Beveiligingslek MS Internet Explorer (update)

Zoals in dit bericht al eerder werd gemeld heeft Microsoft's Internet Explorer een ernstig veiligheidsprobleem. Microsoft reageerde hierop met een patch, maar diezelfde patch blijkt nu problemen te geven.

Uit berichten op diverse websites, waaronder Wired en Slashdot blijkt dat de patch tijdens het installeren in sommige gevallen aangeeft dat een update niet noodzakelijk is, waarna veel gebruikers de update-procedure staken. Wie dat echter braaf doet heeft wèl een probleem: het beveiligingslek blijft bestaan! Enige remedie is IE alsnog te upgraden en de betreffende patch nogmaals te installeren. Hieronder het commentaar van MS zoals dat te lezen is op Wired:

Microsoft officials say the message is an error and urges everyone who received it during an attempted installation of the security patch to return to the company website, download either Microsoft Internet Explorer 5.01 or Microsoft Internet Explorer 5.5, and then reinstall the patch.

"If the patch is installed on a system running a version of IE other than the ones it is designed for, an error message will be displayed saying that the patch is not needed," Microsoft officials posted on the site on Sunday. "This message is incorrect, and customers who see this message should upgrade to a supported version of IE and re-install the patches.

Microsoft said users can verify the patch has actually been installed on their machine by opening Internet Explorer, selecting "Help," then selecting "About Internet Explorer." If the patch has been properly installed, the code "Q290108" should be listed in the Update Versions field.

Only those running Internet Explorer 5.01 Service Pack 2 do not need to install the patch. The security flaw can probably affect many older versions of Explorer, but Microsoft said that previous versions of Explorer are "no longer supported, have not been tested and may or may not be affected by this vulnerability."

Het artikel op Wired kun je nalezen door deze link te volgen.

Door René van den Berg

Nieuwsposter

Feedback • 03-04-2001 13:56 48

03-04-2001 • 13:56

48

Bron: Wired

Lees meer

Software-fout geeft hackers toegang tot Unix computers
Software-fout geeft hackers toegang tot Unix computers Nieuws van 24 juli 2001
Ernstig beveiligslek in Microsoft Internet Explorer
Ernstig beveiligslek in Microsoft Internet Explorer Nieuws van 2 april 2001
Software

Reacties (48)

-Moderatie-faq
48
46
34
5
0
0
Wijzig sortering

Sorteer op:

Weergave:
Swinnio 3 april 2001 14:18
Microsoft said that previous versions of Explorer are "no longer supported, have not been tested and may or may not be affected by this vulnerability."
Met andere woorden: als je niet steeds upgrade wanneer M$ dat wil, hoef je verder ook niks meer van ze te verwachten. Wat een support.... :r

* 786562 Swinnio
Ortep @Swinnio3 april 2001 14:24
Dat doen alle grote bedrijven. Bij Compaq servers komt ongeveer iedere maand wel een update uit voor je spullen. Een bios, iets nieuws voor je controllers, een tape unit, drivers bedenk het maar. En zelfs al heb je een service contract, dan is de eerste vraag die ze stellen: Heeft u de laatste drivers, biossen etc. Zo niet? Eerst die nieuwe dingen er op, dan praten we verder. Anders is het compleet onmogelijk voor ze om na te gaan waar het probleem zit.
Swinnio @Ortep3 april 2001 14:38
Tuurlijk, van iemand die een server koopt inclusief een service contract mag je dat eisen.
Maar niet van het gezinnetje dat een CD bij de Shell meeneemt met IE4.x, die dan vervolgens via hun modempje tientallen MB's aan update binnen mogen gaan halen. Los van het feit of ze er uberhaupt ooit achter zullen komen dat er een beveiligingslek in hun browser zit.
Zo moeilijk moet het voor MS toch niet zijn te testen of het voor oude versies ook geldt en dan een patch uit te brengen die op meerdere versies werkt?
alt-92 @Swinnio3 april 2001 14:58
Tuurlijk, van iemand die een server koopt inclusief een service contract mag je dat eisen. Maar niet van het gezinnetje dat een CD bij de Shell meeneemt met IE4.x, die dan vervolgens via hun modempje tientallen MB's aan update binnen mogen gaan halen.
Waarom niet? Er staat in elke installatie van IE een directe link naar WindowsUpdate waar je dat kunt zien.

Je mag als gebruiker best wel een beetje eigen initiatief vertonen om bij de leverancier van je software te kijken of er wat nieuws is of verbeterd.

En met IE4.x de zooi Dl'len is onzin, bij diezelfde benzinepomp liggen zat tijdschriften waar je voor een joet nog een CD erbij krijgt met IE 5.5.

Tenminste, dat zou de mooiste situatie zijn, helaas is driekwart van de prive computer gebruiker van het type 'ik snap het niet, ik wil het ook niet snappen, en als ik kan mailen en tjetten en klikken vind ik het wel best'.
Zo moeilijk moet het voor MS toch niet zijn te testen of het voor oude versies ook geldt en dan een patch uit te brengen die op meerdere versies werkt?
Daar willen ze nou juist vanaf, je wil juist uit het oogpunt van beheersing als software leverancier zo mogelijk een beperkt aantal versies en varianten blijvend ondersteunen.
Het helpt alleen niet echt dat MS zelf gedeeltelijk de oorzaak is.

Om een voorbeeld van IE te blijven aanhalen: de standaard versie van IE bij win98SE is 5.00.26 (deze is niet eens los uitgebracht, maar zit tussen IE 5.0 ver. 5.00.23xx en IE 5.01 ver 5.00.29xx in.)

IE 5.00.29xx kende een aantal bugs, en de bijgeleverde OE 5.0 NL had nog steeds de irri spellingsfouten en de buffer-bug in de datum header.

Zodra je een upgrade deed naar IE 5.01sp1 (5.00.31xx) kreeg je OE 5.5 zonder buffer bug en andere security issues (afgezien van deze).

Nog ouder: IE 4.0 4.71.xx, IE 4.01 4.72, IE 4.01sp2...
Hoever terug wil je gaan?

Er zijn dus zoals je ziet ontiegelijk veel tussenversies (builds) beschikbaar, om voor alle subversies deze bugfix beschikbaar te stellen en te testen met deze snelheid is een beetje te veel gevraagd.
ToAoM @Swinnio3 april 2001 15:33
Om een voorbeeld van IE te blijven aanhalen: de standaard versie van IE bij win98SE is 5.00.26 (deze is niet eens los uitgebracht, maar zit tussen IE 5.0 ver. 5.00.23xx en IE 5.01 ver 5.00.29xx in.)

IE 5.00.29xx kende een aantal bugs, en de bijgeleverde OE 5.0 NL had nog steeds de irri spellingsfouten en de buffer-bug in de datum header.

Zodra je een upgrade deed naar IE 5.01sp1 (5.00.31xx) kreeg je OE 5.5 zonder buffer bug en andere security issues (afgezien van deze).

Nog ouder: IE 4.0 4.71.xx, IE 4.01 4.72, IE 4.01sp2...
Hoever terug wil je gaan?
Voor elk van deze verise :?

Voro IE4 is er een fix genaamd SP2, alleen daar hoef je deze fix dus voor beschikbaar te stellen, zelfde geldt voor IE 5.0sp2 en IE5.5sp1

Verder hoeft M$ van mij niet te gaan. Dan downloaden mensen maar gewoon de meest recente versie die dus ook de meeste bugs fixt als het goed is (en er weer een hoop bij maakt, maar daar moet je mee leren leven)...
alt-92 @Swinnio3 april 2001 15:39
Voro IE4 is er een fix genaamd SP2, alleen daar hoef je deze fix dus voor beschikbaar te stellen, zelfde geldt voor IE 5.0sp2 en IE5.5sp1

Verder hoeft M$ van mij niet te gaan. Dan downloaden mensen maar gewoon de meest recente versie
Dan spreek je jezelf tegen.. als je toch wil laten upgraden, doe je dat gelijk naar de meest recente 5.01sp2 / 5.5 toch?

F*ck IE4 (heeft toch al een afwijkend JS DOM tov IE 5, scheelt weer crossbrowser testen).
Bobco @Swinnio3 april 2001 15:45
Er zijn dus zoals je ziet ontiegelijk veel tussenversies (builds) beschikbaar, om voor alle subversies deze bugfix beschikbaar te stellen en te testen met deze snelheid is een beetje te veel gevraagd
Je kunt je natuurlijk afvragen wie al die verschillende versies heeft uitgebracht. Dat MS er problemen mee heeft om ze allemaal te ondersteunen is niet vreemd, alleen zou dit ze wel eens aan het nadenken moeten zetten.

Software voor thuisgebruikers is iets anders dan software voor 'professionele' gebruikers. De laatste groep heeft de resources om zaken goed te beheren, bij de eerste groep moet alles het gewoon goed doen, punt. Op het moment dat je eerst een hele hap tekst moet gaan lezen om te bepalen of je een patch al dan niet moet hebben dan is het volgens mij al niet meer voor doorsnee-thuisgebruikers bedoelt.
alt-92 @Swinnio3 april 2001 15:59
Je kunt je natuurlijk afvragen wie al die verschillende versies heeft uitgebracht. Dat MS er problemen mee heeft om ze allemaal te ondersteunen is niet vreemd, alleen zou dit ze wel eens aan het nadenken moeten zetten.
Waarom denk je dat ze iedereen zo graag willen laten upgraden?
Ten eerste om je support nog enigszins te kunnen kanaliseren (en we weten hoeveel produkten en produktgroepen MS op de markt heeft).
Ten tweede om je marktaandeel te handhaven (logisch, zou je ook doen in die positie toch?)
bij de eerste [thuisgebruikers] groep moet alles het gewoon goed doen, punt. Op het moment dat je eerst een hele hap tekst moet gaan lezen om te bepalen of je een patch al dan niet moet hebben dan is het volgens mij al niet meer voor doorsnee-thuisgebruikers bedoelt.
Da's flauwekul IMHO.
MS besteedt genoeg moeite en tijd om zelfs voor thuisgebruikers de Update functionaliteit eenvoudig te houden.

* 786562 BackSlash32

Een OS / groot software pakket is nooit 'af'.
mr_a @Ortep3 april 2001 14:41
Ja maar dat is nog geen argument dat het goed is!
IMO is het een feit dat als je niet gehinderd door enige intelligentie je altijd de laatste versie van alles installeert dat je dan meer (veel meer) problemen hebt dan als je een conservatief versiebeleid voert.
Bij device drivers, BIOS-en (eigenlijk bij alle software)moet de fabrikant gewoon een lijst kunnen verschaffen met daarop alle bugfixes die in nieuwe versies zitten.

Als klant mogen we geen antwoord accepteren van "upgrade eerst maar", tenzij de fabrikant kan uitleggen waarom. In de IT-sector wordt die upgrade maar houding erg vervelend gevonden.

edit:fouten en hoofdletters/M$ flame :)
raptorix 3 april 2001 14:04
Erg slordig, kennelijk is de patch onder tijdsdruk al gereleased en onvoldoende getest, tjah voor de ervaren gebruiker niet zo een probleem maar voor jan met de pet erg verwarrend, FOEI MS :)
witchdoc @raptorix3 april 2001 15:01
ik beschouw me toch al best als ervaren gebruiker, maar toen ik dat dinbg wilde installen en ie zei dat't niet nodig was sjah, dan stop je gewoon.. geen overbodige troep op m'n systeem.
blade181 @raptorix3 april 2001 20:05
Als het goed is kun je die executable gewoon openen met winzip en dan die cat files installeren. En de inf file en de dlltjes in de system32 directory plaatsen is dat niet voldoende??
Verwijderd 3 april 2001 17:12
but Microsoft said that previous versions of Explorer are "no longer supported, have not been tested and may or may not be affected by this vulnerability."
Dit is ronduit treurig. :'( Je betaalt je lam als bedrijf aan pakketten van Microsoft, vervolgens wordt IE je opgedrongen en dan krijg je ook niet eens support, omdat hij te oud is. Je kan niet verwachten dat een systeembeheerder constant de nieuwste versie van IE binnenhaalt. En een beetje goede programmeur heeft ook nog de source code van de oude IE. Ze weten waar het probleem zit (ze hebben er tenslotte een patch voor gemaakt) het lijkt mij dan minder moeilijk om het probleem te lokaliseren. Ga vooral zo door, Microsoft! :P
mr_a @Verwijderd3 april 2001 21:09
De belangrijkste categorie van bugfixes zijn IMO de security fixes. Juist vanwege onze digitale economie (blah ;)) is het niet te tolereren dat informatie op straat komt te liggen.

Fabrikanten moeten heel duidelijk een technische levensduur van een hun applicatie kenbaar maken en tijdens die periode moeten ze heel hard werken aan het ondersteunen van het pakket. Dus dat houdt in bugfixes en feature enhancements uitbrengen die de compatibiliteit vergroten e.d.

Alleen wat daarna? Drie jaar zo'n ondersteuning op een pakket lijkt me normaal maar gezien het belang van security zou ik zeggen dat op dit gebied best veel langduriger support geboden kan worden. Bijvoorbeeld 6 jaar. Gewoon omdat het zo ontzettend belangrijk is.

Bijvoorbeeld: Stel dat Windows 95 OSR 2.1 (1996) niet lekker op een bepaalde hardware configuratie draait (bijv. KT133 computer). Dan is er een compatibiliteits probleem waarbij VIA/MS kan zeggen "we ondersteunen voor dit mobo alleen W98 en hoger". M.a.w. een stickertje "Designed for Windows 98|2000". Dit vinden de meeste mensen redelijk.
Maar bijspecifieke problemen met IE 3.01 op Windows 95 waarbij het hele systeem gesloopt kan worden met een ActiveX control dan vind ik dat Microsoft zijn verantwoordelijkheid wèl moet nemen en een patch moet releasen. Ook al is het software van welhaast vijf jaar geleden....

(edit: typo...)
Nielsz 3 april 2001 14:08
Iemand een id waarom microsoft niet een goed testsysteem heeft? Gewoon een paar systemen:
win95 + 98 + NT +2000; elk OS met de verschillende browsers:
OS * BR = (95+98+nt+2000) * (aantal MS browsers (hoeveel?)) = aantal testsystemen. Dan heb je nog geen 20 computers nodig. En binnen 10 minuten heb je alles getest. Beetje raar!
raptorix @Nielsz3 april 2001 14:11
Klopt en dat hebben ze ook gerust wel, maar punt is dat je ook weer exponentieel veel mogelijkheden hebt met service packs en patches, stel MS brengt 5 patches uit dan heb je al duizenden verschillende mogelijkheden wat mensen kunnen hebben, bijvoorbeeld patch 1 en 3 op ie5 of 1 en 5 op ie 5.5 etc.
Nielsz @raptorix3 april 2001 14:12
Daar heb je natuurlijk gelijk in, maar ze lopen natuurlijk nu wel achter de feiten aan. (maar dat is natuurlijk altijd zo, niets aan te doen.)
Verwijderd @Nielsz3 april 2001 17:20
Een automatische update had dus helemaal niet gewerkt, want dan was ie er automatisch mee gekapt. Terecht dus dat mensen de automatische update van M$ niet prettig vinden.
raptorix @Nielsz3 april 2001 14:15
Daarom pusht MS dus waarschijnlijk zo op de automatische updates, zodat ze een betere greep hierop hebben, maarjah mensen zijn al dan niet terecht bang voor gefuck met hun systeem achter de schermen.
xipetotec @Nielsz3 april 2001 14:47
Ehh? 10 minuten per test? wauw... wat kost je? Ik heb je nodig!!! Ik moet nog een programma testen (out of the box) en daar heb ik twee maanden voor geplanned en twee man gaan daar mee aan de slag!

10 minuten WAUW... ik wou dat ik dat kon :) hehehe

FF serekneus. het degelijk testen van zo'n patch duurt stukken langer dan 10 minuten per browser. En zelfs met grondig testen kan je nog niet garanderen dat iets helemaal werkt.

Maar het blijft erg slordig....
<font color=#786562>* xipetotec</font>
Verwijderd @xipetotec3 april 2001 17:18
Dit is flauw. Een programma is iets heel anders dan een patch. Een patch is er om een bug te fixen en niet een op zichzelf staand programma. Dus het controleren of een vulnerability ermee verholpen is is heel makkelijk te controleren.

Maar ja, Microsoft kende kan je ook weer een bug in de patch verwachten :) zodat grondig testen wel een vereiste wordt. :+
TheGhostInc @Verwijderd3 april 2001 22:30
Probleem is dat na elke keer de patch uitgevoerd te hebben je systeem helemaal opnieuw geinstalleerd mag worden, dus testen is gewoon een probleem.

* 786562 TheGhostInc

Het blijft gewoon altijd lastig om dingen bugfree te bouwen, zelfs patches voor bugs.
paragon 3 april 2001 14:37
Bij mij kon ik niet meer internetten na het installeren van die patch. Moest ICS opniuew installeren en toen deed ie het weer.
Verwijderd 3 april 2001 14:57
Ik heb zelf braaf de update gedownload B-), en bij mij op m'n IE 5.50.4522.1800 versie doet ie 't gewoon..
(Update versions:; SP1; q283908; q290108 ;)

Ook op m'n andere bak gaf ie geen problemen aan bij het updaten.. (zelfde IE versie)...

Heeft ie nu niks geupgraded? of ben ik één van de weinige mensen waar de update het wel goed doet?
Mujo 3 april 2001 15:39
Om een indicatie te geven. Kdraai hier
IE 5.50.4134.0100

En daar deed de patch het niet op. Zei dat het niet
nodig was bij deze versie -> alleen OK klikken
en dat was het...

Hmm..kdenk dat ik ook maar eerst eens
Ga upgraden naar een IE 5.50 versie
hoger dan 5.50.41xx.xxxx ofzo :)

Bij update versions: 0
:(
Verwijderd 3 april 2001 15:42
Ik vraag me wel 'ns af hoelang Microsoft dit soort beveiligings fouten al weet voordat ze het wereldkundig maken.
Ze moeten natuurlijk eerst nog even een patch maken.
Het wordt pas echt link wanneer deze info naar buiten komt en er geen oplossing voor is, kunnen de hackers lekker hun gang gaan... B-)
EfBe 3 april 2001 16:01
Als je het security bullitin leest dan zul je zien dat er een workaround is:

- stel in outlook express en outlook de security zone op 'restricted' (onder options/security)
- Pas in IE bij options/security de restricted zone zo aan dat 'File downloads' op disabled staan.

No problemo meer, volgens het security bullitin:
Mitigating factors:

The vulnerability could not be exploited if File Downloads have been disabled in the Security Zone in which the e-mail is rendered. This is not a default setting in any zone, however.
Verwijderd 3 april 2001 14:09
Maar is het wel mogelijk om hem te installeren dan als die aangeeft dat het niet nodig is.
Verwijderd @Verwijderd3 april 2001 14:26
Wat is het nou er staat
quote: waarna veel gebruikers de update-procedure staken
Mijn conclusie is dan inderdaad dat je hem wel kan afmaken als je wilt, maar
quote: Gepost door RoShamBo Dinsdag 3 April 2001 - 14:18 Score: 1
Dat staken van de procedure kan ook niet anders.
Je krijgt namelijk alleen een OK button bij die melding.
Dat lijkt me veel logischer dus wat word het nou kan je hem afmaken of niet :?
Jasper Janssen @Verwijderd3 april 2001 15:29
Het punt is, die patch kan zich installeren op ie5. Gaat alles goed. Mocht je nou IE 3 of 4 hebben, dan kan hij (allicht) niet installeren, omdat het een ie5 patch is. De fout zit hem erin dat de patch zegt dat het niet nodig zou zijn -- dit zou alleen waar zijn als het lek alleen ie5 zou affecten, en niet IE4. Maar IE4 heeft het lek ook, maar er is geen patch voor.
cyclone @Jasper Janssen3 april 2001 15:38
Snapt niemand het dan die die foutmelding heeft gezien.
Ik draai IE 5.5 en ik kreeg dus ook de melding : This update does not need to be installed on this system.

en dan alleen een OK button .. dus hoe krijg je die klote patch in hemelsnaam dan wel geinstalleerd als je alleen op OK kan klikken waardoor de installatie word geannuleerd..
Kortom te dom voor woorden .

* 786562 CyCLoNe
Verwijderd @Verwijderd3 april 2001 14:30
nee!
Je krijgt de melding dat het niet nodig is.
Druk op OK, en dan is er dus niks geinstalleerd...
Verwijderd @Verwijderd3 april 2001 14:16
lezen:
sommige gevallen aangeeft dat een update niet noodzakelijk is, waarna veel gebruikers de update-procedure staken. Wie dat echter braaf doet heeft wèl een probleem: het beveiligingslek blijft bestaan!
Verwijderd @Verwijderd3 april 2001 14:18
Dat staken van de procedure kan ook niet anders.
Je krijgt namelijk alleen een OK button bij die melding. :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq