Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft dicht kritiek lek in Internet Explorer dat actief wordt misbruikt

Microsoft heeft een patch uitgebracht die een kritiek beveiligingslek dicht. Het gaat om een kwetsbaarheid in Internet Explorer die aanvallers de mogelijkheid geeft om code uit te voeren wanneer het slachtoffer een malafide site bezoekt of een gemodificeerd Office-document opent.

De oplossing voor het beveiligingsprobleem maakt deel uit van het November Patch Tuesday-pakket van fixes dat Microsoft sinds dinsdag via Windows Update distribueert. De beveiligingsupdate rekent in totaal af met 75 bugs, waarvan er 11 kritiek zijn en 64 belangrijk worden genoemd.

Het lek met het grootste risico heeft de aanduiding CVE-2019-1429. Deze bug, voor het eerst ontdekt door Google Project Zero, zou volgens Microsoft actief door aanvallers worden geëxploiteerd. De kwetsbaarheid schuilt in de manier waarop de scripting engine omgaat met objecten in het geheugen van Internet Explorer. "Een aanvaller die erin slaagt het lek te misbruiken, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker. Op die manier kan hij het hele systeem overnemen, programma’s installeren, data aanpassen of wissen, of nieuwe accounts aanmaken met volledige gebruiksrechten", waarschuwt Microsoft.

Beveiligingslek CVE-2019-1429 kan niet alleen via een malafide website worden uitgebuit. Er bestaat ook een aanvalsscenario via een ActiveX-besturingselement, gemarkeerd als 'veilig voor initialisatie', dat door de aanvaller wordt ingesloten in een applicatie of in een Microsoft Office-document.

Tot de overige tien kritieke bugfixes behoort ook een oplossing voor CVE-2019-1457, een omzeiling van een beveiligingsfunctie in Excel die in oktober werd ontdekt en die al misbruikt werd.

Door Michel van der Ven

Nieuwsredacteur

13-11-2019 • 11:02

37 Linkedin Google+

Reacties (37)

Wijzig sortering
Fijn dat ze nog actief bezig zijn met de beveiliging van internet explorer.
Edge vind ik niet fijn dus zit op chrome van google. Dit wordt vaak geupdate en voorzien van de nieuwste beveiliging features.
Internet Explorer wordt nog gewoon ondersteund, dus het is vrij logisch dar daar nog security patches voor uitkomen. Dit blijft ook nog wel enkele jaren zo, daar het bijvoorbeeld ook nog draait op Windows Server 2012 R2, die nog enkele jaren in de support blijft.

Edge is tegenwoordig gebaseerd op Chromium, en functioneert tegenwoordig uitstekend. Zou dus een prima alternatief kunnen zijn voor Chrome, dat veel zwaarder is en veel geheugen pakt.
Edge is alleen nog maar op Chromium gebasseerd wanneer je in de insiders preview zit of hem apart download. Normale gebruikers hebben nog steeds de oude Edge browser. Edge op basis van Chromium komt pas officieel uit op 15 januari 2020.
[...] Zou dus een prima alternatief kunnen zijn voor Chrome, dat veel zwaarder is en veel geheugen pakt.
Interessant. Ik zou hier wel iets meer onderbouwing voor willen zien; betekend het gebruiken van dezelfde engine en het delen van veel source code niet juist dat geheugen verbruik in lijn met elkaar zou moeten liggen?
Ze gebruiken wel dezelfde basis, Chromium, maar dat zegt lang niet alles. Microsoft heeft de engine toch behoorlijk onder handen genomen. Dingen voor elkaar gekregen waar o.a. Google al jaren moeite mee hebben, het smooth scrollen bv. Wat geen simpele taak was.

Als je ook door de submits van MS heen scrollt kom je best wat submits tegen waar MS zaken efficiënter weet uit te voeren, ongebruikte features eruit sloopt en ook redelijk wat bugs heeft weten te fixen.

En toch ook nog features heeft weten toe te voegen zoals een hele flats accessibility features. Waarvan Google er al een paar over heeft genomen.
Nee, Microsoft heeft heel veel Google dingen eruit gesloopt*, en draait inderdaad lichter. Zie ook de diverse ervaringen die gedeeld worden.

* En eigen varianten toegevoegd.
Maar is het écht noemenswaardig lichter? Ik kan nergens cijfers vinden die dit echt ondersteunen. Ik gebruik zelf ook andere browsers op basis van de engine (Brave, Chromium, Vivaldi), maar kan nergens test data of iets dergelijk vinden.
Zoals de 2 personen voor mij ook aangeven. Zelf ook geen fan van edge, maar heb de beta/rc gedownload van edge met chromium engine en ik ben ook overstag gegaan.
Dus je bent WEL fan van Edge :p (Chromium Edge is even heel simpel gezegd Edge 2.0 ;))
Edge was een goede browser, vond het zelfs prettige werken dan Chrome. Maar helaas is het zo dat Internet Explorer voor zeker veel intranet doeleinden nog steeds wordt gebruikt. Ik geloof zelfs dat Sharepoint in bepaalde versies niet eens werkt in een andere browser dan IE. Het is dus goed dat ze daar nog steeds beveilingspatches voor uitbrengen. Je hoeft immers maar een dombo op kantoor te hebben die een besmet pdf bestand upload naar het intranet
Wanneer er een ActiveX component gebruikt wordt, heb je IE nodig. En er zijn heel veel grote bedrijven die nog gebruik maken van applicaties met een of meerdere ActiveX componenten.
Moet je als je wil eens Edge met de Chromium engine gebruiken. Werkt erg goed.
Moet je als je wil eens Edge met de Chromium engine gebruiken. Werkt erg goed.
Hoe kom je erachter of je Edge Chromium engine gebruikt?
En waar kunnen we het downloaden?
Als Final beschikbaar, wil je niet wachten; nieuws: Stabiele versie van Edge op Chromium verschijnt in zoekmachines

[Reactie gewijzigd door hardware-lover op 13 november 2019 12:18]

Dit is niet het geval. Chromium Edge is nog in beta (hier te downloaden: https://www.microsoftedgeinsider.com/nl-nl/) en zal pas in Januari de standaard worden.

[Reactie gewijzigd door Mees van Dongen op 13 november 2019 12:20]

Dat is niet volledig juist, de stabiele versie is al te downloaden, Is dus al uit beta. Zie nieuws: Stabiele versie van Edge op Chromium verschijnt in zoekmachines

Is al te downloaden via https://go.microsoft.com/...hannel=Stable&language=nl

Is alleen nog niet formeel gereleased (dat gebeurt op 15 januari), maar dit is dus wel de RC zoals die dan zal verschijnen (last-minute showstoppers daargelaten).

[Reactie gewijzigd door wildhagen op 13 november 2019 12:19]

Dat is niet volledig juist, de stabiele versie is al te downloaden
maar dit is dus wel de RC
RC != stable.
Denk dat Chromium al twee jaar in Edge zit ofzo.
Dat is nog wel via het Edge dev channel.
Aah kennelijk release en announcement door de war gehaald, grappig want mijn collega's zeggen nu ook te hebben gedacht dat Chromium al standaard ingebakken zit. Thanks.
Ah ik zie het, pas op 15 januari 2020, hopelijk via Windows Update.
Als je met "al 2 jaar in edge" bedoelt "komt hoogstwaarschijnlijk volgend jaar in edge" ben je correct.
Edge heeft een hele tijd een eigen basis van MS gebruikt.
Er is recent pas een stable variant van Edge op Chromium uitgebracht, vgm 2 weken terug ongeveer.
Edge Stable is inmiddels mijn standaardbrowser op mijn privé PC. Chrome heb ik al verwijderd :)
Tot dusver kan ik er prima mee werken.

https://go.microsoft.com/...hannel=Stable&language=nl

[Reactie gewijzigd door akimosan op 13 november 2019 11:30]

Edge wordt ook vaak geupdate, dus daar zit het probleem niet. Ik gebruik thuis default Edge, vind het net om 1 of andere reden fijner dan Chrome, maar op het werk gebruik ik chrome (is nog een windows 7 PC ivm development).
Een aanvaller die erin slaagt het lek te misbruiken, kan dezelfde gebruikersrechten krijgen als de huidige gebruiker. Op die manier kan hij het hele systeem overnemen, programma’s installeren, data aanpassen of wissen, of nieuwe accounts aanmaken met volledige gebruiksrechten
als die huidige gebruiker voldoende rechten heeft, dus in een goed ingericht systeem kan dit enkel het userprofiel en files waartoe dat toegang heeft om zeep helpen.
Dus zo'n beetje iedere thuis gebruiker :)
IE word niet veel meer gebruikt, toch netjes van deze updates
Er is nu toch allang Edge als opvolger - dat is die grote blauwe E die iemand hier al even noemde (dus niet IE) ;)

Deze cumulatieve update voor op windows 10 version 1903, KB4524570, en nog 3 andere updates speciaal voor windows 10 worden niet bij mij geinstalleerd, na de herstart blijft windows hangen en word na resets de update weer teruggedraaid.
Overal worden veel (niet werkend voor mij) oplossingen voorgeschoteld maar nog niemand heeft de oorzaak genoemd, denk zelf dat het met de Ryzen processor te maken heeft maar weet niet precies wat
Hoe kan dit actief worden misbruikt als Internet Explorer niet actief wordt gebruikt? :+
Het zal je verbazen hoeveel mensen nog gewend zijn aan het klikken op het blauwe E-je om "internet op te starten".

Ik werk voor 1 van 's lands grootste online retailers en gemiddeld halen we nog 5% van onze omzet uit gebruikers met IE11... Nou is 5% niet veel, maar we willen het ook niet missen :)
wat natuurlijk niet wil zeggen dat dat de énige browser is die de gebruikers tot hun beschikking hebben (Edge zit standaard in W10) en dan is het nog maar de vraag of je echt veel dingen moet aanpassen om een goede ervaring op IE11 te hebben.
5% is 5%. Als je naar 1% gaat dan valt het te overwegen. Maar vanaf 5% is het wel de moeite. Maar die marge moet iedereen voor zichzelf maken uiteraard
Ah, 5% is 5% maar 1% is niet 1% of zo? Magie met arbitraire getallen.
Het lijkt me voor iedereen beter dat ze daadwerkelijk de wiskunde doen om te bepalen of iets zin heeft of niet.
Er zijn ook programma's die nog gebruik maken van IE.
Denk aan CCleaner en Winrar gebruikt het om advertenties te tonen.
Hoe bedoel je niet meer gebruikt wordt? Er zijn genoeg mensen die IE nodig hebben, het zit niet voor niets nog altijd meegeleverd in Windows 10. Soms heb je het nodig voor ActiveX ondersteuning.

[Reactie gewijzigd door wiseger op 13 november 2019 15:01]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True