Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 55 reacties
Bron: Computerworld

Na de recentelijk gepubliceerde gaten in Opera, hebben veiligheidsonderzoekers in Denemarken ook weer een serie veiligheidsgaten in Internet Explorer ontdekt, zo meldt ComputerWorld. De veiligheidsgaten in Microsoft's browser worden beschreven als een combinatie van kleinere beveiligingsgaten die leiden tot cross-domain scripting en daardoor eenvoudig te misbruiken zijn door het aanpassen van een exploit die gebruik maakt van fouten in IE die drie maanden geleden aan het licht kwamen en welke inmiddels gerepareerd zijn. In het document waarin de problemen worden beschreven is te lezen dat dankzij de nieuwe bugs het voor kwaadwillende personen eenvoudig is om toegang te verkrijgen tot lokale bestanden op de computer waarop de browser draait. Ook het uitvoeren van programma's die vanaf internetlocaties op de computer worden ge´nstalleerd is eenvoudig te bewerkstelligen dankzij de nieuw ontdekte vulnerability.

De fout doet zich voor in versie 6 van Internet Explorer, maar ook oudere versies 5.01 en 5.5 zijn kwetsbaar aldus de onderzoeker. Microsoft heeft laten weten dat er bij hun nog geen meldingen waren binnengekomen van problemen die veroorzaakt worden door de nieuwe veilighiedsgaten in Internet Explorer en dat ze nu onderzoek gaan doen naar de in de genoemde publicaties vermelde problemen. Een patch is derhalve op dit moment nog niet beschikbaar. De enige mogelijkheid om eventueel misbruik van de genoemde gaten in IE te voorkomen is door de Active Scripting-functie van IE uit te schakelen. In een document van CERT is beschreven hoe men dit kan realiseren. Overigens liet een woordvoerder van Microsoft weten dat de fouten publiekelijk zijn gemaakt voordat de softwarefabrikant op de hoogte was gesteld, waardoor misbruik van de genoemde veiligheidsproblemen in de hand wordt gewerkt;

Internet Explorer iconArt Manion, an Internet security analyst at the CERT Coordination Center at Carnegie Mellon University in Pittsburgh, confirmed that his testing of the reported vulnerability showed that at least one of the reported problems can be duplicated on an Explorer 6 machine that has already been fully patched with existing Microsoft updates, meaning that the vulnerability does exist.

[...] Wilson also said Microsoft is concerned that the latest vulnerability reports weren't sent to the company before being made public, giving attackers time to use it for new attacks on users.

Reports of the vulnerabilities "were not disclosed responsibly, potentially putting computer users at risk," she said. "We continue to encourage responsible disclosure of vulnerabilities. We believe the commonly accepted practice of reporting vulnerabilities directly to a vendor serves everyone's best interests, by helping to ensure that customers receive comprehensive, high-quality patches for security vulnerabilities, with no exposure to malicious attackers while the patch is being developed."

Computerworld vermelde overigens dat andere browsers die geen active-scripting ondersteunen, zoals Opera, Netscape en Mozilla.org geen gevaar lopen.

Lees meer over

Gerelateerde content

Alle gerelateerde content (25)
Moderatie-faq Wijzig weergave

Reacties (55)

Toch vraag ik me af wat dat 'Active Scripting' dan voor meerwaarde heeft, aangezien de andere browsers het niet gebruiken :( Leuk dat zo'n 'feature' dan weer voor extra lekken zorgt.

Gelukkig ben ik erg tevreden met m'n Mozilla :) Loopt stabieler dan IE hier, nu nog wachten totdat alle webmasters fatsoenlijke pagina's maken ;)
Beetje kritisch kijken naar je eigen veiligheids policy kan ook geen kwaad. Als ik het zo lees, heeft dit alleen effect op PC waar alles wijd open staat...

Zoals ik altijd al roep: een doel is absoluut de verantwoording van MS, maar zeker een evengroot deel is de verantwoordelijkheid van de end-user c.q. beheerder

Ben trouwens wel benieuwd hoe snel microsoft de update uitbrengt (zeker nu zij niet als eerste op de hoogte zijn gebracht...)

\[offtopic@Herrie]

Hoe bedoel je stabieler. Ik denk dat gemiddelde IE even vaak vastloopt als de gemiddelde Mozilla install. Kwestie van je software up-to-date houden. Die van mij loopt nooit vast... XP zelf niet, en IE 6.0 ook niet.
hmmm, ie loopt hier (draai xp en mandrake) ook enorm veel vast, en mozilla en netscape geven geen problemen. en windows zelf ook. met een nieuwe install (wintendo+drivers+antivirus)
Onzin. MSIE is al jaren lek. Steeds weer nieuwe lekken, steeds duurt het maanden voordat ze gedicht worden. Voor deze lekken bekend werden, waren er nog 11 vulnerabilities in MSIE door Liu op zijn homepage gezet. Wat dat betreft is er nu dus wat op de stapel gekomen, die niet leeg was voordat deze ontdekt werden; MSIE was dus niet veilig voor deze ontdekking. Dit gebeurd bij Mozilla niet afaik, en bijv van Opera is mij dat ook niet bekend.

Helaas is de bekende site van pivx.com/unpatched gestopt met hun open disclosure. Hier stonden er eerst 31 op. Toen kwam MS met een patch, waarbij er een aantal zijn opgelost. Welke precies, geeft Pivx niet aan; wel belovende woordjes ed. maar daar heb ik niet zo'n vertrouwen in.

De echte geintjes, zoals een bekende homepage defacen en daar dan een bekende vulnerability in zetten zodat iedereen met MSIE de lul is, worden gewoonweg niet uitgevoerd.

Dat is het geluk van de gemiddelde MSIE gebruiker. Wanneer kwaadwilligen het echt willen, had MSIE een stuk meer een slechte naam.

Homepage van Liu says 27 vulnerabilities:
http://clik.to/liudieyu
Brak systeem dus. Ik werk als jaren met IE en heb eigenlijk nooit problemen, alleen somds met bagger bull-shit plugins, en da's dus niet te wijten aan een instabiele IE.
Beetje kritisch kijken naar je eigen veiligheids policy kan ook geen kwaad. Als ik het zo lees, heeft dit alleen effect op PC waar alles wijd open staat...

Dat is dus meer dan 50% van de PC's ?

Wij mogen misschien zo slim zijn om firewalls en virusscanners te gebruiken maar het gemiddelde gezin waar pa en ma niets weten van PC's en de kinderen alleen maar opgroeien met spelletjes en chatten staan veelal "open".
Zoals ik altijd al roep: een doel is absoluut de verantwoording van MS, maar zeker een evengroot deel is de verantwoordelijkheid van de end-user c.q. beheerder
Als MS zijn OS-en niet zo zou instellen dat er standaard een hele berg handige achterdeurtjes open staan waar hackers en virussen dankbaar gebruik van maken dan zou het niet de verantwoordelijkheid van iedere technofobe computerleek hoeven zijn om een groot gedeelte van zijn tijd te spenderen aan het dichtmetselen van zijn computer.
Kom een hoop met ervaren en minder ervaren PC-gebruikers in aanraking en dan hoor je de hele tijd dingen als "wat? gebruik je geen firewall? huh? Weet je niet dat je een virusscanner moet updaten? Nooit van windows update gehoord? Niemand ooit verteld dat je niet zomaar op elke leuke file die via email binnenkomt moet klikken?"

Eigenlijk is een nieuwe computergebruiker achter een verse WinXP installatie met internet zetten hetzelfde als een kleuter onbeheerd op een werkplaats te laten spelen met wat leuke kleurtjes en liedjes op de achtergrond om het kind een veilig en vertrouwd gevoel te geven. Iedere PC waar een computer nitwit die ik ken (lezen toch geen tweakers :P) een paar weken achter heeft gezeten is omgetoverd tot een verzameling virussen, trojans, spyware, nutteloze rotprogramma's en vooral niet geupdate natuurlijk. Je zou haast gaan denken dat hackers zich vervelen tegenwoordig, het wordt je zo makkelijk gemaakt!
Net even geprobeerd om de Active Scripting uit te zetten. Mja, toen kon ik zelfs Tweakers.net niet meer fatsoenlijk laden... Maar weer aangezet dus :(
Deze opmerking uit de nieuwspost is dan ook een beetje kortzichtig:
De enige mogelijkheid om eventueel misbruik van de genoemde gaten in IE te voorkomen is door de Active Scripting-functie van IE uit te schakelen.
Je kunt ook Mozilla installen en Tweakers.net bekijken, dus geen gepiel met settings in IE :P
active scripting is de naam die microsoft geeft aan vbscript en javascript

mozilla heeft dat dus ook
Alleen de mozilla build voor windows, in linux heb je volgens mij geen vbscripting.
Alleen de mozilla build voor windows, in linux heb je volgens mij geen vbscripting.
Mozilla heeft alleen ondersteuning voor JavaScript en maakt GEEN gebruikt van de ActiveScripting mogelijkheid die in Windows zit ingebouwd.

* 786562 Little
*zucht* ik bedoelde dat t de verzamelnaam is voor scripting sipport in de browser, je zal mij niet horen zeggen dat mozilla vbscript ondersteund
Mozilla snapt wel javascript, maar vb moet je er niet instoppen lijkt me...
Nee, Microsoft noemt JavaScript JScript, omdat dat de naam is van hun ECMA-implementatie. VBScript of Visual Basic Script is geheel van Microsoft afkomstig.

Active Scripting is een technologie, waarmee het, via COM, mogelijk is om scripts, ongeacht welke taal, te kunnen draaien in Internet Explorer. Dit strekt verder dan de genoemde talen, want inmiddels zijn Perl, Ruby enz. ook geschikt voor Active Scripting.

Mozilla bevat dus geen active scripting en zal dit hoogstwaarschijnlijk ook nooit krijgen.
het zou wel leuk zijn om dan aan te geven wat het wel is, alleen "fout" hebben we niet zo veel aan :?
Ik bedoel dit echt niet als flame, maar wat is nu de toegevoegde waarde van IE t.o.v. de andere browsers zoals bv opera of die zijn gebaseerd op de gecko engine?
Het enige voordeel van IE is dat het er standaard inzit. Op zich het (mijns inziens) dus een taak van de media (krant/radio/tv), om als het over veiligheids (en andere) problemen van IE/OE gaat, de consument duidelijk te maken dat er alternatieven voor IE/OE zijn die minder lek zijn en de standaarden beter volgen.

Helaas is het zo dat men het (bijna) altijd heeft over IE/OE en de andere browsers/mailers gewoon vergeet. De gebruiker weet dus ook niet beter en kan dus ook geen keuze maken.

@ gnimmeL_kraD:
Dat alle website werken, punt.
Als he wilt kan ik wel een aantal URL's posten met sites die wel aan de standaarden voldoen maar niet in IE6 werken... (voorbeeld)
Als he wilt kan ik wel een aantal URL's posten met sites die wel aan de standaarden voldoen maar niet in IE6 werken... (voorbeeld)
Het leuke is dat die pagina er in Opera ook goed uit ziet :)
Dat alle website werken, punt.
Dat alle website werken, punt.
Dat is een drogreden

Als iedereen nu eens verstandig werd en IE aan de kant zette, zouder er geen websites zijn die gebruik maken van bepaalde niet-standaard IE-only features.

Sowieso is een website die alleen met internet explorer werkt de moeite van het bezoeken niet waard.
XUL is niet bedoeld voor websites, maar om user interfaces mee te maken voor plugins voor mozilla. Mozilla is zelf ook deels geschreven in javascript/XUL voor de modulariteit.
Verder is XUL een open XML formaat en door iedereen vrij te implementeren.

Essentieel iets anders dan wat MS met VBScript probeer(de) te doen, want dat is meer 'vendor lock in'.
Als iedereen zich gewoon eens aan de standaarden zou houden.

Mozilla heeft precies hetzelfde als wat IE heeft met VBscript bijvoorbeeld.

XUL en XBL, dat word alleen door Mozilla ondersteund, dus die zijn precies zo.
Euhm.
Dat is gewoon weer zo een marketing truuk van Microsoft.
We steken frontpage (een programma voor websites te maken) in ons office pakket. We wachten tot velen met frontpage werken, in de nieuwe versie steken we code die geen w3c valid zijn, dus eigenlijk geen html code zijn.

Dan passen we onze browser aan zodat die die code wel kan weergeven.

resultaat: Iedereen denkt, andere browsers slecht en prijst IE.

Dat natuurlijk buiten ons Tweakers gerekend. Go Mozilla FireBird. :D
Er zijn zat sites die aparte versies hebben voor ie en voor mozilla/netscape. De mozilla versie werkt dan niet onder IE, maar die krijg jij niet te zien. Sterker nog, heel erg veel sites hebben een "browser detect" scriptje of een andere manier om voor verschillende browsers verschillende code te gebruiken om problemen te corrigeren.
Een goede site werkt altijd, hoe brak de browser ook is die gebruikt wordt. Probleem is dat zoiets tijd en geld kost.

Als ontwerpers gewoon websites zouden maken volgens de standaard ipv internet explorer sites dan zou je IE vervloeken. Ik kan je zo petities laten zien die Microsoft proberen te overtuigen hun CSS box model nou eens volgens de standaard te maken of transparantie in PNG's goed te ondersteunen.
Dat alle website werken, punt.
Open http://www.w3.org/Style/CSS/ (de CSS homepage van W3C) maar 's in IE, en doe daarna hetzelfde in Mozilla. En zoek de verschillen (hint: kijk naar de 'Local links' rechts).

"Alle websites werken"? Die pagina is 100% CSS compliant, en onder IE doet 'ie het doodgewoon niet. En dat is al meer dan een jaar zo.
gemak, want het zit er standaard in. mensen stellen geen vragen, en daarbij krijgen ook geen keuze (ze weten niet beter). Vandaar dat veel non-tweakers IE hebben.
Euh. Gister was nog in het nieuws dat er kritieke lekjes zaten in Opera.

Dus niet alsof IE de enigste browser met gaatjes is ofzo.
Ik vind het trouwens slechte zaak dat de exploits openbaar worden gemaakt zonder ze eerst te melden aan Microsoft.
Het is al vaker voorgekomen dat Microsoft totaal niet reageerde op waarschuwingen over nieuwe exploits. Dat veranderde meestal pas waneer men de betreffende exploit openbaar maakte. Denk toch dat Microsoft dit een beetje aan zichzelf te danken heeft.

Maar mischien moeten we ze een 2e kans geven? :)
ik vind het een goede zaak
zodoende dwing je M$ snel te reageren.
normaal als je het aan hun vermeld gaan zij eraan werken of ze erkennen de fouten niet eens waardoor het heel lang (tot nooit) kan duren eer er een patch uitkomt.

ironix.. you were thinking what i was thinking? >_<
Opzich zijn deze gevonden gaten niet zo erg maar er zijn op elk gegeven moment een heleboel "kleine" problemen die samen tot een boel narigheid kunnen leiden

tot die laatste patch van microsoft waren er 2 manieren om programmas uit te voeren door iemand een speciaal geprepareerde webpagina te laten zien, dat waren beide "meertraps raketten" maar microsoft patchte maar 1 trap, dus toen werd er een heel klein probleempje gevonden en alles werkte weer
Toch vreemd. Als je jezelf "Internet security analyst" noemt, wordt je gerespecteerd. Als je jezelf een hacker noemt, ben je een gevaar voor de samenleving.
Er zijn website waar zo'n 60 onopgeloste en naar mirosofts mening "niet belangrijke" gaten staan. Hierop zijn makkelijk scripts te schrijven die je toegang geven tot een pc.

Zo is er bijvoorbeeld een script dat je kunt draaien op een webserver. Naar bezoek aan deze server/ website, wordt er het een en ander op jou PC achtergelaten en je gegevens worden even doorgestuurd, naar de kwaadwillende, en die kan zo je PC binnenwandellen.

Ik vindt het dus een hele goede zaak om dit aan de grote klok te hangen, dan is de druk voor microsoft om een patch te schrijven ook veel groter.
Ik vind het vreemd dat er zoveel fouten door derden ontdekt worden en niet door Microsoft zelf.
Zo'n programma draaiende krijgen is natuurlijk niet voor iedereen weggelegd maar als je kijkt wat voor bedrijf er zich achter bevind mag je er toch vanuit gaan dat ze zelf ook wel mensen hebben die dat kunnen ontdekken?

Maar ja, hoe meer toeters en bellen hoe meer gaten er zich voor kunnen doen. Is geen officieel gezegd maar toch.(Beetje afgeleid van: wat er aan zit kan ook kapot gaan.)
Ik denk dat ze gedeeltelijk zelf schuldig zijn aan een deel van de fouten. IE-explorer is "geintegreerd" met de gewone windows explorer. Je weet waarschijnlijk wel wat voor geintjes je kunt uithalen met de gewone explorer, en als alles niet goed is afgestemd dan krijg je dus dit.
Ook een van de redenen voor mij om Mozilla te gebruiken.Je kan je schijven vb wel zien, maar je kunt ze niet wijzigen of iets uitvoeren.
1. Microsoft stelt een onderzoek in naar de gemelde problemen.

2. Microsoft stelt een patch beschikbaar om voorgenoemde problemen op te lossen.

3. Onderzoekers vinden opnieuw veiligheidsgaten in windows internet explorer.

4. Ga terug naar 1 :z :z
Maar als je van 4 telkens naar 1 gaan, komen ze nooit bij 5, terwijl ze winst genoeg draaien. Ik zou van profit 2,5 maken ofzo, mooi ertussen(of in het geval van microsoft hier profit op 1,5;2,5 en 3,5)
Vaak wordt stap 2 zelfs overgeslagen. Microsoft verhelpt bij lange na niet alle beveiligingslekken.

* 786562 Gotty
*) je pincode op je pinpasje zetten
*) je fiets niet op slot zetten op het station
*) hardop je pincode noemen terwijl je het intypt
*) raam van je woning openlaten op vakantie
*) internet explorer gebruiken

Stuk voor stuk dommigheid. :+ Ik weet niet wat dommer is.

edit: :+
Ik weet het toch: Deze reactie een troll geven en stug internet explorer blijven gebruiken. Dat noemt met in de volksmond ook wel 'hardleers'. :o
Erg opbouwend. Maar heb je ook daadwerkelijk zoiets als argumenten?
Wrong:
2: Microsoft zorgt ervoor dat die bepaalde connection string niet meer gebruikt kan worden op de browser
3: Hackers veranderen de code een beetje van de exploit
4: Ga terug naar 1
Lekker lange zin:
De veiligheidsgaten in Microsoft's browser worden beschreven als een combinatie van kleinere beveiligingsgaten die leiden tot cross-domain scripting en daardoor eenvoudig te misbruiken zijn door het aanpassen van een exploit die gebruik maakt van fouten in IE die drie maanden geleden aan het licht kwamen en welke inmiddels gerepareerd zijn.
Dat komt de leesbaarheid niet ten goede

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True