5 speler op Youtube in Firefox, en hij werkt tot nu toe perfect (op Linux icm gstreamer videodecoding).

Armin @ClementL • 1 mei 2014 21:41

IE10 en IE11 met HTML5 werken ook uitstekend met YouTube

Anoniem: 477666 @Cergorach • 3 mei 2014 22:57

IE tijdperk is aflopen slechte browser die kunt hebben is IE.
sorry hoor mensen IE gebruiken is gewoon zakelijk omdat de IT afdeling alleen IE ondersteunt.
Add ons in firefox en chrome bieden extra beveiligingen en handige add ons.
terwijl niemand echt iets voor IE add ons maakt

Cergorach @Anoniem: 477666 • 3 mei 2014 23:45

Ik kom drie soorten situaties tegen:
#1 Mensen die IE gebruiken omdat ze dat altijd hebben gedaan.
#2 Mensen die IE gebruiken omdat ze wel moeten omdat de applicaties die ze gebruiken IE vereisen. Dat kan interne applicaties betreffen en/of externe applicaties waar het bedrijf zelf 0,0 invloed op heeft.
#3 Mensen gebruiken omdat de IT afdeling geen Firefox of Chrome wil installeren en beheren. Dit komt meestal omdat er geen budget voor is, want die applicaties moeten ook intern getest en beheerd worden, zeker in 'veilige' omgevingen vergen extra browsers een hoop werk (als je het goed wil beheren). De business/management wil vaak niet opdraaien voor de kosten en de IT afdeling zit niet te wachten op nog meer werk.

In het MKB is het allemaal wat minder strak en ik installeer op PCs/laptops standaard Firefox en Chrome mee. Maar daar zijn wij dan ook niet verantwoordelijk voor de veiligheid van de PCs/laptops omdat de klanten standaard admin rechten hebben en we geen invloed hebben op wat ze precies doen op die dingen. Ook op onze RDS servers draaien we alle drie, daar zijn we natuurlijk wel verantwoordelijk voor de veiligheid, maar moeten we concurreren met andere aanbieders en klanten nee verkopen op Firefox en/of Chrome is jezelf in de voet schieten (en is al meegenomen in de kosten berekening). In Enterprise omgevingen zit het natuurlijk heel anders.

[Reactie gewijzigd door Cergorach op 22 juli 2024 23:44]

Anoniem: 477666 @Cergorach • 7 mei 2014 11:10

het enige waar mensen op algemeen IE troep gebruiken is FAVORIETEN.
Zelfs dome neefje haalt leuke virussen binnen via IE.
terwijl chrome leuke goed ingesteld tegen malware etc.
Hoe doe je favorieten dan zelfde bij me ouders na bepaalde IE verwijderd.

The-Priest-NL @Anoniem: 477666 • 1 mei 2014 20:16

Dat zit ook al in IE10/11 hoor, en flash in Chrome wordt ook gemaakt door het Chrome team dus logisch dat ze die ook patchen wie moet het anders doen?

Loller1

Besturingssystemen
Microsoft

@Anoniem: 477666 • 1 mei 2014 20:21

Ik heb nieuws voor je: Internet Explorer installeert al sinds jaar en dag updates, ook major updates worden sinds enkele maanden al gepushed voor IE9 of lager, en IE10 update sowieso al altijd naar de laatste major release.

Renegade666 @Anoniem: 477666 • 1 mei 2014 20:13

flash zit tegenwoordig in ie (11). verder hebben de meeste mensen gewoon windows updates aan, dus IE update dan ook keurig..

geenstijl

1 mei 2014 20:11

Bij mij komt ie reeds binnen.
Zie ook https://technet.microsoft.com/library/security/ms14-021

Anoniem: 280967 1 mei 2014 20:14

Ben verbaasd dat ze XP ook nog meenemen met deze lek.
Ben benieuwd of deze patch in 1 keer de juiste is. Heeft toch bijna een week geduurd voordat de patch er is.

Op dit item kan niet meer gereageerd worden.

Microsoft rolt update uit voor kwetsbaarheid Internet Explorer

Lees meer

Reacties (134)

Sorteer op:

Weergave: