Microsoft heeft een tool vrijgegeven waarmee gebruiker zich kunnen beschermen tegen misbruik van een lek dat vorige week ontdekt werd in de afhandeling van ActiveX-componenten. Het gaat echter niet om een patch, maar om een workaround die de functionaliteit uitschakelt in plaats van deze te herstellen. Met name het bestand Javaprxy.dll, die volgens Microsoft gebruikt wordt door de Microsoft Java Virtual Machine, wordt inactief gemaakt. Volgens een woordvoerder van het pr-bureau van Microsoft heeft men nog niet beslist of er een patch ontwikkeld zal worden. Volgens Martin Eisner van een security consulting bureau is het lek op dit moment niet zo gevaarlijk, maar kan en zal er binnen enkele weken iemand opduiken die een exploit schrijft voor dit lek, dat door Secunia als extreem kritiek gelabeld werd.
Microsoft komt met workaround voor 'extreem kritiek' gat IE
Lees meer
Mozilla belooft binnen tien dagen kritieke patches -- update
Nieuws van 7 augustus 2007
Microsoft waarschuwt voor Internet Explorer-exploit
Nieuws van 19 augustus 2005
Drie kritieke Windows-patches in maandelijkse update
Nieuws van 10 augustus 2005
Microsoft zal geen geld vragen voor veiligheidsupdates
Nieuws van 6 juli 2005
Kritieke bug in Internet Explorer ontdekt
Nieuws van 1 juli 2005
Beveiligingsproducten worden zelf steeds vaker doelwit
Nieuws van 22 juni 2005
Microsoft verzamelt info over XP-exploits met lokmachines
Nieuws van 21 mei 2005
Niet-Microsoft software wordt vaker doelwit van hackers
Nieuws van 2 mei 2005
Reacties (47)
Er wordt expliciet gesproken over MS Java VM.
Is er dan geen probleem als je Java van Sun gebruikt?
Of grijpen die twee in elkaar?
Is er dan geen probleem als je Java van Sun gebruikt?
Of grijpen die twee in elkaar?
Nee, als je Sun gebruikt is er niets aan de hand maar als je beide op je systeem hebt staan zal XP altijd de voorkeur hebben voor de Microsoft varriant. Zelfs als je in IE bij Tools -> internet options -> advanced -> java(sun) aanvinkt...
Er is wel een tooltje voor te downloaden alleen weet ik zo niet waar. Dat tooltje past de registry aan.
Er is wel een tooltje voor te downloaden alleen weet ik zo niet waar. Dat tooltje past de registry aan.
Dit lijkt mij niet juist, want het Java pictogram van Sun wordt in de System Tray actief.Nee, als je Sun gebruikt is er niets aan de hand maar als je beide op je systeem hebt staan zal XP altijd de voorkeur hebben voor de Microsoft varriant. Zelfs als je in IE bij Tools -> internet options -> advanced -> java(sun) aanvinkt...
:strip_icc():strip_exif()/u/26501/gambit2.jpg?f=community){kind=small}
Er zijn nog steeds sites waarvan de Java plugins alleen onder Microsoft's VM draaien. De grootste oorzaak is natuurlijk dat Microsoft altijd zijn eigen twist aan dingen geeft en hoopt dat hun product populairder wordt dan het origineel, zodat ze het origineel uit de markt kunnen drukken en het voor hunzelf kunnen claimen. Dat is ze met Java niet gelukt, waarschijnlijk vanwege de rechtszaak die Sun had aangespannen.
Als je trouwens de volgende methodes toepast van dat artikel (wat de beste manier is om het als Tweaker te doen)
Start -> Uitvoeren -> regsvr32 /u javaprxy.dll [enter]
en tevens:
Start -> Uitvoeren -> cacls c:\windows\system32\javaprxy.dll /d everyone [enter]
Dan blijft Java gewoon werken in de meeste gevallen, het zijn maar enkele java apps die gebruik maken van deze module. Het meerendeel, zoals bijvoorbeeld de java spelletjes op PlaySite.com of GameSquare.nl blijven het gewoon doen.
Start -> Uitvoeren -> regsvr32 /u javaprxy.dll [enter]
en tevens:
Start -> Uitvoeren -> cacls c:\windows\system32\javaprxy.dll /d everyone [enter]
Dan blijft Java gewoon werken in de meeste gevallen, het zijn maar enkele java apps die gebruik maken van deze module. Het meerendeel, zoals bijvoorbeeld de java spelletjes op PlaySite.com of GameSquare.nl blijven het gewoon doen.
Secunia EN US-Cert (landelijke waarschuwingsdienst computerbeveiliging van de USA) labelen lekken niet voor niets extreem kritiek. Het is eerder Microsoft die het kritieke niet wil inzien or erkennen. Vaak enkel omdat er nog geen exploit voor _lijkt_ te zijn.
Microsoft valt nmm met deze oplossing weer terug in het security tijdperk. Met het huidige beveiligingsbeleid is het gewoon onverantwoord om voor dit soort beveiligings gaten (of ze nu kritiek zijn of niet) geen oplossing beschikbaar te stellen via de normale bekende automatisch weg via windowsupdate.
Gebruikers gaan namelijk echt niet kijken op andere plaatsen of ze daar nog wat software/oplossingen kunnen krijgen voor onbekende lekken.
Microsoft had dat rond het bouwen van sp2 eindelijk door dat je klanten echt de oplossingen onder de neus moet leggen of liever in de mond moet geven voor ze het willen gaan toepassen. Dat gaat via deze weg dus voor het grootste deel van de gebruikers nooit lukken en die blijven met een gat zitten waar exploits al voor geschreven kunnen worden.
Wat er komen gaat valt te raden: MS heeft geen zin meer om er verder aandacht aan te besteden totdat ze het als kritiek (moeten) bestempelen als er bijvoorbeeld een actieve exploit bekend wordt. Voor MS is een beveiligings lek even geen prioriteit meer tot het misbruikt wordt. Zonde. Het ging net de goede kant op met beveiliging van MS.
Microsoft valt nmm met deze oplossing weer terug in het security tijdperk. Met het huidige beveiligingsbeleid is het gewoon onverantwoord om voor dit soort beveiligings gaten (of ze nu kritiek zijn of niet) geen oplossing beschikbaar te stellen via de normale bekende automatisch weg via windowsupdate.
Gebruikers gaan namelijk echt niet kijken op andere plaatsen of ze daar nog wat software/oplossingen kunnen krijgen voor onbekende lekken.
Microsoft had dat rond het bouwen van sp2 eindelijk door dat je klanten echt de oplossingen onder de neus moet leggen of liever in de mond moet geven voor ze het willen gaan toepassen. Dat gaat via deze weg dus voor het grootste deel van de gebruikers nooit lukken en die blijven met een gat zitten waar exploits al voor geschreven kunnen worden.
Wat er komen gaat valt te raden: MS heeft geen zin meer om er verder aandacht aan te besteden totdat ze het als kritiek (moeten) bestempelen als er bijvoorbeeld een actieve exploit bekend wordt. Voor MS is een beveiligings lek even geen prioriteit meer tot het misbruikt wordt. Zonde. Het ging net de goede kant op met beveiliging van MS.
het gaat om een fout in een niet-ondersteund product... vind je het vreemd dat ze nie zo happig zijn om er veel ijd in te steken?
Wat ze imho misshcien wil zouden kunnen doen is een tooltje in windowsupdate steken dat waarschuwt als de MS JVM geïnstalleerd is.
Wat ze imho misshcien wil zouden kunnen doen is een tooltje in windowsupdate steken dat waarschuwt als de MS JVM geïnstalleerd is.
/u/35667/SP_Erik.png?f=community){kind=small}
Als je SUN java gebruikt heb je er geen last van. Microsoft heeft 2 jaar geleden aangekondigd om de support op MS VM te stoppen en zijn klanten mee geholpen met de migratie naar SUN VM. Nu twijfelen ze of ze misschien MS VM toch moeten gaan ondersteunen (patchen). Als je als klant 2 jaar geleden goed naar Microsoft had geluisterd had je nu geen probleem.
Kan het goed begrijpen als ze het niet patchen.
Kan het goed begrijpen als ze het niet patchen.
/u/93629/crop5f5b31620d196_cropped.png?f=community){kind=small}
sry maar hier ben ik het helemaal niet met eens, voor zover ik weet, namen ze gewoon een oude versie van s java, deden er wat hocus pocus mee, en brachten dat samen met hun browser op de markt
het was dus een oude versie, met gaten die er in de nieuwe versie van s java uit waren
het was gewoonweg gekopieerd (zijn we wel gewend van hun onderhand)
het werd weeral met harde marketing doorgedrukt
en dan zeg jij dat het de schuld van de klanten is, dat sun ms aanklaagt wegens patenten en copyright en dat ze daardoor niet meer patchen?
het was dus een oude versie, met gaten die er in de nieuwe versie van s java uit waren
het was gewoonweg gekopieerd (zijn we wel gewend van hun onderhand)
het werd weeral met harde marketing doorgedrukt
en dan zeg jij dat het de schuld van de klanten is, dat sun ms aanklaagt wegens patenten en copyright en dat ze daardoor niet meer patchen?
Waarom zou je ook, als Longhorn en IE7 er aan zitten te komen?Volgens een woordvoerder van het pr-bureau van Microsoft heeft men nog niet beslist of er een patch ontwikkeld zal worden.
Edit:
Bah, toen ik schreef was de pagina leeg, na het posten een pagina vol
lekker snel Samedi! 
Waarom zou je nog schonere benzinemotoren ontwikkelen, als er over 30 jaar toch wel brandcellen zijn. 
Kortom, omdat er nu mensen zijn die op benzine rijden.
Kortom, omdat er nu mensen zijn die op benzine rijden.
Temeer omdat ik er van overtuigd ben dat je eerst datgene wat je hebt veilig en stabiel moet maken, als we over software spreken tenminste, want daar gaat het OT over.
Wat verbrandingsmotoren betreft, die ontwikkeling wordt gestuurd door de industrie en niet door de mensen die nieuwe technologieen ontwikkelen voor motoren en brandstofvoorzieningen, of dit nu electrisch, chemisch of biologish moet worden. dat is waarom jij zoals zo velen voor jou zegt dat er over 30 jaar 'toch wel' brandstofcellen zijn. Die zijn er al, maar het zal wellicht nog 30^5 jaar duren voordat je het in een betaalbare auto terug zal vinden inclusief de bijpassende motor, omdat de industrie er nu nog geen winst in ziet. En op dat soort instellingen wil en ga ik niet wachten, net zoals ik niet wil wachten op de ontwikkeling van een 'veelgebruikt' stuk ellende zoals Internet Explorer. Kortom, omdat er nu mensen zijn die betere dingen willen, die wel actief ontwikkeld worden.
Wat verbrandingsmotoren betreft, die ontwikkeling wordt gestuurd door de industrie en niet door de mensen die nieuwe technologieen ontwikkelen voor motoren en brandstofvoorzieningen, of dit nu electrisch, chemisch of biologish moet worden. dat is waarom jij zoals zo velen voor jou zegt dat er over 30 jaar 'toch wel' brandstofcellen zijn. Die zijn er al, maar het zal wellicht nog 30^5 jaar duren voordat je het in een betaalbare auto terug zal vinden inclusief de bijpassende motor, omdat de industrie er nu nog geen winst in ziet. En op dat soort instellingen wil en ga ik niet wachten, net zoals ik niet wil wachten op de ontwikkeling van een 'veelgebruikt' stuk ellende zoals Internet Explorer. Kortom, omdat er nu mensen zijn die betere dingen willen, die wel actief ontwikkeld worden.
:strip_exif()/u/7759/red_cat.gif?f=community){kind=small}
Zolang beiden er nog niet zijn is het natuurlijk wel zo netjes om bestaande programmatuur af te patchen.Waarom zou je ook, als Longhorn en IE7 er aan zitten te komen?
Ik zou zelf overigens gewoon via Windows Update de Sun Java VM gaan uitrollen gezien het feit dat ze de support op de MS VM al jaren geleden hebben gedropt. De patch is dus eigenlijk al af, ze promoten al jaren het gebruik ervan, ze hebben de upgrade alleen nog nooit actief afgedwongen.
:strip_exif()/u/43005/crop62278171c6d03.gif?f=community){kind=small}
De ultieme patch: http://www.mozilla.org
Slaat nergens op, firefox is een compleet ander programma dat net als internet explorer beveiligingsproblemen kent (gevonden of niet).
Ander programma of niet, realiteit is dat het zich duizend keer sneller heeft ontwikkeld dan Internet Explorer, en in zeer korte tijd.
@Boner en Luuk:
Onzin
Mozilla ontwikkeld open source software. er kijken letterlijk en figuurlijk duizenden, zoniet honderdduizenden ogen mee met de ontwikkeling van hun producten, en een groot deel doet ook actief mee met de ontwikkeling, en hebben bij elkaar opgeteld meer ervaringen dan Microsoft op Internet browser gebied.
Het team wat achter Internet Explorer staat, valt in het niet bij het totale aantal mensen wat zich actief bezig houdt met bijv. Firefox. Ik durf dan ook rustig te zeggen dat er absoluut veel minder fouten in Firefox zitten dan er in Internet Explorer zitten en zullen blijven, juist omdat er zoveel ogen meekijken.
Herinnert iemand zich nog de uitspraak "Given enough eyeballs, all bugs are shallow" ?
Onzin
Mozilla ontwikkeld open source software. er kijken letterlijk en figuurlijk duizenden, zoniet honderdduizenden ogen mee met de ontwikkeling van hun producten, en een groot deel doet ook actief mee met de ontwikkeling, en hebben bij elkaar opgeteld meer ervaringen dan Microsoft op Internet browser gebied.
Het team wat achter Internet Explorer staat, valt in het niet bij het totale aantal mensen wat zich actief bezig houdt met bijv. Firefox. Ik durf dan ook rustig te zeggen dat er absoluut veel minder fouten in Firefox zitten dan er in Internet Explorer zitten en zullen blijven, juist omdat er zoveel ogen meekijken.
Herinnert iemand zich nog de uitspraak "Given enough eyeballs, all bugs are shallow" ?
/u/40481/crop63f777c898038_cropped.png?f=community){kind=small}
ziedat firefox veiliger is, is dus niet gegrond.
http://secunia.com/product/11/
http://secunia.com/product/4227/
en vergelijk ze eens. over een bepaalde periode is het toch wel vrij duidelijk dat mozilla vele malen veiliger is en ook sneller is met het oplossen van problemen tov ms's IE
Toch vreemd dat er in IE dan telkens kritieke bugs naar voren komen waar het gemiddeld een maand duurt voor er een atch is, terwijl de Firefox-ontwikkelaars binnen enkele dagen een patch uitgeven...
Bovendien zit er 1 groot gevaar aan IE: ActiveX. Een gat in IE betekent dat je via ActiveX heel eenvoudig in het OS komt. Dat lukt bij FireFox niet...
(bedoeld als reactie op Baron Samedi hierboven)
Bovendien zit er 1 groot gevaar aan IE: ActiveX. Een gat in IE betekent dat je via ActiveX heel eenvoudig in het OS komt. Dat lukt bij FireFox niet...
(bedoeld als reactie op Baron Samedi hierboven)
/u/102837/Windows%25208%2520logo.png?f=community){kind=small}
Nou dan mag je je wel gaan afvragen of dat de veiligheid te goede gekomen is. Feit is inderdaad dat Firefox op dit moment veiliger is dan IE, simpelweg omdat met een klein marktaandeel het minder interessant is om een exploit te schrijven. Voor hetzelfde geld is het zo lek als een zeef. Feit is wel dat het geen activeX heeft.
En nee, ik ben niet pro-MS of pro-Firefox, maar laten we wel reeel blijven. En daarbij is een systeem/programma etc zo veilig als de beheerder en ik denk dat daar ook het probleem zit in 99% van de beveiligingsissues.
En nee, ik ben niet pro-MS of pro-Firefox, maar laten we wel reeel blijven. En daarbij is een systeem/programma etc zo veilig als de beheerder en ik denk dat daar ook het probleem zit in 99% van de beveiligingsissues.
sneller ontwikkeld en in kortere tijd. toe maar poeh he...
* 786562 boner
Da's natuurlijk een non argument. ALs iets sneller is gemaakt, dan kan het bijna niet anders dan dat er programmeerfouten in zullen zitten. En dus lekken....
* 786562 boner
Da's natuurlijk een non argument. ALs iets sneller is gemaakt, dan kan het bijna niet anders dan dat er programmeerfouten in zullen zitten. En dus lekken....
De conclusie dat firefox veiliger is, is dus niet gegrond. Je ontkracht het zelf al: 'Voor hetzelfde geld is het zo lek als een zeef'. Het enige is dat niemand er nog gebruik van heeft gemaakt. Dit zou het zelfde zijn als zeggen: Ik heb mijn auto nooit op slot en er is nog nooit ingebroken, dus dat is dan veiliger dan de auto wel op slot, want ik ken genoeg mensen die de auto op slot doen waar de radio is gejat. 
Beetje krom dacht ik zo.
(Voordat er trouwens commentaar komt, ik ben zelf een firefox gebruiker)
(is weer eens wat verkeerd gegaan geloof ik, was een reactie op luuk1983. Firefox ook altijd)
Beetje krom dacht ik zo.(Voordat er trouwens commentaar komt, ik ben zelf een firefox gebruiker)
(is weer eens wat verkeerd gegaan geloof ik, was een reactie op luuk1983. Firefox ook altijd
)
Nadeel van open source is dat exploit schrijvers natuurlijk ook meekijken.
En vergeet niet dat er bij mozilla bijn alle gaten gepatched zijn en bij IE nog een 10 tal gaten open zitten.
1000 maal 0 is nog steeds 0
@boner
Sneller ontwikkeld in korte tijd, maar er kijken veel mensen mee in de source, en vergeet ook niet dat het gebaseerd is op het oude netscape, dus compleet nieuw geschreven vanaf het begin is het nou ook weer niet
Sneller ontwikkeld in korte tijd, maar er kijken veel mensen mee in de source, en vergeet ook niet dat het gebaseerd is op het oude netscape, dus compleet nieuw geschreven vanaf het begin is het nou ook weer niet
Mozilla gaat verder op de netscape source die ze op maart 1998 hebben vrijgegeven, een heel deel is herschreven, er zijn enorm veel mozilla milestone builds geweest (ik gebruikte ze toen al fulltime). Dat firefox snel ontwikkeld is is waar, maar die gebruikt gewoon gecko, en dat was er echt niet van de ene dag op de andere.
@Maxxware:
Ik vind het ook vreemd, want ik zou zeggen dat ze er genoeg geld in steken. Maar ja, de logica van sommige dingen ontsnapt mij wel vaker
Wellicht is het zo dat het IE team zich niet exclusief met de ontwikkeling van IE als browser bezig houdt, maar ook met grote delen van het hele OS en div. andere pakketten. (Denk even aan Explorer en gerelateerde dingen, Outlook, Outlook Express, MSN Messenger, MS Office, etc. deze bevatten allemaal stukken code van IE)
Dat heeft dan ten gevolge dat de ontwikkeling van IE als browser langer duurt omdat ze op meerdere plekken aan het werk zijn in plaats van daar waar ze zich aan (zouden) moeten houden. T'is maar een gedachte, ik kan het ook wel begrijpen dat het een strategie is die van invloed is op de rest van het Windows OS en andere pakketjes die makkelijk moeten integreren.
Firefox, tja.. One for all, All for one strategie?
Ik vind het ook vreemd, want ik zou zeggen dat ze er genoeg geld in steken. Maar ja, de logica van sommige dingen ontsnapt mij wel vaker
Wellicht is het zo dat het IE team zich niet exclusief met de ontwikkeling van IE als browser bezig houdt, maar ook met grote delen van het hele OS en div. andere pakketten. (Denk even aan Explorer en gerelateerde dingen, Outlook, Outlook Express, MSN Messenger, MS Office, etc. deze bevatten allemaal stukken code van IE)
Dat heeft dan ten gevolge dat de ontwikkeling van IE als browser langer duurt omdat ze op meerdere plekken aan het werk zijn in plaats van daar waar ze zich aan (zouden) moeten houden. T'is maar een gedachte, ik kan het ook wel begrijpen dat het een strategie is die van invloed is op de rest van het Windows OS en andere pakketjes die makkelijk moeten integreren.
Firefox, tja.. One for all, All for one strategie?
@Cid.ious:
Dat is zo, ja. Krijg ik eigenlijk geen slecht gevoel van, want op die manier zou een bug sneller bekend worden en sneller gefixt worden, mocht er een exploit van het meekijken geboren worden. Zie het maar als feedbackNadeel van open source is dat exploit schrijvers natuurlijk ook meekijken.
Neeeee, gebruik geen firefox!!! Dat is echt bij lange na niet zo goed als internet explorer!!! 
Als we mensen nou gewoon afhouden van het gebruik van firefox dan zal het niet interessant genoeg worden om daar gaten in te gaan zoeken.
Als we mensen nou gewoon afhouden van het gebruik van firefox dan zal het niet interessant genoeg worden om daar gaten in te gaan zoeken.
/u/25978/NE_logo-60x60.JPG?f=community){kind=logo}
Microsoft heeft er alle belang bij hier zo laconiek op te reageren en met een workaround te komen ipv met een patch, ook al hebben ze het zelf veroorzaakt.
MS ziet Java niet zitten en 'het grote publiek' associeert het begrip 'Java' toch al eerder met Sun dan met Microsoft, want dat weet toch niet wat een JVM inhoudt.
Door met een workround te komen lijkt het een beetje alsof ze zelf niets aan het probleem kunnen doen ("want van een ander"), maar wel zo aardig zijn om hulp te bieden.
En tegen de experts kunnen ze in alle redelijkheid zeggen dat Java toch al niet ondersteund werd, en dus een lagere prioriteit krijgt.
Een beetje een onderbuik redenatie dit, maar ik denk dat het MS allemaal niet zo heel slecht uikomt.
MS ziet Java niet zitten en 'het grote publiek' associeert het begrip 'Java' toch al eerder met Sun dan met Microsoft, want dat weet toch niet wat een JVM inhoudt.
Door met een workround te komen lijkt het een beetje alsof ze zelf niets aan het probleem kunnen doen ("want van een ander"), maar wel zo aardig zijn om hulp te bieden.
En tegen de experts kunnen ze in alle redelijkheid zeggen dat Java toch al niet ondersteund werd, en dus een lagere prioriteit krijgt.
Een beetje een onderbuik redenatie dit, maar ik denk dat het MS allemaal niet zo heel slecht uikomt.
Als ze alle functionalitet gaan disabelen waar bugs inzitten dan heb je zodadelijk alleen nog maar een kale start knop over. Of zit daar ook een bug in?
Wij hebben nog klanten die ons product onder MS VM 1.1 gebruiken (If it ain't broke, don't fix it)
Dit zal dus voor ons problemen gaan opleveren als de klanten hun browsers patchen (en dit in een automatische update komt)
Dit zal dus voor ons problemen gaan opleveren als de klanten hun browsers patchen (en dit in een automatische update komt)
Maar nu is het dus wel broken(If it ain't broke, don't fix it)
:strip_icc():strip_exif()/u/58330/twix.jpg?f=community){kind=small}
laat de flames maar weer komen
Vreemd dat er door Microsoft zo lakoniek om word gegaan zeg? Normaal gesproken zouden ze dit wel meteen patchen. En waarom een workarround die de normale consument toch niet gaat uitvoeren omdat ze allemaal dingen voor zien komen waar die toch niets van begrijpt.
Dit is een beveiligingslek en Microsoft hammerd zelf op beveiliging?
Vreemd dat er door Microsoft zo lakoniek om word gegaan zeg? Normaal gesproken zouden ze dit wel meteen patchen. En waarom een workarround die de normale consument toch niet gaat uitvoeren omdat ze allemaal dingen voor zien komen waar die toch niets van begrijpt.
Dit is een beveiligingslek en Microsoft hammerd zelf op beveiliging?
En dan moet je even terug gaan naar een van de headlines van gister....(woensdag)
Microsoft vraagt geen geld voor updates.........
zeker niet dat ik dan wil betalen voor een "al een tijdje een lek"
Microsoft vraagt geen geld voor updates.........
zeker niet dat ik dan wil betalen voor een "al een tijdje een lek"
Op dit item kan niet meer gereageerd worden.