Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 138 reacties
Bron: Secunia

Internet Explorer logoBij Secunia wordt gemeld dat een lek in Microsofts Internet Explorer ervoor kan zorgen dat kwaadwilligen toegang krijgen tot het systeem. Door een buffer overflow in de src- en name-attributen van de iframe-tag kan een hacker kwaadaardige code laten uitvoeren zonder dat daarvoor toestemming gevraagd wordt. Het lek werd vastgesteld op systemen met Internet Explorer 6.0 op zowel Windows 2000 als Windows XP met SP1. Gebruikers die Service Pack 2 voor Windows XP al geïnstalleerd hebben, hoeven geen verdere maatregelen te treffen. Anderen worden aangeraden SP2 te installeren of een andere browser te gebruiken, aangezien er al werkende exploits verspreid zijn op het internet.

Moderatie-faq Wijzig weergave

Reacties (138)

Wat ik veel schrikbarender vind, is dat Outlook Express IE gebruikt in zijn HTML weergave.. met andere woorden, e-mail lezen = virussen binnen krijgen.
Duh. Je had zeker wel een gezellig, warm plekje onder die steen ? :P (nofi)

Dat is het hele fundamentele probleem ook van Windows. Alles berust weer op alles, en als er ergens een foutje wordt gevonden is dat meteen systemwide en critical (GDI+ exploit anyone ?)
Het alternatief zou zjin dat elke applicatie die HTML moet kunnen interpreteren zijn eigen HTML-parser zou moeten bevatten. Dat is toch onzin en zonde van je resources?
Ik heb deze exploit inderdaad al in handen (ik gebruik het alleen om te testen, als je wat anders wilt denken veel plezier), ik vind het schokkend hoe relatief simpel hij in elkaar zit.

Voor de rest raad ik iedereen aan FireFox te gaan gebruiken, om dit soort dingen te omzeilen. Of als je een echte die-hard bent Linux gaan draaien, draai zelf al 4maanden non-stop gentoo kan alles wat ik wil (op wat spellen na), zonder al te veel problemen.

Zelf heb ik sp2 niet geinstalleert, voornamelijk omdat ik nauwelijks meer onder windows zit. Maar het is toch zielig dat ik een groot (niet eens zo'n probleem met adsl) service pack moet downloaden, zodat ik hopelijk weer veilig zit....

Edit: http://www.microsoft.com/netherlands/cdrom/WindowsXPSP2.aspx
Daar kan je SP2 engels of nl gratis bestellen, heb ze alle 2 thuis werken goed

Groov: Je hebt gelijk, ik gebruik zelf ook Black-Ice.
Maar er zijn nog genoeg mensen die dom zat zijn om erin te trappen, of zoals mijn ouders gewoon de firewall en viruscanner uitzetten omdat de pc anders te traag word (Amd 3000+ etc |:( ).

En ik zech ook niet dat iedereen Linux moet gebruiken, daar is het helaas nog niet geschikt voor. Maar als je een die-hard gebruiker bent die geintereseert is in pc's en wat meer wil leren, en niet bang is z'n handen vuil te maken is het zeker aan te bevelen

Een exploit op zich is niet zo erg (ik ga me niet wagen met uitspraken over hoeveel etc etc).
Maar het aantal exploits is erg, als dat er veel zijn en je update niet/niet op tijd heb je een probleem, voor bedrijven (zoals waar ik nu stage loop). hebben de gebruikers geen rechten om te updaten, en de systeembeheerders gaan de pc's echt niet af........ (alleen als er een kapot terug komt).

Maar deze bug lijkt niet critickal, maar als je spyware of andere troep binnenkrijgt en die gaat nog meer troep halen of virussen...........
Hoi Michiel ;)

De exploit stelt idd niet veel voor maar de gebruiker moet wel naar een vage website gaan. De beste oplossing vind ik toch wel gewoon een goede friewall installeren zoals Black Ice met Aplication Protection. En trouwens Microsoft heeft iedereen aanbevolen om SP2 te installeren. En zoals je ziet zijn de meeste exploits die uitkomen niet voor SP2. En ik word er een beetje moe van hier op tweakers dat als er een windows exploit gepost word dat meteen iedereen begint over dat je linux moet gebruiken.

Maar werkt deze exploit niet onder Windows XP zonder SP's?

EDIT:
@Gieltje: Ik vind deze exploit nog niet eens zo heel erg critical. Kijk maar naar de LSASS exploit Als mensen naar vage pr0n & warez sites gaan vinden ze het gek dat hun pc volstaat met troep. En je hebt gelijk ons mam zet ook de virusscanner uit. Todat we weer een emailtje van XS4ALL krijgen... |:(
Ergens hoeft het ook niet nodig te zijn om een virusscanner en een firewall te hebben draaien, dit zou inhouden om je koffiezetapparaat om te bouwen zodat er 20 filters in passen om bacterien die mogelijk in het kraanwater zitten eruit te kunnen halen. de waterleiding moet dan toch verbeterd worden.

natuurlijk weet ik dat bugvrij een illusie is, maar met de hoeveelheid waar het nu mee komt is het gewoon bespottelijk. dit is geen bugje meer, maar gewoon een groot gapend gat helaas
Ps. je kan gratis een update CD in welke taal dan ook, bij microsoft bestellen.
Ik draai zelf ook 100% linux (gentoo), Maar zo'n Update CD is altijd wel handig ivm. familie, kennissen en vrienden.

/typo
Misschien ligt het aan mij maar hij werkt bij mij niet :?

Ik heb gewoon IE6/w2k. En ik heb de exploit getest aan de hand van een link op de securityfocus.org ( betrouwbare site ). Maar hij werkt niet?

Zou kunnen dat hij door de proxy(squid) word geblokeerd?
Anderen worden aangeraden SP2 te installeren of een andere browser te gebruiken, aangezien er al werkende exploits verspreid zijn op het internet.
Of een andere browser te installeren. Ligt het nu aan mij of is eigenlijk 90% van de gebruikers er al zo'n beetje zeker van dat IE niet echt veilig is?
De gemiddelde consument daargelaten uiteraard.
de "gemiddelde" consument kan het niet schelen dat het niet veilig is.
er is een groot verschil in beleving tussen de kritische computer gebruiker en de mensen die de pc gebruiken alsof het een koffiezet apparaat is.

het is toch vreemd dat microsoft er mee wegkomt om zulke brakke producten te leveren.
als iemand een koffiezet apparaat koopt dat water lekt wordt het apparat meteen terug gebracht naar de winkel en krijg je een nieuwe, gebeurd het nog een keer dan zal niet snel meer merk x gekocht worden. bij software ligt dit gewoon anders en dat is men niet gewent, na verloop van tijd zullen er bijna altijd lekken ontstaan (gevonden worden) en dat vergt een andere insteek.

ze zouden bij pc's net als bij auto's een apk of groot onderhoud moeten instellen, dat zou al een hoop schelen.
Anders verzin je voortaan een vergelijking die wel hout snijdt:

De koffiezetter-vergelijking gaat alleen op als je die op de stoep in een drukke winkelstraat (internet)staat. En dan kun je nog zo'n stevig apparaat hebben, maar als er een vandaal (cracker) op uit is om dat ding lek te stampen, zal hij daar heus wel kans toe zien. Als je koffiezetter dan ineens stuk is, geef je dan de vandaal de schuld of ga je huilend naar de fabrikant omdat die er niet voor gezorgd heeft dat iemand anders de boel niet kan slopen?

Maakt dat jouw koffiezetter tot een brak produkt?
Sorry hoor, maar die vergelijking is net zo scheef. Er zitten fouten in het product, dus er is een lek in het koffiezetapparaat, en die kan door anderen uitgebuit worden, bijvoorbeeld door het pleistertje met een naald door te prikken. Je koffiezetapparaat kan je ook niet van 5000 KM afstand slopen. De techniek die jij beschrijft heeft meer weg van een brute force, net zolang op dat koffiezetapparaat rammen tot ie kapot is..
Het probleem met al die vergelijkingen is dat normaal gesproken de gebruiker geen schade ziet. "een toolbar meer of minder bijvoorbeeld, zal wel extra functionaliteit bieden. Virus, ooh, zo opgelost, cd'tje van de fabriek erin, goh wat sympatiek van ze dat ze daar aan hebben gedacht.". Hier kan je natuurlijk ook weer MS de schuld van geven, die houd de gebruiker eigenlijk vrij dom. Dit 'dom houden' helpt echter wel weer mee aan de bruikbaarheid van het OS, dus dat is een overweging die men moet maken.
Feit blijft echter wel dat er ookal is het niet de gebruikers' schuld, er toch schade kan worden aangericht. Ook onzichtbare schade is schade. Lees ik laatst een artikel in de consumentengids dat er door een ontwerpfout een foodprocessor niet goed kan worden schoongemaakt. Zo krijg je bacterien, aangeraden word om dit product niet te kopen of te gebruiken. Met een OS/Browser watdanook hoort dit precies hetzelfde te zijn, maar dat schijnt nogal moeilijk aan mensen te vertellen te zijn.
al dat gepraat over koffiezetapperaten...als je nou voor mij is een lekker kopje koffie zet :+ ;) probleem opgelost ;)
ze zouden bij pc's net als bij auto's een apk of groot onderhoud moeten instellen, dat zou al een hoop schelen.
Ja, lijkt me heel nuttig. Dat gaat alles oplossen. Ik denk dat hackers/crackers dan ook spontaan verdwijnen |:(
Echte hackers verdwijnen niet. Maar de scriptkiddies en crackers wel }>

Edit: Typo :9
90% van de gebruikers van IE IS een gemiddelde consument, de overige 10% (en dan denk ik dat dat nog heel ruim is!) is tweaker of iig gevorderd genoeg om te begrijpen dat IE niet altijd even veilig is. De meeste mensen hebben er dus geen of weinig weet van dat IE niet veilig is.
Dat ligt aan jou. Zo'n 90% heeft helemaal geen probleem met IE als browser: http://www.tweakers.net/nieuws/34896

*EDIT, telaat. Linkje opzoeken koste ook ff tijd :P*
Wij werken hier met 10.000 man nog met voornamelijk Windows NT 4, SP6. Maar wel met IE 5.50.
Volgens mij zijn wij dan zoieso het haasje of }:O
Je moet updaten naar SP2 voor Window XP...
O.. 10.000 computer.. gaat moeilijk :)

Denk dat firefox installen sneller is.

@number3: Dat is juist het probleem Zij gebruiken NT4 en volgens mij maakt microsoft daar geen patchen meer voor.
Dus lijkt het mij gemakkelijker en sneller om FF te installen op 10.000 computer dan Windows XP te installeren. Kan het mis hebben hoor
Hoezo is het sneller om een applicatie te installeren op 10.000 computers als een goede patch?

Een bedrijf met een 10.000+ computers werkt met van die handige push mechanismes (SMS, of varianten) en zorgt ervoor dat de gebruiker er niets van merkt. Een firefox introductie zou ik niet willen doen in een groot bedrijf, kan je je helpdesk nieuwe instructies geven, je persooneel weer eens opleiden. Neer, ik geloof niet dat het introduceren van een nieuwe browser eenvoudiger is dan een OS patch uitrollen.
en de helpdesk opleiden voor windows XP? dat werkt serieus vaak net even iets anders dan bijvoorbeeld 2000, NT heb ik geen ervaring mee
Sure, en wat introduceer je dan voor andere problemen?
IE 6 is vulnerable, 5.5 niet volgens het nieuwsbericht.
How about 5.01 (Win98)?

/edit
Off-topic? Niet onderzocht nee, en dat is heel wat anders. Ik vraag me serieus af hoe het zit met IE 5.01 (in Win98, en ik geloof ook in Win2000), aangezien bugs vaker al langer blijken te bestaan en ik het antwoord hierop nergens kon vinden, zelfs niet bij Secunia. Lijkt me dus een hele toepasselijke vraag.. U wordt bedankt. ;)
Tja.. en hoe vaak word een gemiddelde computer gebruiker nou slachtoffer van zo'n bug? Ten eerste komen veel mensen al niet verder dan Google en de vaste lijst met sites en ten tweede zal je toch eerst op een bepaalde site moeten komen waarin zo'n exploit is toegepast.

Goed, een lek in IE is niet goed maar om nou te doen alsof heel de wereld vergaat. Hoeveel procent van de computer gebruikers zal ooit tegen dit probleem aanlopen, 0,0001% ofzo? Scary.
Wat een flauwe kul zeg! Je browser moet gewoon waterdicht zijn. Veel mensen komen heel vaak op "vage sites". Bij Windows extra veel, namelijk om warez / crackz / serialz te downloaden (of beweer je dat dat niet gebeurt? Bij Linux hoeft het al niet omdat je daar gewoon gratis software gebruikt). En verder natuurlijk porno en mp3 Of ga je beweren dat niemand dat doet? Helaas is dat onder Linux nog niet met een simpele "emerge" of "apt-get"- actie te downloaden :)

Daarnaast: die pr0n / spyware / spam / virus / malware-boeren doen hun uiterste best om zo hoog mogelijk in Google te komen, en daar slagen ze aardig in. Dus de kans dat je er een keer op klikt als je wat "normaals" zoekt in Google is ook zeer aanwezig.

Er is niet voor niks een project genaamd Pornzilla, bedoeld om zo goed mogelijk op vage sites te kunnen browsen. Veel technologie uit dit project wordt trouwens gemerged in Firefox :7
Die Pornzilla is eigenlijk wel handig, maar dan niet zozeer enkel voor porno te bekijken. De "go to referer" knop en een zoomknop voor prentjes is eigenlijk iets dat ik al langer zocht...
ja briljant he? Die dingen zijn ook als firefox-extensies te krijgen volgens mij.

OT: Er is trouwens ook een mooi programma "pornview", en dat is heel handig om "beeldmateriaal" te bekijken zeg maar (dirs met plaatjes en/of filmpjes). Werkt uiteraard ook prima als het niet over blote vrouwen gaat. Is mijn favouriete image-viewer onder Linux.
Ah, bugs bagetalliseren! Dat helpt.
Dat er nu alleen op vage sites exploits te vinden zijn betekent niet dat zo hoeft te blijven. Als deze bug ongepatched blijft dan krijg je vanzelf meer sites met deze exploit..
Lekker is dat, we moeten maar 'even' service pack 2 installeren.

Ik zal mijn thuissituatie even schetsen. In de familie zitten 3 doorgewinterde computergebruikers en een persoon die de pc constant nodig heeft maar die alleen de mailclient kan vinden (die ik onlangs veranderd heb naar thunderbird). Van 4 computergebruikers was ik de enige die wist van het bestaan van sp2 en de maatregelen die het meebrengt. Ja overal stond hij wel gedownload (auto) maar iedereen heeft zich blijkbaar aangeleerd om die updatefunctie hardnekkig te negeren.
Toen heb ik een goede middag uitgetrokken om de 4 pc's hier up te daten (kost relatief veel tijd, hoewel het meeste natuurlijk wachten is). Snap ik waarom mensen afzien van updaten? Ja, mensen willen sense and simplicity. 80% van de computergebruikers bekommert zich totaal niet om security laatstaan dat ze dan het nut inzien om hun pc aan een grondige update te onderwerpen.
Heb na de install overigens bij iedereen ook meteen maar firefox (non ActiveX, hoeze!) erop gezet aangezien ik nogal kriegel word van alle spyware die er bij een niet nader te noemen gebruikster telkens opkomt :(
SP2 Installatie inclusief afconfigureren na reboot en gewoon doorwerken tijdens installatie.

PIII/450, 35 minuten.
PIII/800, 30 minuten.
PIV/2000, 20 minuten.
PIV/2800, 20 minuten.
PIV/3200, 18 minuten.

Dus echt veel tijd ben je niet bezig. Zeker niet als je ze allemaal gelijk aanzet.
je zou de eerste zijn die klaar is na het installeren van SP2, er moet daarna helaas nog aardig wat geconfigureerd worden
\[off-topic advies modus]
Ik wil effe heel erg off-topic. Ik moet wel, omdat de meesten toch altijd spreken over SP2 (ik ben er fan van ;)).
Ik wel even de mensen waarschuwen voor een ernstige bug in de uagp35.sys driver, deze is incompitable met sommige chipsets (laptops). Na de installatie van deze standaard AGP driver kan het erg fout gaan, strepen door je beeld, tot bijna geen beeld.
Hoe op te lossen:

Vlak na installatie voor rebooten: C:\WINDOWS\system32\drivers\uagp35.sys verwijderen.

Of anderzijds dit actie uitvoeren via een herstel CD/diskette, bijvoorbeeld de herstelconsole op de MS installatie CD.

Deze fout heb ik reeds aan MS doorgegeven en was naar mijn inzien blijkbaar niet bekend.

Succes.
\[/off-topic advies modus]
goedenweek!

Waarom zet je dit niet in een topic over bandenplakken joh! Dit gaat echt he-le-maal nergens over, zo offtopic is dit... Wel eens van het forum gehoord? Daar kan je dit soort dingen prima kwijt en wordt het ook nog gelezen.
Wat een bullshit en ophef over niks.
iedereen moet gepatched zijn met sp2, bedrijven kunnen vaak niet zo snel, maar daar is de security beter geregeld.

Nu kunnen we gelijk MS weer de grond in flaimen, zoals sommige hobbyisten hier op tweakers.

Met sp2 ben je veilig problem solved!!!
Hallo vriend, ik draai hier SP4, en toch zou ik last van deze lek hebben als ik Microsoft Internet Explorer gebruiken zou.
Het verbaast me dat er mensen zijn die IE nog serieus nemen.
Databeest waarom er veel mensen IE nog serieus nemen: omdat er VÉÉL mensen zijn die nog eens niet op de hoogte zijn van de beveiligingsfouten in IE. Ze staan er gewoon niet mee stil. Nu dat soort mensen zijn de grootste oorzaak van de verspreiding van virussen, want in mijn ogen gebruiken de meeste virussen slechts 1 ding om zich te verspreiden: human stupidity.

De meeste mensen beseffen niet waar ze mee bezig zijn tijdens het surfen, ze denken dat alles zo maar kan zonder problemen. Het zijn die mensen die na een paar maanden klagen dat hun pc traag gaat en dat ze "virussen hebben" (dus: spyware, adware, enz). Een tikje gezond verstand is al voldoende om zo'n dinge te voorkomen. Wat ik hier dus mee wil zeggen is dat al die mensen het ook niet nodig achten van hun software (Windows, IE, etc) te upgraden.

Waarom ik hier zo lastig van ben, is simpelweg omdat het rampzalig aan het worden is. Bekijk maar eens grafieken van virussen en infecties tegenwoordig, dat stijgt ENORM. Ook het aantal hacks stijgt. Hoe gaat de internetwereld eruit zien binne 10-20 jaar?

Hier is de oplossing: Toegang tot het internet verbieden tenzij je een soort "internetbewijs" hebt. Je mag ook niet op de weg zonder rijbewijs. Je mag dit stom vinden, maar als je eens wist hoeveel onbekwame mensen er dagelijks op het net zitten, de boel erger en erger te maken, je zou voor minder een verbod opleggen...
Gewoon lynchen die baldmer
Tuurlijk neem ik IE serieus. Waarom niet?

Het is gewoon standaard tegenwoordig dat lekken in producten van Microsoft in het nieuws komen. Andere lekken komen wel in het nieuws maar er wordt geen aandacht aan besteed...

Het is altijd Microsoft die de grond in word gezeken terwijl ik vind dat dat niet terecht is, ik update nooit, draai nog steeds sp1, geen virusscanner, geen firewall, helemaal niks. En ik heb nergens last van. Het word allemaal zooooo opgeblazen, echt heel erg zielig!

En welke site gebruikt er tegenwoordig nou nog IFrames?
Wat een zever "met sp2 ben je veilig", er zitten honderden lekken in Windows (zoals ook in andere Operating Systems) en die zullen vroeg of laat gevonden worden, dat noem ik NIET veilig. Niemand hier is veilig, tenzij je gewoon je netwerkkabel uittrekt :p
Dan is je pc nog niet veilig ;) Zit je alleen zonder internet/netwerk :z
Met sp2 ben je veilig problem solved!!!
Als de installatie daarvan nou ook eens werkte |:(
Gelukkig gebruik ik al een paar maanden geen IE meer...
Wat een gare bak heb jij als de installatie van SP2 niet werkt...
Wist microsoft al van deze bug??

Aangezien hij al verholpen is in SP2, begin ik te denken van wel. Mocht dat zo zijn, dan vind ik het niet zo fraai van MS dat dit niet eerder gemeld is/er geen eerdere losse (en kleinere) patch is uitgebacht.

Vooralsnog lopen er redelijk veel mensen risico volgens mij, want er is bijna gen hond die SP2 heeft geinstalleerd... (ikzelf gelukkig wel. En ik browse met firefox :Y) )
SP2 heeft standaard beveiliging tegen Bufferoverflows. Daarom moet iedereen SP2 installeren |:(
Moet je daar geen AMD64 proc voor hebben? (Of één of andere P4 stepping)
Dat is voor de hardwarematige bufferoverflow protection. Maar SP2 zelf kan dat ook hoor :Y)
Arg. Daar heb ik wat gemist :X

Dan ligt de verantwoording voornamelijk bij de gebruiker. Er is dus wel een oplossing beschikbaar (SP2 installeren, of Firefox gebruiken)...
SP2 heeft standaard beveiliging tegen Bufferoverflows. Daarom moet iedereen SP2 installeren
Microsoft heeft veel code opnieuw gecompileerd, waardoor deze op een andere plek in het geheugen geladen worden.
Met XP SP-2 gaat Windows met virtueel geheugen om zoals het hoort (zie de handleiding van de 80386 )

XP SP-2 beschermt tegen bugs zoals nu in IE gevonden. Deze bug had echter ook in IE opgelost moeten zijn; maar blijkbaar programmeren ze bij MS nog steeds in basaal C ;).
/dubble-post
GrooV was me voor
<quote>Wist microsoft al van deze bug??

Aangezien hij al verholpen is in SP2, begin ik te denken van wel.</quote>
Dat komt omdat met SP2 een algemene beveiliging is geinstalleerd tegen buffer-overflows (zowel een software-versie als een ondersteuning voor de hardware-versie)

Edit: shit... 'k moet wat vaker refreshen... 'k loop gewoon 7 minuten achter.
kwestie van FF gebruiken op Windows 2000 systemen en anders heb je toch wel een beetje een probleem :'(
@ koning53 en Dr_Neo:

Ooit van SUS gehoord?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True