Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker vindt zero-daykwetsbaarheid in Internet Explorer 11

Een beveiligingsonderzoeker heeft een kwetsbaarheid in Internet Explorer 11 aangetroffen waar nog geen patch voor is. Het lek betreft de manier waarop IE met mht-bestanden omgaat. IE 11 is de standaardbrowser die deze bestanden opent.

Beveiligingsonderzoeker John Page ontwikkelde een exploit voor de kwetsbaarheid. Hij testte deze met succes op Internet Explorer 11 op actueel bijgewerkte Windows 7-, Windows 10- en Windows Server 2012 R2-installaties.

Het betreft een zogenoemde XML External Entity-aanval, die enkel vereist dat een gebruiker van Windows verleid wordt een speciaal vervaardigd mht-bestand te openen. Optioneel kan een aanvaller zorgen dat de waarschuwing van IE bij het intialiseren van ActiveX-objecten achterwege blijft. Mht-bestanden betreffen MHTML Web Archive, een formaat om webpagina's te archiveren. Waar de meeste browsers pagina's inmiddels gewoon als html-bestanden opslaan, doet Internet Explorer dat nog standaard in mht, schrijft ZDNet.

Eveneens is Internet Explorer de standaardbrowser die dit soort bestanden opent. Ook als een Windows-gebruiker dus een andere browser als standaard heeft ingesteld en IE nooit gebruikt, zal deze browser van Microsoft bij de beschreven aanval openen. Dit zal een aanvaller volgens Page potentieel in staat stellen lokale bestanden weg te sluizen en onderzoek te doen naar versies van programma's die de gebruiker heeft geïnstalleerd. Dit laatste kan het mogelijk maken via andere kwetsbaarheden toegang tot het systeem te verkrijgen, als de gebruiker oude kwetsbare versies van software draait.

Microsoft heeft beoordeeld dat de impact hiermee laag is en het bedrijf zal ergens in de toekomst overwegen het lek te dichten. Page heeft Microsoft 27 maart ingelicht over het lek en na het krijgen van het antwoord besloten erover te publiceren.

Door Olaf van Miltenburg

Nieuwscoördinator

15-04-2019 • 08:22

98 Linkedin Google+

Reacties (98)

Wijzig sortering
Tjah, hoewel Internet Explorer nog steeds wel ondersteund wordt is het misschien toch beter om ervan weg te bewegen naar alternatieven van Microsoft of andere partijen. Het idee is sowieso dat Internet Explorer straks niet meer gebruikt wordt. En wat bij betreft hoe eerder hoe beter.

En verder zou ik als bedrijf zijnde op bedrijfsniveau filteren op deze mht bestanden aangezien Microsoft er voorlopig geen patch voor uit gaat brengen.

[Reactie gewijzigd door Archcry op 15 april 2019 08:31]

Helaas gebruiken veel overheden - lees in ieder geval gemeenten en provincies en ik denk het rijk ook - nog Internet Explorere 11. Als bedrijf zijnde hebben wij daar veel last van bij ondersteuning
Ik werk zelf bij een overheidsorganisatie. Wij zouden graag IE 11 niet meer gebruiken en voor het overgrote deel van de tijd doen we dat ook niet meer. Maar onze archiveringssoftware (een programma dat je niet 1, 2, 3 even vervangt) heeft per se IE 11 nodig om te werken. Nog erger, je moet IE 11 als standaard browser hebben ingesteld anders werkt de software niet. :-(
De leverancier blijft in principe in gebreke door te vereisen dat je een zes jaar oude browser gebruikt. Van de andere kant neem ik aan dat niet iedereen in de organisatie die software zal gebruiken dus is het de verantwoordelijkheid van je IT afdeling dat ze goed alternatieven bieden.
Leverancier bouwt wat je in het plan van eisen zet.
Dus de eis hier was...

"Het systeem mag alleen in IE11 werken. Het mag in geen enkele andere browser ook werken".

Lijkt me niet. Lijkt me eerder een gevalletje incompetentie/laksheid.
Nee, er heeft geen eis in gestaan dat je meerdere browsers kunt gebruiken.
Waarschijnlijk wel de eis dat het IE moest draaien, omdat ze dat gebruikten.
Je hebt gelijk dat de leverancier hiervoor verantwoordelijk is. Helaas is het wel een situatie waar we nu mee moeten werken. Nagenoeg iedereen in onze organisatie gebruikt deze software (wel op de achtergrond, maar iedereen moet er dus wel bij kunnen). Vervangen zal dus een grote operatie zijn. Sowieso is vervangen een lang traject waarbij je zo een jaar verder bent. Een probleem bij ons is onder andere dat een besluit om deze software te vervangen moet worden genomen door het management team en laten die hier nu net de noodzaak niet van in zien...
Het aloude horror verhaal - het moet gebeuren maar er is niemand met de spierballen om aan management uit te kunnen leggen waarom het een stel dombo's zijn als ze niet investeren.

Managers gaan nooit veranderen, IT blijft een kostenpost in plaats van een investering. Er moet tenminste iemand in het team zijn met de verbale kunde om er een business case van te kunnen maken in plaats van een kostenpost.
Altijd makkelijk ouwehoeren over iets wat je niet weet...

Geen idee wat je met spierballen kunt hierin, denk helemaal niks. Als je al 400k boven budget zit en er niet meer rek is heb je pech. Als herschrijven 3 jaar kost, kapitalen en het er over 2 jaar toch uit moet heb je pech. Als de leverancier failliet is en er voorlopig mee verder moet heb je pech. Als ze qua budget en beschikbaarheid kunnen kiezen tussen dit lek of een veel kritischere dichten heb je pech.

Kan nog wel ff doorgaan. Roepen dat altijd alles maar geregeld moet zijn is lekker makkelijk. Vind het prima hoor, zolang het voor 100% uit jouw, en alle andere beste stuurlui aan wal, belasting betaald wordt dan. Heb liever dat ze weloverwogen besluiten maken, ze kappen al bergen met geld naar mislukte projecten, uitgelopen projecten en 4x over budget projecten. Enige relativatie is m.i. extreem wenselijk en die is hier niet vermeld, maar wel oordelen....
Hoezo leverancier in gebreke?

als de software 6 jaar oud is was er niks mis met de eis.
En als er vervolgens niet betaald wordt voor lopende support/upgrades dan heeft de leverancier toch alles goed gedaan.

Je kan eerder zeggen dat de organistatie in dit geval een fout heeft gemaakt door te accepteren dat de applicatie alleen werkt met IE11. en niet ook nog met andere browsers.
In gebreke is niet helemaal de correcte term. Nalatigheid is een beter woord want voor deze software wordt geheid betaald.

Ik heb bij verschillende grote softwarehuizen gewerkt ik ben daar nooit een pakket tegengekomen dat alleen goed werkte in IE. Het klinkt als prutserij in mijn oren.
Ik ben het principe met je eens; weg met die ouwe meuk.
Aan de andere kant: Internet Explorer wordt nog steeds meegeleverd met de meest recente Windows builds, en ook nog gewoon onderhouden.
Dat doet Microsoft natuurlijk primair uit compatibiliteits-overwegingen: juist door IE nog op werkplekken mee te leveren is er geen excuus voor bedrijven om niet te upgraden naar Windows 10. Sterker nog: IE11 is met zijn alternatieve docmodes en met de aanvullende beheertools de meest beheerbare en compatible (met oude IE's) Internet Explorer die er ooit geweest is.
M.a.w.: ze (de leveranciers) komen er gewoon mee weg; ze blijven ontwikkelen op basis van een oude standaard, die vooral nog aanwezig is om 'oude' spullen te kunnen laten draaien.
Het is vaak zo dat binnen een bedrijf of organisatie tussen IT en Business afspraken worden gemaakt welke browser er standaard wordt geïnstalleerd en gesupporteerd door IT. In dit geval en in veel bedrijven is IE11 de standaard, punt. Een andere browser kan getolereerd worden maar niet gesupporteerd door in-house IT.
Stel je eens voor dat je IT afdeling alle browsers moet supporteren omdat een gebruiker liever met Chrome werkt dan met IE11. Dat betekent dat je alle verschillende browsers moet ondersteunen voor allerlei plugins dat intern worden gebruikt, plus dat je security en updates in orde moet hebben voor elke browser.
Ja dat werkt met een grote IT afdeling binnen het bedrijf/organisatie maar niet met een kleine, en je weet dat binnen elk bedrijf de IT-kosten omlaag moeten.

Dat terzijde is zoals @demonic aangeeft dat de externe leverancier een op maat gemaakte software heeft doen werken met de standaard browser van het bedrijf. Waarschijnlijk heeft men daar een supportcontract gehad van 1 à 2 jaar. Nu zijn we 6 jaar verder en moet dat herschreven worden, maar geen budget. Ja, het eerste dat een bedrijf cut bij kostenbesparing zijn de supportcontracten.

Zolang men Win7 gebruikte was/is het geen probleem. Windows 7 bestaat sinds 2009. Nu Microsoft support eindigt in 2020 of je moet ervoor betalen zijn bedrijven genoodzaakt om over te stappen. Je vindt als bedrijf bijna geen nieuwe hardware meer waar de chip of de fabrikant Win7 ondersteunt.

Dus heeft de organisatie van @AWitteveen meerder opties; upgraden/nieuwe software (hoge kost), sandbox, app-virtualisatie, aparte PC zonder internet maar binnen het netwerk, ...
Moet de IT-afdeeling hier alternatieven bieden voor een software dat extern werd gebouwd op vraag van de Business? Neen, de Business moet een keuze maken. De IT-afdeling zit mee aan tafel met Business en externe partner.

Je zou eens moeten weten hoeveel PCs hier nog 95, 98, NT, XP, ... draaien. Maar die zitten in een apart netwerk ver weg van het Internet.
6 jaar geleden was er nog geen sprake van Edge, dus geef ik ze (die leverancier) op zich groot gelijk. MS heeft IE11 in Windows 10 zitten, dan supporten zij het óók maar gewoon.
Ik werk zelf bij een overheidsorganisatie. Wij zouden graag IE 11 niet meer gebruiken en voor het overgrote deel van de tijd doen we dat ook niet meer. Maar onze archiveringssoftware (een programma dat je niet 1, 2, 3 even vervangt) heeft per se IE 11 nodig om te werken. Nog erger, je moet IE 11 als standaard browser hebben ingesteld anders werkt de software niet. :-(
Blijkbaar niet graag genoeg, anders was het probleem opgelost ipv lapmiddelen. Zelfs met iets als WINE zou dit wel op te lossen moeten zijn. Kwestie van out of the box denken.
Ja goed, dat is allemaal leuk en aardig maar we zijn nu toch al een heel aantal jaren onderweg met alternatieve browsers van zowel Microsoft als derde partijen. Ik vind het excuus "we moeten het ondersteunen omdat patij x het nog gebruikt" altijd een beetje een onzin argument. Ik vind een oplossing als een prijskaartje voor support op Internet Explorer voor die bedrijven wel een goed idee. En dan het liefst een prijskaartje wat elk jaar minder leuk wordt voor de bedrijven zodat er in ieder geval een drijfveer is voor de betreffende bedrijven om eens in het jaar 2019 te gaan leven op technologisch gebied.
Vergeet niet dat IE11 nog steeds de standaard browser op servers is en daarmee dus ook voor shared desktop hosts. Edge werkt daar niet op. En doordat veel interne websites nog met IE werken wordt deze vaak als standaard ingesteld op dat soort shared desktop hosts.
Wordt tijd dat MS daar eens wat aan gaat doen. Een server hoort helemaal geen browser te hebben. Beter om die gewoon helemaal te verwijderen, eventueel met installatiemogelijkheid voor mensen die toch perse hun server als desktop willen gebruiken.

Van onze Linux servers is er maar 1 die uberhaupt een browser geinstalleerd heeft (Firefox). Dat is nodig voor Selenium (web crawler), en draait alleen in headless mode. Maar browsen zelf doen we op onze laptops/werkstations, niet op de servers zelf.
Windows Server heeft een browser omdat je ook op servers bij dingen moet komen en ook daar vaak een boel webbased is.

IE op Windows Server staat naar buiten toe default uit de doos pot dicht getimmerd. En je moet van alles open en uit zetten voordat je uberhaupt een beetje fatsoenlijk op het publieke WWW rond kan surfen. Default kom je niet op google bv. Gewoon browsen lukt daar niet zo maar mee. Tenzij je bewust de security van je Windows Server om zeep helpt.

[Reactie gewijzigd door batjes op 15 april 2019 11:09]

Huh ? wat praat jij nou voor onzin ...

1 klikje en je kan zo via elke server bak naar het www. (zonder issues).

Het grote probleem met IE is dat heel Sharepoint alleen goed werkt als IE geinstalleerd staat. Zonder IE mis je gewoon functionaliteit in sharepoint (links / edit knopjes verdwijnen of rare dingen gebeuren).

Tegenwoordig heb je helemaal geen browser meer nodig voor het managen van windows met nano en core. Maar om nou te zeggen dat het default uit de doos dichtgetimmert is. 1 wmic instelling of 1 vinkje in system dashboard en je kan volop internetten zonder issues.
Toegevoegd aan 2016 op verzoek van serveradmins. Op normale wijze met default instellingen mag je alsnog meerdere security settings omzetten en sites whitelisten. Zoals op de Windows servers hiervoor ook de standaard was.

Je moet bewust je security uitschakelen om normaal te kunnen browsen op Windows Server.
Nee, op 2008 of 2012 is het ook 1 klikje. of 1 commando.
Ooit van Remote Desktop Servers of Citrix gehoord, waarbij gebruikers inloggen op een server om vanaf daar hun werk te doen? Natuurlijk hoort een server dan wél een browser te hebben.
Een backend- of applicatieserver? Nee, wellicht niet nodig. Maar je hebt dan ook gewoon de mogelijkheid IE te verwijderen. Ik heb het nooit geprobeerd moet ik zeggen.
Citrix werkt dmv netscaler. Dus dan hebben ze geen browser nodig.
RDapps kan je direct in het start menu hangen dus heb je ook geen browser nodig.

Ofcourse kan je een browser op een server installeren wanneer je het nodig hebt, maar dan is het nooit IE of chrome (als je om je privacy geeft).
IE en Chrome kunnen prima in een zakelijke omgeving als je om je privacy geeft. Al dat phone homen is uit te schakelen.

Op werk is de enige plek waar ik gerust af en toe Chrome gebruik.
Ja en nee :

Powerbi met chrome is een hell in enterprise : sommige klanten hadden ineens hele gebroken dashboards omdat chrome weer eens wat aanpaste in een versie zonder het te benoemen.

IE in enterprise zie je wel vaker . Chrome lang niet zo vaak (zeker bijna nooit goed dichtgezet).
Ja, en de volgende update staat de helft weer open.
Dit hebben we al een paar keer gezien.
Nee dank je hartelijk. Ik blijf lekker FF gebruiken, ook op windows servers.
Netscaler is de appliance waarmee je de omgeving ontsluit, eigenlijk een gepimpte ssl reverse proxy. Dat je die gebruikt heeft compleet niks te maken met wel of niet een browser aanbieden. Je biedt via die netscaler desktops of apps aan. Maar zélfs wanneer je alleen apps aanbiedt zou prima een browser tussen passen. Misschien werkt je werk t voor een bank, waar van enkel bepaalde ip-adressen in bepaalde (evt derde partijen) systemen mogen.

Browser op een server aanbieden, óók op Citrix is vaak nodig, JUIST omdat het zo'n controleerbare omgeving is.
Ik snap je punt maar ik snap niet helemaal waarom het zo moeilijk is om edge ook gewoon op deze server edities te leveren. Het is toch gewoon een en dezelfde partij? Edge standaard erop, IE uitfaseren.

Edit:
En geld vragen voor extended support voor IE wat elk jaar duurder wordt, net zoals ze met Windows 7 van plan zijn.

[Reactie gewijzigd door Archcry op 15 april 2019 10:04]

Server edities zijn gebaseerd op de LTSR van Windows 10. Dat houdt in dat er geen Microsoft Store is en geen support voor Windows Universal Apps. Laat Edge nou net dat laatste zijn...

Dus Edge kan alleen worden toegevoegd als ze ook Universal Apps op servers gaan ondersteunen.
Klinkt nogsteeds als een probleem wat Microsoft moet oplossen in ieder geval.
Eerste wat ik doe is chrome erop zetten. Niet mee te werken anders.
Niks staat je in de weg om Chrome Enterprise te installeren. En nu Windows 10 Enterprise Multi User/Session er aan komt is dat een mooie vervanging.
Ja tot die partij zegt, jaa daaggg dit wordt ons te duur we gaan naar jullie concurrent die WEL IE11 support en ondersteuning biedt. En dan ben je verder van huis als je klanten weggaan...
Welke concurrenten precies? Vooralsnog draait IE volgens mij alleen op Windows en is Microsoft de enige partij met de source code van IE. Daarnaast zitten ze met alle andere programma's die ze gebruiken waarschijnlijk ook gewoon vast in het Windows ecosysteem. Ik denk niet dat dit het probleem is.

[Reactie gewijzigd door Archcry op 15 april 2019 09:57]

Daar heb ik het niet over, ik heb het over het feit dat jij zegt dat je aan mensen extra geld moet gaan vragen voor ondersteuning van applicaties die op IE11 moeten draaien. Ikzelf werk bij een software bedrijf en leveren bouwinformatie systemen aan bedrijven. Deze runnen ook allemaal nog op IE11 en verplichten ons een soort van ondersteuning te geven voor IE11 in onze software. Wij hebben al vaker gezegd dat IE11 ons veel hoofdpijn bezorgt voor het werkend krijgen van onze applicaties, maarja klant betaald dus klant bepaald.

Ik las jouw verhaal vanuit het perspectief dat wij onze software klanten extra geld moeten gaan vragen voor IE11 ondersteuning, maar dan zegt onze klant gewoon doodleuk: "oke, dan gaan we naar jullie concurrent, die is goedkoper en bieden wel IE11 ondersteuning".
Nee, dan begrijp je mij verkeerd. Ik bedoelde dat Microsoft hun klanten extra geld moet laten betalen voor IE ondersteuning. Volgens mij is dat ook hun plan voor mensen die Windows 7 willen blijven gebruiken.
Ja, dan heb ik je inderdaad verkeerd begrepen! :p Mijn excuses :)

Maar dat microsoft geld gaat vragen voor verdere ondersteuning van IE11, lijkt me een goed plan. Zal ons als developers ook zeker helpen, zodat wij ondersteuning van IE11 in onze software ook eindelijk eens kunnen laten vallen :p
IE draaide ooit ook op OSX. En via vm's elders.

[Reactie gewijzigd door batjes op 15 april 2019 11:10]

Op OSX? Via een officieel kanaal?

In een VM draait hij alsnog op een Windows bak, dus dat telt niet.
Microsoft had jaren geleden officieel IE op OSX uitgebracht.

MS biedt ook al sinds IE9 ergens van die single program VM's aan die je overal kan draaien en bijna "alsof het native" is kan gebruiken. Het telt inderdaad niet helemaal, maar zo heb ik IE9 en IE10 destijds prima gebruikt op mijn Debian install. Draaide prima.
Ja oke, die Wikipedia pagina was ik ook al tegen gekomen, maar of die manier van IE gebruiken relevant is in deze context denk ik niet. Vooral omdat de eerste zin in het wikipedia artikel dit is:

"Internet Explorer for Mac OS X (also referred to as Internet Explorer for Macintosh, Internet Explorer Macintosh Edition, Internet Explorer:mac or IE:mac) is an unsupported inactive proprietary web browser developed by Microsoft for the Macintosh platform."

We hadden het namelijk over concurrerenten die IE wel updaten.

[Reactie gewijzigd door Archcry op 15 april 2019 11:39]

Bij RVO (onderdeel van EZK) gebruiken ze IE11 inderdaad.
Komt door Single Sign On. Werkt toch het beste en makkelijkste in IE.
Tja, hier bij de gemeente gebruiken ze ook nog steeds windows xp.
Dat scheelt weer, daar zit geen IE 11 in.
Mooi voorbeeld van terug on-topic. :Y)
Helaas hier hebben we ook problemen met IE.

We hebben een belangrijke applicatie eChamp wat door veel vliegmaatschappijen wordt gebruikt.
Wanneer er errors vanuit de server / machine komen. Wordt dit via IE afhandelt. Maar alleen in IE werkt het goed. In Chrome / Firefox niet :( zo dus vorige week een critical update gedownload vanuit MS was de hele IE meteen onbruikbaar geworden waardoor er een grote backlog aan orders, vrachtbrieven niet werkte en dus moest corrigeren via via.

Het is echt belachelijk hoeveel impact dit heeft. Maar dit komt omdat de ''vorige manager'' hiervoor koos en allea daarop verder werd gebouwd. En nu dus moeilijk kunnen migreren aangezien alle externe bedrijven die ook toegang tot de eCHAMP hebben dus ook zouden moeten migreren voor iets simpels als webbrowser.
Maar hoe je het ook wend of keert er zal gemigreerd moeten worden voor zoiets simpels als een webbrowser. Uiteindelijk zal IE uitgefaseerd worden en moeten bedrijven wel mee. Dus als men slim is dan zet men dit migratie traject liever gister dan vandaag in gang. Ik snap dat het niet iets is waarop je zit te wachten als bedrijf maar ook minder leuke dingen horen bij het leven en kosten geld. Je loopt je voeten toch ook niet kapot op oude schoenen omdat dat de enige schoenen zijn waar je veters in passen? Dan koop je toch ook gewoon nieuwe schoenen met nieuwe veters?
Bij ons op werk zijn we daar mee bezig. We zijn al jaren aan het klooien om sommige applicaties zelf maar opnieuw op te bouwen en het antieke verleden achter ons te laten. Maar dit is niet altijd even makkelijk. Voor kleinere organisaties is dat misschien een keuze. Voor een organisatie als waar ik werk, alles behalve. Wetgeving en enorme afhankelijkheid van derden maken het heel lastig. Even duizenden applicaties, duizenden systemen met databases en afhankelijkheden die ver de vorige eeuw in lopen updaten naar vandaag doe je niet zo maar.

Het is geen optie van even nieuwe schoenen kopen. Er is in sommige gevallen gewoon geen keuze en een partij ergens toe dwingen kan een process zijn die jaren gaat lopen, als je het geluk hebt dat die partijen nog bestaan. Je kunt als organisatie ook niet alles tegelijk onder handen nemen en hebt te maken met prioriteiten in een altijd veranderende wereld waar het bijhouden nooit ophoudt.
.

[Reactie gewijzigd door 0.0 op 15 april 2019 13:29]

Nja, zoals ik ook in het comment hierboven zeg moet Microsoft eigenlijk internet Explorer actief ontmoedigen. Ik snap wel dat ze niet zomaar kunnen zeggen "we gooien het eruit" maar ze kunnen wel andere maatregelen treffen om het gebruik van Internet Explorer te ontmoedigen. Als het aan de bedrijven en instellingen die het product gebruiken ligt dan bestaat Internet Explorer in 2119 nog.
Dat doen ze ook wel een beetje (zie mijn andere bericht hieronder).
Het ding is dat IE niet zomaar uit Windows te halen is omdat de DLL/libraries door veel dingen gebruikt worden, zoals bv Outlook email rendering, of andere delen van Office zoals PowerPoint en Word. Bepaalde webview components en weet ik het.
Ook preview panes in explorer etc etc. Het zit helemaal verwikkeld in vanalles wat het OS doet.

[Reactie gewijzigd door jozuf op 15 april 2019 09:02]

Nee oke, maar dan kan je dat toch uiteindelijk de browser zelf wel ontoegankelijk maken voor de gebruiker zonder de andere programma's die er gebruik van maken te breken?
Dat kan zeker idd. Dat word alleen nog niet echt gefaciliteerd vanuit MS op een makkelijke manier. Wellicht dat ze dat gaan doen als ze zelf weer iets fatsoenlijks hebben (stille hoop), want Edge is het nu ook niet helemaal.

[Reactie gewijzigd door jozuf op 15 april 2019 09:08]

IE != Trident.

Outlook gebruikt trouwens Trident niet en gebruikt Word als engine. Net als alle overige Office applicaties.

IE11 is gewoon uit te schakelen via Windows Features.
uitschakelen != verwijderen (er blijft vanalles achter, de exe van IE verdwijnt wel idd).
En trident is gewoon de renderengine, dus dat is feitelijk/bijna (helemaal) IE (behalve dat IE nog een GUI schil heeft en Chakra, de JS engine). Het staat zelfs in de UA van IE;

Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko

En je verhaal over outlook klopt tegenwoordig. Maar als we toch gaan mierenneuken over definities; met Outlook 2010 is dat veranderd als ik het goed heb, daarvoor was het gewoon de renderengine van IE.

[Reactie gewijzigd door jozuf op 15 april 2019 11:33]

IE wordt gewoon uitgeschakeld hoor. Deze exploit is dan niet meer te gebruiken. Trident != IE. Blink is toch ook geen Chrome en Firefox is tevens geen Gecko.
En over mierenneuken, alleen Outlook 2000 en 2003 gebruikte Trident. Of naja, direct IE zelfs.

[Reactie gewijzigd door batjes op 15 april 2019 13:40]

Ja IE word uitgeschakeld waardoor het niet meer met een dubbelklik te exploiten is.
Het is nog steeds te exploiten als er ergens een component in een app zit die van "trident" (om maar de super precieze benamingen te gebruiken. Je hebt gelijk hoor, wilde het vooral makkelijk houden) gebruik maakt en je de exploit daarin krijgt. Dat is uiteraard veel lastiger om te exploiten.

[Reactie gewijzigd door jozuf op 15 april 2019 12:57]

Maar op Android is dat keurig gescheiden in 2 pakketten, dus op Windows zou dat ook kunnen.
Wat is dat nou weer voor een rare aanname? Kijk anders eens in "Programs and Features", daar kun je Windows pakketten aan of uit zetten en zo ook IE11.
Ja, als zelfs MS medewerkers zelf zeggen dat het moet stoppen met die onzin browser, dan moeten we dat toch is een keer serieus gaan nemen.
Het is niet alleen keihard verouderd, het "Creating technical debt by default" is een serieus probleem waardoor het alleen maar in stand word gehouden. Wij moeten hier op het werk ook IE11 ondersteunen, maar ik vertik het by default daar dingen in te maken/testen, dat doe ik pas helemaal aan het end. Tijdens ontwikkeling gebruik ik zelf Chrome omdat ik het persoonlijk het fijnst vind. Maar het maakt eigenlijk niet uit wat je gebruikt als het maar iets is wat dichtbij de standaard komt. En juist IE wijkt al sinds jaar en dag compleet af van de standaard.
Het is makkelijker het compleet te testen in ontwikkeling in iets wat standard compliant is en dan vervolgens kleine hacks te schrijven voor dat drakending van een IE.
Ja het probleem zit hem inderdaad in de catch-22. Mensen ontwikkelen voor IE omdat mensen gebruik maken van IE omdat mensen ontwikkelen voor IE omdat mensen gebruik maken van IE omdat men... etc.
Ach, ik heb nog legio klanten die graag vanuit de Verkenner een snelkoppeling willen hebben naar Sharepoint online. Nu wérkt dat in theorie wel, MS ondersteund het officieel niet meer maar het wérkt wel, via WebDAV / netwerkschijfmapping.

Probleem is alleen dat je moet inloggen op Sharepoint via IE en dan een aantal dagen die koppeling kan gebruiken. Op een gegeven moment verloopt je authenticatietoken/'cookie' van O365 en moet je opnieuw aanmelden, daarna werkt spontaan die mapping weer.

In Edge en andere browsers werkt dat niet, in IE wél.
Tjah, hoewel Internet Explorer nog steeds wel ondersteund wordt is het misschien toch beter om ervan weg te bewegen naar alternatieven van Microsoft of andere partijen.
Maar dat helpt dus niet. Andere browsers registreren zichzelf standaard niet als het programma waarmee .mht-bestanden moeten worden geopend. Dus zelfs als je een andere browser installeert én die instelt als standaard browser, dan ben je nog steeds kwetsbaar. Je moet expliciet de associatie van dit specifieke type file aanpassen (desnoods naar Notepad, want serieus, is er iemand die dit soort bestanden nog gebruikt!?). Tenzij je dat gedaan hebt ben je (voor zover ik kan beoordelen) kwetsbaar zolang IE überhaupt maar aanwezig is op je computer (elke Windows bak vanaf minstens Win95; er is sindsdien nooit meer een Windows geweest waar je IE écht kunt deïnstalleren).
Ja daarom zeg ik dus ook dat bedrijven moeten filteren op die extensie. Daarnaast moet Microsoft gewoon wat actiever IE ontmoedigen en zorgen dat MHT bestanden niet standaard met IE worden geopend.
Dat gaat niet helpen, want:
Eveneens is Internet Explorer de standaardbrowser die dit soort bestanden opent. Ook als een Windows-gebruiker dus een andere browser als standaard heeft ingesteld en IE nooit gebruikt
Misschien gaat dat als gebruiker niet helpen maar Microsoft kan hier ook zelf stappen in ondernemen door er bijvoorbeeld voor te zorgen dat IE de mht bestanden niet meer standaard opent.
het probleem is dat ook als IE niet je standaard browser is,
deze bestanden WEL geopend worden door IE,
dus iedereen die windows gebruikt en niet expliciet deze extentie heeft aangepast is vatbaar voor dit probleem.
Zie mijn reactie op de twee mensen die ditzelfde aankaarten.
je hebt daarbij gelijk,
MS is aan zet hier.
Ik probeer alleen duidelijk te maken dat het niet gebruiken van IE niet helpt bij dit probleem.
"Page heeft Microsoft 27 maart ingelicht over het lek en na het krijgen van het antwoord besloten erover te publiceren."

Dat vind ik onverantwoord snel.
Als Microsoft heeft aangegeven om in de toekomst te overwegen om dit te patchen, hoe lang wil je dan nog wachten met publiceren? Het is dan toch duidelijk dat ze er niks mee gaan doen.
Minimaal 1 patchronde, en eigenlijk zelfs 2. Google geeft toch ook 90 dagen de tijd, behalve als de exploit al actief misbruikt wordt. En de reactie geeft helemaal niet aan dat ze er niks mee gaan doen, alleen dat er NU geen hotfix voor komt, maar het sluit niet uit dat het probleem gewoon opgelost is in de eerst volgende patchronde, of die daarna.
Het publiceren komt mij meer over als iemand die gewoon zijn zin niet meteen heeft gekregen. En het antwoord zal gewoon een standaard antwoord zijn geweest.
Er wordt gezegd dat zelfs als IE11 niet actief is de kwaadwillige de exploit kan gebruiken. Ik snap niet waarom Microsoft er dan zo makkelijk over doet om een fix uit te brengen. Standaard wordt IE11 toch mee geinstalleerd? De huis, tuin en keuken gebruiker zal echt niet IE11 zelf dan nog verwijderen, afgezien van het feit dat een huis, tuin en keuken gebruiker misschien niet interessant genoeg is om deze aanval op uit te voeren.

[Reactie gewijzigd door eddieveenstra op 15 april 2019 22:06]

Via IE 11 kun je met dit lek binnenkijken, maar de mogelijkheden zijn beperkt. Je zult een andere kwetsbaarheid moeten gebruiken om iets te doen. Daarmee is de impact gering en de behoefte van kwaadwillenden om dit lek te misbruiken ook.
Op 27 maart heeft hij dit gemeld, op 10 april heeft hij antwoord gekregen van microsoft dat er niet meteen een hotfix voor komt, maar dat ze kijken voor een toekomstige update. Vind dat de 'researcher' dan toch op zijn minst 1 of 2 patchrondes had kunnen wachten met het publiekelijk maken van deze exploit, tenzij hij al zelf zag dat deze ook al door hacker gebruikt wordt (dit soort mensen zijn vaak redelijk goed op de hoogte van welke exploits er actief gebruikt worden). Nu klinkt het meer als gewoon, 'oh dus jullie willen het niet direct oplossen, dan publiceer ik de informatie gewoon' ofwel als een geirriteerd manneke die zijn zin niet krijgt.
Men moet dus al een speciale mht bestand hebben, dan moet de gebruiker nog dit bestand openen, dan kan de hacker misschien kijken wat er voor bestanden etc op de pc staan, maar dan is er nog steeds een andere exploit nodig om wat kwaadaardigs te kunnen doen.
Ok. Bedankt voor de info. Ik gebruik zelf nog IE11 vandaar de bezorgdheid.
"die enkel vereist dat een gebruiker van Windows verleid wordt een speciaal vervaardigd mht-bestand te openen."

Move along, nothing to see here.
Dat zou ik niet zo snel zeggen, zoals de video laat zien doet Windows Defender er niets mee en ook SmartScreen gaat niet af. Bij het openen van onbekende executables krijg je ook nog een popup die je door moet klikken, dat gebeurt hier ook niet.

Ook is mht geen bekend bestandstype dus de niet zo technische maar toch enigszins handige gebruiker die voorzichtig is met PDFs maar niet met PNGs weet niet dat dit bestand een risico kan bevatten.

Het is misschien geen zware 0day maar toch zie ik de risico's hier wel van in.
Ik zie alleen PEBCAK scenarios hier.
En als een gebruiker niet kundig genoeg is met een computer, verdient hij/zij het om gekraakt te worden? Je hebt wel hart voor de gemiddelde gebruiker he ;-)
Nee, want sommige exploits in het verleden konden via de browser zonder hulp van de gebruiker het systeem compromiteren. DAT zijn ernstige dingen.
Dat is waar voor bijna alle scenario's. Op aanvallen van natiestaten na zijn alle virusinfecties te voorkomen, gewoon niet op de PDF in de mail klikken, gewoon niet illegaal downloaden, gewoon een adblocker installeren, ga zo maar door.

Punt is dat Windows diverse beveiligingssystemen in de UI heeft ingebouwd en dat die hiermee omzeild worden. Als alle computergebruikers zo slim waren om geen rare bestanden te openen, hadden we alleen bij grote bedrijven antivirussoftware nodig gehad.
Het probleem met "gewoon niet op de PDF in de mail klikken" is dat het juist het werk van sommige mensen is om wél documenten uit de mail te openen. Als je een mail krijgt van wat op het oog een vertrouwde partner is, snap ik best dat je zonder verder nadenken een document opent.
Maar als je een gebruiker zo ver krijgt random meuk te uitvoeren... ben je al binnen. Wat er daarna gebeurd is al heel snel minder van belang.

mht is gewoon een bestandstype. Of telt het mhtml niet meer mee met een 3 karakter bestandstype versie uit het 8.3 tijdperk. Toen men websites nog offline moest hacken zonder support uit het HTML standaard zelf.
gelukkig kun je IE 11 gewoon uit je Windows 10 installtie slopen :P
Ik gebruikte hem voor Ziggo, heb vanilla IE. geen adblockers. Maar in middels heb ik alles zo ver dat ze gewoon alles afspelen met mijn blockers enabled in firefox.

[Reactie gewijzigd door MrMonkE op 15 april 2019 09:57]

Tsja als er een patch voor zou zijn zou het geen nieuws zijn he, gaat dit soort berichten dus niet per definitie om een 'zero day'?
Kan je een 100-day vulnerability vinden? Nee, want dan is ie dus al 100 dagen eerder gevonden.
En "Nieuwe vulnerability vinden" is eigenlijk hetzelfde als "Vulnerability vinden".
Maar: "Onderzoeker vindt lek in browser" - dat klinkt niet echt naar een headline, toch?
Precies, er wordt 'zero day' aan toegevoegd om een spannende headline te maken, inhoudelijk zegt het helemaal niks...
De popup met de keuze om dit bestandsformaat te openen met een ander programma wordt dan geopend en als de gebruiker dan als nog IE 11 selecteert dan verdiend deze persoon ook gewoon gehackt te worden.
Ja, want iedere computergebruiker moet er nu van op de hoogte zijn dat .mht bestanden gevaarlijk kunnen zijn.
Iedere computergebruiker moet sowieso op de hoogte zijn van dat ELKE attachement die geopend wordt potentieel een gevaar kan vormen. Ongeacht de extentie.
Stel dan in dat het standaard met kladblok ofzo geopend wordt. Of een andere tool die het bestand wel veilig kan lezen. Als je een onwetende gebruiker de keuze biedt dan schiet je er niet veel mee op door de link te verbreken.

Beter zou zijn het openen van een dergelijk bestand samen te laten gaan met een foutmelding dat die bestanden niet toegestaan zijn (een alert window). Een kleine tool schrijven die een dergelijke melding geeft en deze koppelen aan bestanden met die extensie.


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Microsoft Xbox One S All-Digital Edition LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Sony PlayStation 5

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True