Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 81 reacties
Bron: C|NET

Hacker (echt klein)Afgelopen donderdag heeft het bedrijf eEye Digital Security (eEDS) een nieuwe serie ernstige beveiligingslekken ontdekt in Microsofts Outlook en Internet Explorer. De lekken stellen hackers in staat onder andere commando's uit te voeren op de pc van het slachtoffer, zonder dat deze het door heeft. Terwijl de gebruiker aan het surfen is, kan de computer geïnfecteerd worden met verschillende soorten malware. Het bedrijf wil de precieze details niet vrijgeven voordat Microsoft met een patch is gekomen, maar het benadrukt wel dat als zij erachter kunnen komen, ook een kwaadwillende programmeur de fouten in het systeem kan opmerken. Een woordvoerder van Microsoft beweert dat er nog geen gevallen bekend zijn waarbij een van deze bugs heeft geleid tot een succesvolle inbraak. Wanneer het bedrijf met een fix komt, is nog niet bekend.

Moderatie-faq Wijzig weergave

Reacties (81)

Ik begin me nu toch langzamerhand wel af te vragen hoeveel fouten je kunt maken in een stuk progammatuur. Er gaat haast geen week voorbij of er is wel een nieuw veiligheidslek gevonden in IE (en/of andere producten). Hoe kan het dat er na jaren van patches en updates nog steeds fouten worden ontdekt in IE? Zitten er dan weer fouten in de patches die andere fouten oplossen?
Is de originele bron code van IE zo brak?
Is er uberhaupt nog iets over van de originele executable, of bestaat die nu enkel nog uit een lappendeken van patches (patchwork :p)?
Is het niet verstandiger om IE helemaal te re-writen from-scratch?
Zoja, waarom gebeurt dat dan niet?
IE zit onlosmakelijk verbonden met windows. Denk aan de windows update feature. Die site zorgt ervoor dat IE zaken uitvoert op je computer. Ze hadden dat nooit in IE moeten bakken maar apart moeten laten zoals een apt-get in debian.
Grote software pojecten worden gemaakt door grote teams programmeurs met wisselende competentie. Zeker als het een langjarig ontwikkeltraject betreft zul je lange lijsten "onvolkomenheden" hebben, waarbij telkens opnieuw prioriteiten gesteld worden voor het oplossn ervan.

Microsoft is in dat opzicht echt niet anders dan andere softwarebouwers: problemen worden pas verholpen als het belang (bv. druk van afnemers of gebruikers) groot genoeg is.
Inderdaad, dit is wat mensen vaak verkeerd hebben in hun denken:

Fouten zitten in ieder stuk software en hardware!

Mensen zijn nu eenmaal niet in staat iets te maken wat om kan gaan met alle situaties (ze kunnen het vaak zelf niet eens).

De enigste reden waarom dit ooit in het nieuws komt is omdat het MS betreft. De DHTML engine is een van de core onderdelen van windows en is ook enorm groot (het is veel meer als alleen een render engine voor IE en Outlook). Natuurlijk zitten hier fouten in.

Ik heb ook een SuSe desktop systeem met de automatische bug-patch updater (Windows update kloon dus) en krijg daar ook dagelijks bugs binnen die gepatched moeten worden.

In software zitten nu eenmaal vaak fouten, ik ben zelf ontwikkelaar en weet vaak dat er fouten zitten in mijn ontwerp, in mijn code en er sluipen ook nog wel eens bugs in. Maar dit is niet te verhelpen, en als ik al mijn tijd moet stoppen in het fixen van de bugs (die klanten vaak niet eens merken, of niet doorhebben dat het een bug is) dan kan ik de boel hier wel inpakken dan is een winstmarge er niet meer bij. Dit wil niet zeggen dat ik brakke software maak, de bugs zijn vaak klein en het ontwerp past altijd binnen de specificaties van de klant. Mijn klanten zijn dan ook tot nu toe erg tevreden; mochten ze van een fout echt heel veel last hebben dan los ik het voor ze op (voor een prijs). Mocht het echt een bug zijn dan is het een kleine moeite om ze te fixen.

Het komt allemaal neer op kosten/baten analyse:
Situatie: Fix alle bugs en problemen (zo goed als onmogelijk) Kosten: Hoog Baten: Klant komt nooit fouten tegen
Situatie: Fix alleen de opvallende en vervelende bugs (makkelijk te doen door testsessies te houden en de klant laten testen) Kosten: Laag Baten: Klant ziet de super service dat fouten direct opgelost worden.

Helaas oordelen mensen die zelf geen software ontwikkelen vaak over het werk van anderen zonder te weten hoe zoiets eigenlijk in z'n werk gaat.

En dan helemaal zoiets complex als die DHTML engine die al vele jaren oud is en waar al duizenden mensen kort of lang aan gewerkt hebben.

Je kan nog zoveel kritiek hebben op Microsoft; dit is de manier waarop bijna alle bedrijven werken. Je moet nu eenmaal af en toe hoekjes afsnijden als de winstmarge erg laag is. Wil de klant betere kwaliteit? Dan moeten ze meer betalen.

En kom nou niet aan dat Microsoft software te duur is want als je de gemiddelde prijs berekend (dus al die exemplaren van 0 euro meetelt) dan is die prijs erg laag.

Het komt ook neer op prioriteiten, de prioriteit in het verleden lag bij gebruikersgemak en snelheid. Nu het met gebruikersgemak goed zit en de PC's zo snel zijn dat snelheid niet meer uitmaakt focussen mensen op beveiliging. Iets waar eerder niet eens aan gedacht werd (toen het systeem ontwerp werd gemaakt).

Offtopic:
Published: April 1, 2005, 11:35 AM PST
...
Fouten zitten in ieder stuk software en hardware!
Dat snap ik ook wel, dit is idd een logisch gevolg van het feit dat het door mensen wordt gemaakt, en mensen maken nu eenmaal fouten. Wat ik echter niet snap, is de enorme hoeveelheid fouten die er gemaakt worden. Dit duidt eerder op slordigheid dan menselijk falen.

De DHTML engine is een van de core onderdelen van windows en is ook enorm groot
Dat het enorm groot is ok, maar dat is geen argument waarom dat er zoveel fouten in moeten zitten. Als je dit gewoon opdeelt in kleinere deel segmenten kun je die allemaal afzonderlijk netjes implementeren, zonder zoveel fouten.

En dan helemaal zoiets complex als die DHTML engine die al vele jaren oud is en waar al duizenden mensen kort of lang aan gewerkt hebben.
Dit is natuurlijk een argument van niets. De linux kernel is ook al vele jaren oud, en daar werken misschien nog wel meer mensen aan. Toch zitten hier niet zoveel fouten in, en het worden er zeker niet steeds meer.

Nu het met gebruikersgemak goed zit en de PC's zo snel zijn dat snelheid niet meer uitmaakt focussen mensen op beveiliging. Iets waar eerder niet eens aan gedacht werd (toen het systeem ontwerp werd gemaakt).
De basis voor Unix systemen werd al in de jaren 60 van de vorige eeuw gelegd, in een tijd dat de gemiddelde computer (pc's bestonden nog niet) nauwelijks de rekenkracht hadden van een Casio fx-85MS. Toch stond hier veiligheid al centraal, simpel weg omdat het een multi-user systeem betrof. Toegegeven dat in de tijd van MS-DOS er van multi-user op de PC weinig sprake was (en in de letterlijke betekenis van het woord is dat wellicht nog steeds zo), maar al vanaf Windows 95 was Windows er op gericht om meerdere gebruikers tegelijkertijd (of de een na de ander, zo u belieft, daar er slechts 1 persoon tegelijk van toetsenbord en muis gebruik kan maken) te ondersteunen. Hier hadden ze eigenlijk veiligheid al reeds goed moeten implementeren, maar dat hebben ze niet gedaan. Waarschijnlijk inderdaad omdat dat te duur zou zijn, of omdat ze lui waren, of omdat dat niet in de specificatie stond. Dat maakt allemaal niet uit, het is een fout die toen gemaakt is geworden. Feit blijft echter dat je niet eerst een systeem kunt bouwen en dan naderhand nog even wat beveiliging bij 'plakken'.

Ik heb ook een SuSe desktop systeem met de automatische bug-patch updater (Windows update kloon dus) en krijg daar ook dagelijks bugs binnen die gepatched moeten worden.
Gepost door Blokker_1999 - zaterdag 2 april 2005 - 15:43 Score: 3 (Inzichtvol)
Aangezien MS nog maar 1x per maand fixes gaat uitbrengen en het tegen komende dinsdag niet gaat lukken zal het dus pas in mei zijn ...

Mijn klanten zijn dan ook tot nu toe erg tevreden; mochten ze van een fout echt heel veel last hebben dan los ik het voor ze op (voor een prijs)
Ik weet niet hoe andere mensen hier over denken, maar persoonlijk vind ik het niet kunnen dat je je klanten extra laat betalen voor fouten die jij maakt, fouten die je in de eerste plaats niet had mogen maken.
Je kan nog zoveel kritiek hebben op Microsoft; dit is de manier waarop bijna alle bedrijven werken. Je moet nu eenmaal af en toe hoekjes afsnijden als de winstmarge erg laag is. Wil de klant betere kwaliteit? Dan moeten ze meer betalen.
Die winstmarge bedraagt 80 %. Lijkt me voldoende, nietwaar ?
@AlterEgo: Bron?

@Da Fox:
Je moet eens de geschiedenisboeken gaan nalezen, ik durft te wedden dat jij er niet was toen de 'computer' in opkomst was en de basis voor unix systemen werd gelegd. Ik was er namelijk wel...

Dit was overigens niet in de jaren 60 maar begin jaren 70. Daarnaast zitten er ook in die systemen veel fouten en is het unix systeem absoluut niet gemaakt voor de thuisgebruiker (die toen nog niet bestond)

Je vergeet dat MS-DOS echt niet het eerste OS van Microsoft was dus om alles op MS-DOS te gooien is ook een beetje dom.

Dat ik iedere dag fixes voor SuSe krijg betekent niet dat de proggers er geen maand (of meer) over hebben gedaan om de patch te maken.

Je moet toch eens je perspectief op de wereld aanpassen: Dat een bedrijf iets niet zou doen omdat ze te lui zijn (en dan heb ik het over grote bedrijven, niet een gup van 15 die bedrijfje speelt) is natuurlijk de grootste onzin die er bestaat.

En je laatste punt over mijn klanten: Lees mijn verhaal nog eens goed en denk er eens over na. Voor extra hulp zie de reactie van JerreDV, die heeft het wel gesnapt.

Het gaat maar om je definitie van fouten, en jammer voor jou en de andere mensen die het zien zoals jij. Maar zo werkt de wereld nu eenmaal, wil je iets gedaan krijgen dan zul je moeten dokken.

Moraal van het verhaal: De wereld draait op en om centen, Microsoft weet perfect hoe ze geld moeten verdienen. Dat een hoop nerdjes daar mag van worden vinden ze helemaal niet erg en alleen maar amusant.
Het woord 'fouten' wordt vaak fout geïnterpreteerd. De dingen die hier gevonden worden zijn meestal geen echte programmeerfouten. Eerder dingen waar niet aan gedacht is. Cfr.: Je veronderstelt dat alle varkens roos of zwart zijn, en er duikt plotseling een bruin varken op, dan ben je gezien. En over zo'n dingen gaat het hier. Dingen die op het moment dat er werd geprogrammeerd nog niet bekend waren, of situaties waarvan men gedacht had dat ze nooit zouden kunnen voorkomen.
Dit is natuurlijk geen excuus om onveilige software te maken.
Je beantwoord met je laatste zin al redelijk een eerdere vraag, als het voor microsoft slimmer was om te rewriten (kosten-baten afweging) hadden ze dat al gedaan.
Over rewriten: Dit is het domste wat MS kan doen, omdat een rewrite nog meer bugs dan de huidige code zou bevatten. Immers, delen van de huidige code zijn al zeven jaar oud, en dus al zeven jaar op bugs getest. Gerewrite software zou echter max 6-12 maanden getest zijn, en daarom zouden er veel meer fouten in zitten.
Dit lijkt mij ook de reden waarom LongHorn ERG veel problemen zal hebben, omdat het voor een groot deel vanaf de grond opnieuw is geschreven (zegt men).
Aangezien MS nog maar 1x per maand fixes gaat uitbrengen en het tegen komende dinsdag niet gaat lukken zal het dus pas in mei zijn ... .

En dan nog een geluk dat men ze op dit moment nog niet achterhoud voor de Amerikaanse regering.
Klopt, behalve als men het als high risk betitelt, want dan wordt het veel eerder uitgebracht en dat wordt normaal gesproken publiekelijk bekent gemaakt
*kuch*
32 % van alle aangetroffen security bugs in Internet Explorer zijn nog niet gefixt, waaronder een aantal oude bugs met als status "Critical". http://secunia.com/product/11/
En weet je ook waarom SLIM ze aanbiedt voor 18 Euro? Dit is slechts een actie van MS om overstappen naar alternatieve besturingssystemen minder aantrekkelijk te maken, omdat ze doorhebben dat vooral op de universiteiten etc. de 'early' linux 'adopters' zitten.

Wel grappig om te zien dat ze bang zijn :)
3000 euro... pfff.... zeker nog nooit van OEM gehoord, gewoon bij je PC erbij kopen. En daarna dus gewoon upgrades :Z
Klopt, maar waarom denk je bijvoorbeeld dat SP2 uitgebracht is? (niet heiligmakend, maar een aanzienlijke verbetering). Er wordt ook aangeraden die te installeren. Per 12 april stopt de windowsupdate voor oudere versies ook. Maar aangezien heel veel mensen vinden, dat ze recht hebben op een gratis kopie en vervolgens niet durven updaten... die moeten in mijn beleving niet zeuren en een officiele licentie kopen of linux ofzo gaan leren
Neen, vanaf 12 april is SP2 verplichgt te installeren voor XP gebruikers. En dat heeft absoluut niets te maken met illegale windows versies.

Ik heb hier thuis 5 computers staan. Om elke computer te voorzien van een officiële Windows en Office zou dat mij meer dan ¤3000 kosten. Ik denk dat dat voor iedereen toch wel wat te veel is van het goede.
Niets te maken met illegale versies he? Waarom denk je dat de support op SP1 stopt en per 12 april SP2 niet meer tegengehouden kan worden?
Wat is de totale kostprijs voor de hardware? En ben je echt verplicht van op elke pc de nieuwste versie van Office te installeren?

En koop jij enkel volledige pakketten en nooit updates?

Licentie-kosten zouden meegerekend moeten worden bij de aankoop van een pc. Nu rekent men enkel de hardware mee in de totaalkost.
Je mag van MS geen licentie meenemen naar een nieuwe PC dus ja je bent verplicht van een nieuwe windows en office te kopen als je een nieuwe pc koopt. Je mag office wel op een extra laptop zetten op voorwaarde dat de eigenaar van de laptop ook de hoofdgebruiker van de PC is.
Reactie op Blokker_1999

Ik weet niet waar je dat vandaan haalt, maar ik heb toch minstens 3x een windows licentie van computer kunnen wisselen. Eventjes bellen en tegen de vriendelijke dame zeggen dat je nieuwe hardware hebt (je liegt niet), en je wordt meteen doorgestuurd naar een bandje die je licentie koppelt aan je nieuwe hardware.

Bovendien weet ik niet of het aan mij ligt, maar ik krijg via SLIM legaal een licentie voor 18 euro incl. Cd-rom. Is wel makkelijk dat onze school bij die organisatie is aangesloten.

Geef mij maar 1500 (50%) euro, regel ik voor jou 4x windows licentie en 4x office. Zonder handleidingen, maar ik denk dat het wel moet lukken.
Niet iedereen gaat nog naar school. En ik dacht zelfs dat de licensies vervallen zodra je niet meer naar school gaat...
@Blokker_1999: Dat geldt alleen voor OEM licenties. Hiervoor wordt minder betaald dan voor een niet-OEM versie, en daar heeft MS de voorwaarde aan verbonden dat de licenties alleen voor de betreffende apparatuur zijn.
Koop je een normale versie van Windows of Office, dan mag je die op iedere pc zetten die je wilt (wel maar 1 tegelijk).
@Blokker_1999, zolang je alle 5 computers niet tegelijk gebruikt, dan mag je volgens de EULA (tenzij het een OEM licentie is) de Microsoft software gewoon op meerdere systemen installeren. Die aanpassing was vooral bedoeld voor gebruikers met een desktop en notebook, terwijl er maar één systeem tegelijk in gebruik is, maar geld ook voor andere situaties.

Als je dus wel 5 gebruikers in huis hebt die allemaal tegelijk de computers gebruiken, dan is het een ander verhaal. Maar waar ik me dan altijd aan erger zijn de personen die wel veel geld over hebben voor de allerlaatste videokaart en een extra computer systeem, maar geen legale software kunnen (meer willen) gebruiken. Ga dan lekker met Linux spelen, want er zijn genoeg alternatieven die weinig of geen geld kosten.

En WinXP Home OEM kost $90 en OfficeXP SBE OEM kost $180, dus zo duur is het nu ook weer niet.
Ik weet niet wat jouw thuissituatie is, maar 5 computers met XP en Office lijken me toch zwaar overdreven. Ik heb misschien makkelijk praten met een laptop van het werk waarbij de licenties voor XP en Office al betaald zijn, maar op mijn thuisdesktop staat bijvoorbeeld gewoon OpenOffice.

Mocht je echt op elke computer Windows en Office nodig hebben, dan neem ik aan dat het ook om meerdere mensen gaat. Er van uit gaande dat je per persoon maar een licentie XP en Office nodig hebt (waarom zou je per persoon meerdere licenties nodig hebben :?), dan zou het dus om 600 euro p.p. gaan. Misschien nog veel geld, maar het maakt het plaatje opeens wel heel anders.

Natuurlijk kun je zeggen dat het makkelijker is om op elke machine alles te hebben, maar gemak heeft zo zijn prijs en ga dat dan niet afschuiven op iemand anders!
Ja hij heeft 5 pc's en hij gaat ze om de beurt gebruiken. Woehaa. Bovendien denk ik niet dat je een oem licentie op een reeds bestaand systeem mag kopen.
LOL mensen die er in dit draadje op wijzen dat SP2 niet voor niets is en veel oude lekken dicht worden meteen Troll of Off-Topic gemod. Beetje flauw als je het mij vraagt.
¤ 3000,- voor 5x XP en 5x Office. Tuurlijk :)

MS biedt verschillende speciale aanbiedingen waardoor het voor ITers zeer goedkoop is om licenties te verwerven. Als je een beetje creatief bent kun je makkelijk voor onder de ¤ 500,- per jaar klaar zijn. Zoek maar eens op de MS site naar Action Pack subscriptions of anders Empower

Enige beperking: Internal Use Only, dus je mag er geen commerciele sites mee hosten. Voor thuisgebruik is dat echter geen serieuze beperking.
Aangezien MS nog maar 1x per maand fixes gaat uitbrengen en het tegen komende dinsdag niet gaat lukken zal het dus pas in mei zijn ... .
Ik kan me vergissen, maar komende dinsdag is pas de eerste dinsdag van april en de patches komen dacht ik op de tweede dinsdag van de maand (als ze komen).
*kuch*^2

Als je het echt wilt, geraak je wel aan hotfixes voordat ze 'officieel' beschikbaar zijn hoor...
Vergeet ook niet dat dit soort berichten door bedrijven wordt gebruikt om aandacht te krijgen.
Het zou ook storm in een vingerhoedje water kunnen zijn.
Daar kan je wel eens gelijk in hebben.
Van de eEye site (het bedrijf dat de lek bekend maakte :)
"eEye Digital Security is a leading vulnerability management software developer..."

"...eliminate vulnerabilities, rather than just thwart attack"

Kortom, deze mensen leven van gemaakte fouten, en hebben liever dat fouten gemaakt dan voorkomen worden.

Dit zou inderdaad ook reclame kunnen zijn voor hun "vulnerability management software", die ze misschien MS door de strot proberen te duwen.
(Zou trouwens een koekje van eigen deeg voor MS zijn).
"Als je niet onze software gaat gebruiken, gaan wij lekker details van veiligheidslekken bekend maken, zodat jullie negatief in 't nieuws komen!"
Deze laatste paragraaf is ZEER speculatief, maar er zou een kern van waarheid in kunnen zitten.
Het bedrijf wil de precieze details niet vrijgeven voordat Microsoft met een patch is gekomen
Volgens mij zegt dat bedrijf juist niets over het probleem behalve wat vage dingen die over veel programma's gezegd kan worden, toch?
Bij mijn weten is het als volgt: SLIM kan ze aanbieden voor 18 euro, als de aangesloten organisatie bereid is de licentiekosten voor de producten op te hoesten.

Overigens is het wel zo dat je de software alleen mag hebben als je werknemer of student bent bij genoemde organistie... ik heb dus ook maar gedacht: zo heb ik tenminste mijn software legaal :).

Verder staat bij de toelichting van (bijvoorbeeld) Windows XP Professional Upgrade NL: "Dit is een volledige versie van de software, maar de licentie voor het gebruiksrecht die bij de MS Windows Desktop-producten verkocht wordt is een zogenaamde upgradelicentie.
Een upgradelicentie houdt in dat deze producten nooit op een nieuwe, kale pc geïnstalleerd mogen worden. Er moet bij een nieuwe pc namelijk altijd een geldige licentie voor MS Windows aanwezig zijn in de vorm van een OEM-licentie of een licentie van een origineel gekochte volledige MS Windows versie.
Een dergelijke licentie kan vervolgens via de upgradelicentie naar een hogere versie (bijvoorbeeld van MS Windows 98 naar MS Windows XP) worden opgewaardeerd. Daarbij kan wat betreft de installatie zelf besloten worden een "schone" installatie te plegen, dus op een geformatteerde harde schijf of partitie daarvan. "

... dus je krijgt een volledige versie, maar het is slechts een update :P

En: het is uitsluitend mogelijk om vier verschillende Windows/Office versies te krijgen als je alle afzonderlijke versies apart besteld.. maar niet vier maar dezelfde, want je kunt slechts éénmaal een artikel bestellen, en heb je het al eerder besteld, dan staat dit vermeld ;)
Ik weet dat het een beetje offtopic is, maar ik heb nooit last gehad van jouw zogenaamde "upgradelicentie". Ik heb hier thuis inderdaad 2x engels XP en 2x nederlands XP liggen (heb ook een zus op dezelfde school). Bovendien kan ik iedere gek op onze school even vragen of ze even product X willen bestellen. Wat dat betreft geen probleem.

Bij mij thuis worden alle licenties gewoon als volledige licenties gezien. Er is dan geen origineel gekochte versie aan vooraf gegaan.

Ik wens je dus veel succes met goedkoop legaal inkopen doen :7
Mooi, hebben de programmeurs bij Microsoft ook weer eens wat te doen :)
Er zitten grenzen aan het aantal bugs en lekken in producten, oke, een aantal bugs zit er in ieder programma, maar ik snap niet hoe een bedrijf het voor elkaar krijg om zo'n ongelovelijk lek product op de markt te brengen. In plaats van een firewall bouwen, en meer aandacht gaan besteden aan Longhorn, heb ik liever dat ze een deugdelijk product op de markt brengen, dat goed is getest, en zonder allemaal bugs en lekken. Wat ze ook kunnen doen is net zoals Mozilla, gewoon voor ernstige bugs
een bepaald bedrag uitkeren aan de ontdekker, misschien testen ze het dan ook eens wat beter, anders zou Microsoft geen cent meer aan winst overhouden :)
Wat ze ook kunnen doen is net zoals Mozilla, gewoon voor ernstige bugs
een bepaald bedrag uitkeren aan de ontdekker, misschien testen ze het dan ook eens wat beter, anders zou Microsoft geen cent meer aan winst overhouden
Nee, dat kan (bijna) niet, want de bron is niet open.
De enige manier om bugs te ontdekken is om te zoeken naar fouten die een hexadecimaal adres in het errorreport geven, of door "trial and error" het een en ander te proberen, en door "reverse-engineering"
Echter, vooral in Amerika, loop je hierdoor het risico voor 'cyberterrorist' aangezien te worden, en reverse-engineering is bijvoorbeeld verboden in Amerika.
Ik kwam gister op een vage site, ik gebruik IE met SP2, en heb een firewall, en ineens werd er een cmd venster geopend en popte er help popups van IE op.. zeer vreemd
Een woordvoerder van Microsoft beweert dat er nog geen gevallen bekend zijn waarbij een van deze bugs heeft geleid tot een succesvolle inbraak
Mocht het lek wel tot een successvolle inbraak hebben geleid, zouden ze daar dan achter zijn gekomen?
Slimme (en waarschijnlijk waarheidsgetrouwe) uitspraak, maar het zegt compleet niks.
Tsja, ik vraag me af of dit soort bericht nog wel op de frontpage moeten komen. We weten allemaal dat er aan de lopende band fouten worden ontdekt; niet alleen in microsoft producten, maar ook van anderen.
Zeker wanneer het ook nog eens zo vaag omschreven wordt als. Iets waar je wel iets aan hebt, is vertellen dat er weer bugfixes zijn gereleased. Maar goed.

[edit] net te laat.
Het is nuttige info voor iedereen die nog twijfelt om van mailclient of van browser te veranderen. Ik gebruik al firefox (ja ik weet dat daar ook wel eens een foutje in gevonden wordt), maar ik overweeg inmiddels om ook Outlook vaarwel te zeggen in ruil voor een mozilla-product.
Als je niet aan exchange hangt, dan is thunderbird een prima mailclient hoor. Doet zelfs RSS feeds out-of-the-box.
Klopt, Thunderbird is een erg leuk programma maar zolang het nog niet met me smartphone kan syncen en met het MAPI protocol werkt is het voor mij nog geen optie. Denk dat het ook een kwestie van tijd is voordat dat mogelijk is.
Is dit nu echt een nieuwspost waard? Er worden elke dag wel bugs gevonden in een stuk software...

<div class="b4" style="position: relative; color: black; border: #C6C1B4 1px solid; width: 80%; padding: 5px; font-size: 12px;"><span style="color: C00042;">Admin-edit:</span>
Voor opmerkingen in verband met niveau, stijl, opmaak en andere zaken van een nieuwspost kan je een topic openen in Frontpage Algemeen Forum.
Reacties onder een nieuwsitem met een dergelijke inhoud worden als offtopic en ongewenst beschouwd.
</div>
In dit geval wel, aangezien IE en Outlook direct geintegreerd zijn in het OS. Dus een lek in IE of Outlook is direct een lek in je OS.
Het gaat niet zo zeer om IE of Outlook, maar meer om de onderliggende DHTML engine waar beide gebruik van maken. Deze maakt sinds Windows 95 met Internet Explorer 4 onderdeel uit van Windows, maar bevat zodanig veel bugs dat hij zeer exploitable was en blijkbaar nog steeds is.
en zegt dat dan niet direct iets over hoe serieus we MS's 'security' acties moeten aannemen? ze hebben 10 jaar de tijd om code op te schonen en dat zijn ze blijkbaar nog steeds niet in staat toe. al zet je er van mijn part 1 coder op dan moet zoiets nog lukken. tevens worden hier nog wekelijks fouten zowat in gevonden en soms opgelost.
ik vind dan eigenlijk dat eEve ook niet moet stellen dat ze de fouten pas bekend maken nadat MS de patch released maar dat ze de bugs bekend maken over 3 maanden bijvoorbeeld zo heeft MS de tijd om hun probleempjes op te lossen maar dan gaan ze deze tenminste ook oplossen. het komt vaak genoeg voor dat bugs worden gevonden zelfs criticals volgens EdwinW maar het is nog maar vaak de vraag dat men er iets aan doet. wat ik nog schandelijker van MS vind is zodra jij bugs bekend maakt zonder dat MS de kans krijgt erop te reageren zullen ze je nog aanklagen ook.
imo mag de EU ook bv wel eens garant verklaringen van MS afdwingen dat hun software een minimale veiligheids graad bereikt en gelede schade door MS betaald moet worden misschien dat ze dan eens daadwerkelijk aan hun security doen en niet een SP uitbrengen en je dan dwingen deze te installeren en imo de enigste 'upgrade' is dat de 'firewall' automatisch aanstaat.
en voordat we gaan modden, dit is geen flame dit is helaas de realiteit
Ik denk dat het een beetje onzinnig is wat je hier neer zet. Een lek moet meestal eerst bekent zijn wil men er wat aan kunnen doen. De broncode door lezen zonder te weten waar je naar moet zoeken heeft natuurlijk weinig zin vooral bij een code van een dergelijke omvang en met een opmerking als deze begin ik toch ook het vermoeden te krijgen dat je geen tot zeer weinig programmeer ervaring hebt. Microsoft zal jou ook gerust niet aan klagen wanneer je een lek aan hun bekent maakt door bijvoorbeeld even te bellen of te mailen maar wanneer je het ergens op een openbaar forum op internet zet is het natuurlijk wat anders en ik hoop dat je dat begrijpt. Als het Mozilla pakket een echt grote userbase gaat krijgen zullen daar ook wel veel lekken aan het licht komen, er is nu zelfs al spyware die de o zo veilige firefox browser infecteert Programma's kunnen nou eenmaal nooit perfekt zijn, hoe groter de code, hoe groter de kans op fouten en ook al is de code perfekt de compiler is nog altijd door mensen gemaakt en kan daarom ook nog fouten bevatten.
@ BackSlash32: Er zijn ook nog gebruikers die geen PHP/Java/C(++, #) kennen en != als een typo van = interpreteren. ;)

Back2Topic:

Maar goed ik blijf me altijd verbazen over het feit dat mensen zo supersnel in paniek raken bij zoiets. Ja er zit een lek windows... zo zullen er nog wel 25 inzitten die nog niet gevonden zijn.

Ik bedoel, gebruik het dan gewoon niet...

Altijd die snelle paniek weer van "ow jeej, nu zal m'n windows installatie naar de mallemoeren gaan en m'n gegevens zijn niet meer safe!". in 99% van de gevallen is dat te wijten aan het surfgedrag van de gebruiker zelf. Moet je maar geen illegale meuk downloaden...
Ik bedoel, gebruik het dan gewoon niet...
Je hebt maar ten dele gelijk: in ieder OS zitten lekken en bugs. Dus jouw redenatie volgend moet iedereen die daar bang voor is maar terug naar pen en papier...
Straks krijg je nog last van een bug in je pen :Y)
Ik snap wel wat je bedoelt het is een lek die al ongeveer 3,5 jaar (of hoe lang windows xp dan bestaat) in het besturingssysteem zit en dan wordt dat bekend en iedereen schiet in de paniek terwijl als ze er niets over gezegd hadden, niemand er wat van gemerkt had. ;)
Ja so?? What else is new? Bijna alle lekken hebben effectief gezien dezelfde impact. Omdat alle thuisgebruikers toch als localadmin inloggen, dus zelfs al zou het programma de rechten niet standaard hebben, dan krijgt het het wel door de gebruikte user credentials.
Waarschijnlijk komt MS met een paar dagen/ week/ weken met de uiteindelijk patch... en opgelost...
Mwa, heel vervelend maar behalve het feit dat het uberhaubt een lek is, volgens mij niet veel nieuws. De user is nog steeds een zwakkere schakel in beveiligingsland.

Edit: overbodig? (blijkbaar zijn er hier geen standaard gebruikers :P)
Outlook != geintegreerd in je OS.

Voordat je blaat, zorg dan dat je iig weet waar je het over hebt.
Dit is puur om de MS-bashers te amuseren
Nou, dat zal wel meevallen. MS is nog steeds het meest gebruikt, dus is het terecht dat lekken en bugs gemeld worden.
Waarom blijven veel mensen toch IE en Outlook gebruiken? Ik doel vooral op mensen die altijd afgeven op IE en Outlook... en toch niet naar alternatieven zoeken die je systeem niet zo snel kunnen verziekstralen.
Tip: Firefox en Thunderbird (www.mozilla.org). Dan gebruik je IE alleen nog maar voor bepaalde sites die niet zo flexible in elkaar zijn geflanst.
Probeer jij je mozilla mailclient dan maar eens op een Exchange server (en dan niet via pop/imap maar MAPI) aan te melden.
BackSlash32

waarom moet er perse Exchange gebruikt worden
Welkom in de echte wereld waar je bedrijfsomgevingen hebt; groter dan 4 Pcs in een veredeld thuisnetwerkje, en andere software gebruikt dan OE en een pop-account van je ISP.

* 786562 BackSlash32
Het zou fijn zijn als die mensen ook eens de realiteit onder ogen zien en beseffen dat er gevallen zijn waar MS' s softwarepakketten gewoon beter tot hun recht komen en gebruikt kunnen worden (ondanks flaws en vulns) omdat er geen geschikt alternatief is?
Ach... ik doel ook op de gewone gebruiker. De grootste groep die op dit forum komt kijken. Een beetje bedrijf wat zich meer (interne)netwerken bezig houdt zal een mail client en browser gebruiken wat beter hun structuur past... en hebben 1 of meerdere systeembeheerders. Als een bedrijf Exchange server draait... tja microsoft zal het natuurlijk zo maken dat alleen hun producten compatible zijn met dit systeem. Dus geen gratis mozilla mailclient, maar misschien wel andere betaalde mailclients die microsoft betalen om compatible te kunnen zijn. Dan gebruik je dat alternatief toch?
Dus voor de doorsnee computer (met name windows) gebruikers lijkt me mozilla een prima alternatief... toch?
veel websites zijn ontwikeld voor IE.. veel forms werken niet met andere browsers dan IE..
Kletskoek. Enkele jaren geleden was dat misschien nog een geldige smoes om bij IE te blijven, anno 2005 niet meer. Ik kom tegenwoorden zeer weinig website's tegen die niet op Firefox werken! De enige website waar ik tot nu toe in 2005 IE voor starte was Windows Update.
Het is niet altijd mogelijk om alternatieven te gebruiken. Tot voor kort kon ik niet aan e-banking doen met een andere browser dan IE. Of neem nu een online virusscanner, deze werkt ook alleen maar met IE. En het grootste deel van de bevolking die met een PC werken weten nog geen eens dat er alternatieven zijn of weten gewoon niet waarom ze zouden moeten overschakelen.
IE gebruik ik vanwege de look & feel die ik prettiger vind dan FireFox (zeker icm Maxthon). Outlook hetzelfde verhaal, maar daarnaast ook omdat mijn Ipaq ermee werkt.

Na jaren intensief gebruik heb ik nog nooit last gehad van lekken of andere problemen. Dus ik zou niet weten waarom ik moet overstappen.
Weer een update neerhalen...
Ook al heb ik Outlook 2003 _niet_ geinstalleerd, ik krijg nog steeds Junk Mail Filter updates via Office Update. En die willen dan niet installeren, en dan denkt Office Update weer dat ik niet goed beveiligd ben.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True