Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 85 reacties

Alle ondersteunde Windows-systemen krijgen een patch buiten het normale schema om. Een reeds misbruikt beveiligingslek in Internet Explorer zit in alle versies vanaf nummer 7. De patch wordt buiten de maandelijkse 'patch-dinsdag' uitgebracht omdat het lek mogelijk al actief misbruikt wordt.

Internet Explorer 10 logo (75 pix)Met het lek is het mogelijk voor een aanvaller om code op een computer uit te voeren als een besmette website of verkeerde advertentie in Internet Explorer geladen wordt, meldt Microsoft in een Security Bulletin. De aanvaller kan code uitvoeren met de rechten van de ingelogde gebruiker, wat betekent dat gebruikers met minder rechten minder gevaar lopen.

Volgens Zdnet werkt de zero-day-exploit door een fout in het systeem waarmee IE objecten in het geheugen aanspreekt. Als de exploit succesvol misbruikt wordt, kan de aanvaller de machine overnemen met de rechten van de ingelogde gebruiker. De kwetsbaarheid zit niet in de Edge-browser. Bij de meeste gebruikers zal de patch automatisch gedownload en geïnstalleerd worden. Voor hen die handmatig updates uitvoeren, moet eerst de 3078071-update geïnstalleerd worden, waarna deze met nummer 3087985 het lek dicht.

Het gebeurt weinig dat een bug in Microsoft-software tussentijds wordt gepatcht; dat duidt erop dat het lek actief wordt misbruikt. Het is onduidelijk of dat zo is.

Moderatie-faq Wijzig weergave

Reacties (85)

Als het goed is betreft het deze Common Vulnerabilities and Exposures entry: CVE-2015-2502 "Memory Corruption Vulnerability"

De details zijn daar nog niet eens ingevoerd op de CVE site.

Microsoft zelf zegt er dit over:
A remote code execution vulnerability exists when Internet Explorer improperly accesses objects in memory. This vulnerability could corrupt memory in such a way that an attacker could execute arbitrary code in the context of the current user.

An attacker could host a specially crafted website that is designed to exploit this vulnerability through Internet Explorer, and then convince a user to view the website. The attacker could also take advantage of compromised websites and websites that accept or host user-provided content or advertisements by adding specially crafted content that could exploit this vulnerability. In all cases, however, an attacker would have no way to force users to view the attacker-controlled content. Instead, an attacker would have to convince users to take action, typically by getting them to click a link in an instant messenger or email message that takes users to the attacker's website, or by getting them to open an attachment sent through email.

An attacker who successfully exploited this vulnerability could gain the same user rights as the current user. If the current user is logged on with administrative user rights, an attacker who successfully exploited this vulnerability could take complete control of an affected system. An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights. Systems where Internet Explorer is used frequently, such as workstations or terminal servers, are at the most risk from this vulnerability.

The update addresses the vulnerability by modifying how Internet Explorer handles objects in memory. The following table contains links to the standard entry for each vulnerability in the Common Vulnerabilities and Exposures list:

[Reactie gewijzigd door Bor op 19 augustus 2015 11:16]

Met dank aan google!

http://webwereld.nl/algem...per-direct-geplakt-worden

Volgens The Register heeft Google's security-specialist Clement Lecign de kwetsbaarheid gevonden
Dus jij preverere dat ze het niet vonden en massaal misbruikt werd?
Nu vraag ik me af of ik voor internet explorer op mijn windows phone ook een update moet/zal krijgen???
Aangezien op Windows Mobile 8.1 en 10 alles gesandboxed is kan die exploit daar in theorie niet werken.
En om dezelfde reden als je 'enhanced protected' mode aanzet op IE10/11 op Windwos 8+ en je ook gesandboxed en dus ook behoorlijk veilig.

Ik zeg behoorlijk, want op Windows Phone is het voor malware fabrikanten natuurlijk nog extra lastig omdat dat platform net als Windows RT geen unsigned binaries draait. Dus zlfs als je malware wet te schrijven, zal het OS die vanwege het ontbreken van een geldige handtekening, niet uitvoeren.

Maar besef dat dit soort lekken nooit alleen gebruikt kunnen worden. Er is altijd een tweede component nodig. Dat is vrijwel altijd Java, Flash of Acroat Reader plugin. Niet voor niets kwam tegelijk met deze fix ook een Flash zero-day fix. (Al kan dat ook toeval zijn natuurlijk.)
Mocht je de patch nog niet via Windows Update binnen hebben, dan kun je het hier downloaden.
Voor Windows 10 komt deze patch mee in update KB3081444 (Cumulative Update for Windows 10).

Voor de Windows clients staat dit lek aangetekend als "Critical," waar er bij servers spraken is van een "Moderate" rating:
I am running Internet Explorer on Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, or Windows Server 2012 R2. Does this mitigate these vulnerabilities?
Yes. By default, Internet Explorer on Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 runs in a restricted mode that is known as Enhanced Security Configuration. Enhanced Security Configuration is a group of preconfigured settings in Internet Explorer that can reduce the likelihood of a user or administrator downloading and running specially crafted web content on a server. This is a mitigating factor for websites that you have not added to the Internet Explorer Trusted sites zone.

[Reactie gewijzigd door the_shadow op 19 augustus 2015 11:12]

/uninstall IE eerste wat gebeurd bij een frisse installatie ;)
Gebruik edge onder windows 10, heb daar geen enkele probleem mee.
IE werk ik niet meer mee, heb meestal niks anders dan ellende ermee of er zitten lekken in de code voor IE.
Update vanochtend vroeg al geÔnstalleerd.
Vreemd, IE9 had 8 maanden nodig om gekraakt te worden, IE10 1,5 jaar of in die buurt, en IE11 is i.c.m. EMET nu 2 1 keer gekraakt sinds het uit is. Ja, erg onveilige browser. Ook zonder EMET is IE11 icm protected mode maar enkele keren gekraakt.

Zelf vind ik dat best netjes, vooral in vergelijking met de andere grote browsers.

[Reactie gewijzigd door batjes op 19 augustus 2015 20:26]

Als je het aantal uitgebrachte patches in 2014 als maat neemt is Chrome zelfs dubbel zo onveilig als IE11 :)

Maar meer serieus, IE11 is inderdaad een zeer veilige browser. In die context wordt ook vaak vergeten dat een van de problemen is dat IE moet draaien op Vista tot en met Windows 10. Het OS zelf geeft echter oplopend meer veiligheids hulpmiddelen. De ernst van een lek is dus vaak ook afhankelijk van het OS waar IE op draait. Ook bij deze.

Bij Windows XP en IE6 was er geen scheiding van rendering en UI. Firefox werkt ook nog steeds zo, al wil ik niet beweren dat Firefox qua veiligheid op niveau van IE6 staat 8-) Maar qua sandbox architectuur is het wel oud. Niet voor niets scoort Firefox in hackatons ook altijd onder Chrome en IE.

Met de introductuie van Vista kwam de mogelijkheid om processen in lagere security context te draaien. IE7 maakte hiervan gebruik en ook Chrome gebruikt dit model.

Met de introductie van Windows 8.0 kwam er nog een veiligere sandbox mogelijkheid, waarbij de renderer helemaal in een appcontainer draait. IE10 en IE11 ondersteunen dit, maar dus enkel wanneer draaiend op Windows 8 en hoger. Ook is het helaas een opt-in (tenzij dat wederom gewijzigd is) omdat diverse plugins anders falen.
Op Windows Phone en de Modern browser (die touch variant die niemand gebruikt O-) ) staat het wel standaard aan. Ook Edge op Windows 10 heeft het standaard aan.

In dit laatste geval zal een hacker die code weet uit te voeren weinig tot niets kunnen, want die code wordt uitgevoerd in appcontainer context. Dus niet direct de gebruiker, en zelfs niet zoals IE 7-11 op Windows 7 of Chrome op alle Windows in user-context achter UAC. Dat is heel moeilijk te misbruiken.

en IE11 is i.c.m. EMET nu 2 keer gekraakt sinds het uit is

Puur uit nieuwsgierigheid, wat was de 2e keer? De eerste keer was begin dit jaar waarin men schrijf (maar geen execute _/-\o_ ) rechten had.
Deze exploit heeft geen mitigation status, EMET in default modus zal deze dus naar alle waarschijnlijkheid gewoon niet tegenhouden en er is geen workaround oplossing bekend. Meestal is vrij vlot bekend of EMET het wel of niet tegenhoudt, vooral met de wat serieuzere en in het wild misbruikte exploits. Ik ga er dan liever van uit dat het niet het geval is tot het tegendeel bewezen wordt en staat de score (voor) nu dan op 2.

Goede aanvulling verder, het is inderdaad erg afhankelijk op welke Windows het draait (Als ik het nog goed herinner was het ook de voornamelijkste reden dat IE10 niet naar Vista kwam) hoe veilig IE is, en IE security patches gingen altijd van lowest common denominator uit, veiligheidsloos dus. (Alhoewel MS vanaf Windows 8 geen rekening meer houdt als je UAC uitschakelt).

IE/Edge mogen dan niet voor iedereen de meest prettige browsers zijn en doen op een (argumenteerbaar) vrij breed vlak dingen niet of minder dan alternatieven. Maar qua veiligheid blinkt het (op de laatste windows) juist uit. Voordat ik met Firefox (iets mindere mate Chrome) bankzaken zou doen of schunnige websites op het randje van het internet zou bezoeken, hang ik het eerst vol plugins. Met IE/Edge, inprivate window openen en gaan.
Deze exploit heeft geen mitigation status, EMET in default modus zal deze dus naar alle waarschijnlijkheid gewoon niet tegenhouden en er is geen workaround oplossing bekend.

Puntje op de i: de 'advisory' van Microsoft stelt dat EMET het waarschijnlijk wťl tegenhoud :)

Maar het zijn eigenlijk orthogonale zaken. EMET kan natuurlijk een geheugen corruptie zelf inderdaad niet tegenhouden. Maar een corruptie alleen is niet gevaarlijk.
Zoals Microsoft zelf zegt:
  • The Enhanced Mitigation Experience Toolkit (EMET) enables users to manage security mitigation technologies that help make it more difficult for attackers to exploit memory corruption vulnerabilities in a given piece of software. EMET can help mitigate attacks that attempt to exploit these vulnerabilities in Internet Explorer on systems where EMET is installed and configured to work with Internet Explorer.
Ik had wat verder naar beneden moeten scrollen, I stand corrected :) Nog steeds 1 dus.
tja, in ELKE! browser zitten lekken, dus als dat je reden is om geen IE te gebruiken dan kun je beter helemaal geen browser meer gebruiken..
Ik ben eerlijk gezegd meer onder de indruk hoe Tweakers wel over ene patch praat, maar de eerste officiŽle build van Windows 10 Threshold R2 volledig negeert.

Anyway, goed dat ze hier snel op reageren en niet wachten tot de volgende Patch Tuesday, hoewel dat concept met Windows 10 ook een de vuilbak lijkt te zijn gegooid daar er op onregelmatige basis al verschillende updates zijn uitgerold naar Windows 10.
Had even gewacht, de topic over de nieuwe update is er ondertussen al. En patch tuesday zijn ze van afgestapt. Updates rollen nu uit zodra ze klaar zijn.
Via WSUS kan je zelf patch tuesday aanhouden mocht je dat willen.
Oh echt? Dat is een slimme keuze.
Ze hebben al een aantal keer gelazer gehad omdat ze ondanks publicaties toch stug door bleven wachten op de Dinsdag... Ik kan me voorstellen dat het voor netwerk beheerders fijn is om 1 dag in de maand alles tegelijk te doen, maar aan de andere kant: dynamisch kunnen patchen is fijn en vaak ook veiliger. :)
Net geinstalleerd voor Windows 7, netjes die update, hoewel ik IE nauwelijks gebruik
En weer een rede alle adds te blocken:)
ben blij dat mijn router alle bekende advertentie servers blocked. ik maak me nergens druk over en als ik een add zie van een nieuwe server zet ik hem er even bij en is het opgelost.
Toevallig een paar dagen geleden IE van Windows 10 af gegooid, 2 nutteloze browsers vond ik iets te veel van het goede.
Liever IE11 dan Edge.
Je kunt bij opslaan van downloads geen locatie meer opgeven.
Ook de downloadmanager van Edge is veel slechter dan die van IE11.
Ook geen history onder de forward en backward knoppen vind ik hinderlijk gemis.
Het gebruik van favorieten in Edge vind ik verslechterd en Edge synct de favorieten ook niet.

[Reactie gewijzigd door 80466 op 19 augustus 2015 11:39]

En vergeet niet dat de enige search provider die in Edge gebruikt kan worden Bing is.
Ehhh, dit klopt beide niet (plusminus):
- je kunt EI favorieten (eenmalig) importeren in Edge.
- je kunt google als standaard zoekmachine instellen.
Ga hiervoor eerst naar Google.nl en voeg de pagina dan toe als default zoekmachine in settings.
.
Ps ik gebruik Edge zelf nog niet omdat er geen adblocker voor is.
Een adblocker voorkomt ook de hack van dit artikel, overigens.

[Reactie gewijzigd door Geekomatic op 19 augustus 2015 13:55]

Edge gebruikt gewoon de default search provider die je in Windows 10 hebt ingesteld.
Default is dat Bing maar dat kan prima Google of Yahoo of Baidu of nog iets anders zijn.
Ah, bij mij zei die dat andere search providers nog niet ondersteund waren.
Zal dat eens moeten bekijken, bedankt!
volkomen mee eens.
Volledig scherm is ook niet ingebakken.
Erger is dat de popup blocker instellingen van IE11 in Edge ontbreken. En het automatisch alles downloaden a la chrome is ook redelijk kansloos.

Edge is geen hol beter als FX/Chrome, terwijl IE naar mijn mening dat wel was. (ingebouwde adblock en beste ingebakken popupblokker bv)
Klopt, Edge heeft diverse slechte delen van Chrome en maar niet alle goede delen van IE11 overgenomen
Paar dagen geleden, via 1 of andere popup op een site gekomen, Edge automatisch 1 of ander (vrijwel zeker malware) begon te downloaden. Gewoon helemaal uitschakelen met een whitelist of override is naar mijn mening het meest prettig.

Ik vertrouw er redelijk op dat het nog wel komt, maar anders ga ik weer terug naar Palemoon oid.

https://windows.uservoice.com/forums/285214-microsoft-edge
Helaas zijn de meeste geupvote posts van die features die toch wel zouden komen.
Ik zou willen dat ik ook IE11 van Win10 kon afgooien. Zakelijk onmogelijk! Te veel sites lusten alleen IE. prive helaas ook wat sites die alleen goed werken met IE (o.a. Horizon.tv van Ziggo)
Horizon.tv werkt prima op firefox

standaardbrowser die ik gebruik is Chrome, mocht er silverlight in een website zitten zoals horizon.tv dan schakel ik over op firefox.

[Reactie gewijzigd door erwinwernars op 19 augustus 2015 11:12]

Standaard werkt hij niet meer, nee.
En ook Edge ondersteunt geen Silverlight. Dus als je toch nog sites wilt gebruiken die Silverlight nodig hebben, met je IE niet van je W10 systeem verwijderen.
Zijn er echt nog publieke websites die Silverlight gebruiken?
Het is al jaren deprecated en volgens mij kun je het niet eens meer gebruiken in Edge (geen ActiveX dus ik neem aan geen Silverlight).

Zelf kom ik het al jaren niet meer tegen. Dat is ook mooi, want Moonlight was nooit erg goed met video.
Ja, helaas wel. o.a. Azure SQL Management Portal gebruikt Silverlight :/
Edge ondersteunt inderdaad geen Silverlight.
Magister gebruikt silverlight (daar staan je cijfers, roosters etc op)
RTL XL gebruikt silverlight
Horizon.tv gebruikt silverlight

Voor de rest ben ik silverlight nooit tegen gekomen. maarja RTL XL en Horizon.tv is wel iets wat ik dagelijks bekijk.
RTLXL is over gegaan op flash, al een tijdje geleden.
Waarom niet gelijk op HTML5 dan.. Kansloos weer
Omdat niet alle systemen html5 video ondersteunen. Zo kan ik op mijn w2k8 r2 met ie11 geen html5 video kijken met bijvoorbeeld youtube en ben ik op flash aangewezen. :(
Komt dat niet gewoon door de niet te beste ondersteuning van HTML5 in IE? Alsnog kunnen ze overigens gewoon een fallback op Flash hebben, net zoals YouTube.
Ja, volgens mij omdat ik geen ondersteuning heb voor de Media Source Extensions(dat is volgens mij het gemis als ik naar youtube.com/html5 ga) en dat komt er ook niet voor ie11 op mijn systeem en windows7 als ik microsoft moet geloven.
Maar waar het probleem ook ligt, feit is dat niet alle systemen html5 video ondersteunen dus is het niet logisch om alleen maar html5 video te ondersteunen zoals hierboven gezegd en blijft flash nog nodig. Dit zal natuurlijk de komende jaren gaan veranderen, maar het heeft tijd nodig.
Wellicht dat een andere browser helpt, maar ik ben eigenlijk gewoon tevreden met ie11 en noodzaak is er nog niet.
Komt dat niet gewoon door de niet te beste ondersteuning van HTML5 in IE?
Ik denk omdat flash en silverlight gebruikt worden voor bijvoorbeeld geoblocking van content zodat je content niet buiten een bepaald land kan bekijken.
Met enkel HTML5 kan dat niet.
Ik kan netflix nog steeds te makkelijk omzeilen, is ook html5.
Dat moet je Łberhaupt niet doen op een windows server YouTube bekijken. Het is wel want bij mij doet het ook niet. HTML5. Terwijl wel de instellingen goed staan.
Ik heb ooit eens een legale key voor w2k8 r2 gekregen :) . En op dit moment windows 10 kopen zit er niet in.
Al het recente mobile spul ondersteund geen Flash en dat is meer bedoelt om filmpjes op de rtl site te bekijken dan een w2k8 installatie, eerlijk gezegd. Het is ook nog eens een grotere groep.
wie gebruikt er in hemelsnaam een server als werkstation? Echt een no-go....
Wie leest tegenwoordig de reacties niet en gaat vervolgens een vraag stellen die al beantwoordt is! Echt een no-go....
Dat doen ze ook https://twitter.com/rtlxl/status/619522340309831680 vast dat Flash als speler en HLS bandbreedte selector wordt gebruikt.
Apart dat dat alleen op Macs wordt gedaan.
Met "de Mac gebruikers" doelt ^YB wss op iOS gebruikers, want enkel iPad en iPhone ondersteunen HLS zonder hulp. http://support.jwplayer.c...30189-about-hls-streaming
Sinds magister 6 is silverlight niet meer nodig.
Zijn er echt nog publieke websites die Silverlight gebruiken?
Het is al jaren deprecated en volgens mij kun je het niet eens meer gebruiken in Edge (geen ActiveX dus ik neem aan geen Silverlight).
Silverlight/Moonlight zijn niet afhankelijk van ActiveX. Het werkt zoals Flash in veel browsers: als een NPAPI plugin. Dat is de reden dat het niet meer werkt in Chrome, omdat Google gestopt is met het ondersteunen van NPAPI (Flash zit ingebouwd in Chrome).
Zelf kom ik het al jaren niet meer tegen. Dat is ook mooi, want Moonlight was nooit erg goed met video.
En gelukkig wordt ook Flash steeds meer overbodig, omdat meer en meer videosites ook HTML5 video ondersteunen. Een goede ontwikkeling.
Tot de release van Chrome 45 kan je gewoon de NPAPI ondersteuning terug aanzetten in Chrome. Zal wel niet lang meer duren. :)
Maar IE heeft geen ondersteuning voor NPAPI. Silverlight was daarin iirc gewoon ActiveX.
Ik neem aan dat ze geen NPAPI in Edge hebben gestopt.
Ik verwacht ook niet dat ze veel moeite gaan doen voor de compatibiliteit omdat Silverlight deprecated is en IE (met ActiveX) nog steeds beschikbaar is.

Ik ben het in principe met je eens over HTML5 video, maar de licensing problemen (en hun gevolgen) zijn verschrikkelijk. Ik heb nog steeds geen hardware support voor h264 decoding in Firefox.
IE plugins waren idd activex.
Edge heeft geen NPAPI. Krijgt later dit jaar (hopelijk oktober dan) chrome's plugin API.

Dat hardware/drm ondersteunen voor h264 niet werkt is omdat Mozilla koppig is. Mozilla mocht het kosteloos gebruiken.
Ben eigenlijk wel benieuwd of het Microsoft Webbrowser component nog wel werkt als je IE11 er af gooit, want er zijn een boel programma's die daar gebruik van maken. Mogelijk dat die (dan) gewoon Edge gebruikt, maar ik vraag het me wel af..
IE kan je er zonder je daar zorgen over te maken gewoon afgooien. Blijf wel van Trident(mshmtl) af, gebruik geen rare 3rd party meuk om het uit Windows te slopen. Gewoon untikken in Windows features.
Helaas werk ik ook bij zo een bedrijf waar ze op de website durven zetten de de werking van enkel gegarandeerd is voor IE. Werken doen we zelfs nog met een odue versie waardoor google drive enzo niet beschikbaar zijn. Soms vraag ik me af wat voor IT dienst we hier hebben. (voor de duidelijkheid ik ben meer juridisch , dus geen ITer hier :))
Ik zou daarover (onderbouwd) klagen bij je manager. Dat is niet meer van deze tijd, hoewel ik me kan voorstellen dat men cloud-storage bewust niet accepteert.
ook al ben je IT'er... (zoals ik)
Zolang je geen manager bent heb je u aan te passen :-)
Werken ze ook nog met piepers en papieren agenda's?

Jemmig wat een droevenis als je anno 2015 dit nog als IT-afdeling als beleid hebt.

Zeker aangezien je daarmee dus zegt dat je voor een niche-browser ontwikkelt, aangezien anno 2015 Chrome (Blink is een fork van Webkit) en Safari (Webkit) compleet dominant zijn, zeker op mobiele devices. Chrome is ook inmiddels dominant op de gewone computer (Safari is alleen voor mensen met OSX en daarmee is het marktaandeel op computers per definitie beperkt gezien het marktsegment van Apple)

[Reactie gewijzigd door Pyrone89 op 19 augustus 2015 12:43]

Op de desktop is IE nog altijd ~50% van de markt, hoezo niche?
Dat hebben ze eigenlijk vooral te danken aan de zakelijke markt. Dat verschil kun je goed zien door gebruik op werkdagen te vergelijken met dat op weekenddagen
Een groot gedeelte van de zakelijk gebruikte IE's komen niet tot nauwelijks hun interne netwerk uit.
Jurist en google drive. Daarom heb je een IT dienst! ;)
Ik zie dagelijks nog websites die IE only door integratie met bepaalde tools.

Als een bedrijf voor IE als standaard browser heeft gekozen, waarom zouden developers dan alsnog Chrome / Firefox / whatever ondersteuning inbouwen?

Ondersteuning voor elke browser is vrijwel alleen relevant voor websites die dan ook buiten het intranet beschikbaar zijn.
Wij hebben ook zo'n site. Vziw kun je alleen in IE vertrouwde sites instellen. Voor de rest gebruik ik Firefox.
Hetzelfde is nu al een paar jaar gaande met Chrome-only websites.

Of dat "protest" van sitebouwes dikke 10 jaar geleden, firefox-only websites. Of dat je bijna voor achtelijke gladiool uitgemaakt(door grote websites notabene) werd enkel omdat je IE gebruikt....
Dat is inderdaad ook niet goed.
Een website hoort gewoon te werken in alle grote grote, en moderne, browsers.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True