Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Bron: PC World

Internet Explorer logoMicrosoft heeft een tool vrijgegeven waarmee gebruiker zich kunnen beschermen tegen misbruik van een lek dat vorige week ontdekt werd in de afhandeling van ActiveX-componenten. Het gaat echter niet om een patch, maar om een workaround die de functionaliteit uitschakelt in plaats van deze te herstellen. Met name het bestand Javaprxy.dll, die volgens Microsoft gebruikt wordt door de Microsoft Java Virtual Machine, wordt inactief gemaakt. Volgens een woordvoerder van het pr-bureau van Microsoft heeft men nog niet beslist of er een patch ontwikkeld zal worden. Volgens Martin Eisner van een security consulting bureau is het lek op dit moment niet zo gevaarlijk, maar kan en zal er binnen enkele weken iemand opduiken die een exploit schrijft voor dit lek, dat door Secunia als extreem kritiek gelabeld werd.

Moderatie-faq Wijzig weergave

Reacties (47)

Er wordt expliciet gesproken over MS Java VM.
Is er dan geen probleem als je Java van Sun gebruikt?
Of grijpen die twee in elkaar?
Nee, als je Sun gebruikt is er niets aan de hand maar als je beide op je systeem hebt staan zal XP altijd de voorkeur hebben voor de Microsoft varriant. Zelfs als je in IE bij Tools -> internet options -> advanced -> java(sun) aanvinkt...

Er is wel een tooltje voor te downloaden alleen weet ik zo niet waar. Dat tooltje past de registry aan.
Nee, als je Sun gebruikt is er niets aan de hand maar als je beide op je systeem hebt staan zal XP altijd de voorkeur hebben voor de Microsoft varriant. Zelfs als je in IE bij Tools -> internet options -> advanced -> java(sun) aanvinkt...
Dit lijkt mij niet juist, want het Java pictogram van Sun wordt in de System Tray actief.
Er zijn nog steeds sites waarvan de Java plugins alleen onder Microsoft's VM draaien. De grootste oorzaak is natuurlijk dat Microsoft altijd zijn eigen twist aan dingen geeft en hoopt dat hun product populairder wordt dan het origineel, zodat ze het origineel uit de markt kunnen drukken en het voor hunzelf kunnen claimen. Dat is ze met Java niet gelukt, waarschijnlijk vanwege de rechtszaak die Sun had aangespannen.
Als je trouwens de volgende methodes toepast van dat artikel (wat de beste manier is om het als Tweaker te doen)

Start -> Uitvoeren -> regsvr32 /u javaprxy.dll [enter]

en tevens:

Start -> Uitvoeren -> cacls c:\windows\system32\javaprxy.dll /d everyone [enter]

Dan blijft Java gewoon werken in de meeste gevallen, het zijn maar enkele java apps die gebruik maken van deze module. Het meerendeel, zoals bijvoorbeeld de java spelletjes op PlaySite.com of GameSquare.nl blijven het gewoon doen.
Secunia EN US-Cert (landelijke waarschuwingsdienst computerbeveiliging van de USA) labelen lekken niet voor niets extreem kritiek. Het is eerder Microsoft die het kritieke niet wil inzien or erkennen. Vaak enkel omdat er nog geen exploit voor _lijkt_ te zijn.

Microsoft valt nmm met deze oplossing weer terug in het security tijdperk. Met het huidige beveiligingsbeleid is het gewoon onverantwoord om voor dit soort beveiligings gaten (of ze nu kritiek zijn of niet) geen oplossing beschikbaar te stellen via de normale bekende automatisch weg via windowsupdate.
Gebruikers gaan namelijk echt niet kijken op andere plaatsen of ze daar nog wat software/oplossingen kunnen krijgen voor onbekende lekken.

Microsoft had dat rond het bouwen van sp2 eindelijk door dat je klanten echt de oplossingen onder de neus moet leggen of liever in de mond moet geven voor ze het willen gaan toepassen. Dat gaat via deze weg dus voor het grootste deel van de gebruikers nooit lukken en die blijven met een gat zitten waar exploits al voor geschreven kunnen worden.

Wat er komen gaat valt te raden: MS heeft geen zin meer om er verder aandacht aan te besteden totdat ze het als kritiek (moeten) bestempelen als er bijvoorbeeld een actieve exploit bekend wordt. Voor MS is een beveiligings lek even geen prioriteit meer tot het misbruikt wordt. Zonde. Het ging net de goede kant op met beveiliging van MS.
het gaat om een fout in een niet-ondersteund product... vind je het vreemd dat ze nie zo happig zijn om er veel ijd in te steken?

Wat ze imho misshcien wil zouden kunnen doen is een tooltje in windowsupdate steken dat waarschuwt als de MS JVM ge´nstalleerd is.
Als je SUN java gebruikt heb je er geen last van. Microsoft heeft 2 jaar geleden aangekondigd om de support op MS VM te stoppen en zijn klanten mee geholpen met de migratie naar SUN VM. Nu twijfelen ze of ze misschien MS VM toch moeten gaan ondersteunen (patchen). Als je als klant 2 jaar geleden goed naar Microsoft had geluisterd had je nu geen probleem.

Kan het goed begrijpen als ze het niet patchen.
sry maar hier ben ik het helemaal niet met eens, voor zover ik weet, namen ze gewoon een oude versie van s java, deden er wat hocus pocus mee, en brachten dat samen met hun browser op de markt

het was dus een oude versie, met gaten die er in de nieuwe versie van s java uit waren

het was gewoonweg gekopieerd (zijn we wel gewend van hun onderhand)

het werd weeral met harde marketing doorgedrukt

en dan zeg jij dat het de schuld van de klanten is, dat sun ms aanklaagt wegens patenten en copyright en dat ze daardoor niet meer patchen?
Volgens een woordvoerder van het pr-bureau van Microsoft heeft men nog niet beslist of er een patch ontwikkeld zal worden.
Waarom zou je ook, als Longhorn en IE7 er aan zitten te komen? :)


Edit:

Bah, toen ik schreef was de pagina leeg, na het posten een pagina vol :) lekker snel Samedi! :P
Waarom zou je nog schonere benzinemotoren ontwikkelen, als er over 30 jaar toch wel brandcellen zijn. |:( Kortom, omdat er nu mensen zijn die op benzine rijden.
Temeer omdat ik er van overtuigd ben dat je eerst datgene wat je hebt veilig en stabiel moet maken, als we over software spreken tenminste, want daar gaat het OT over. :)

Wat verbrandingsmotoren betreft, die ontwikkeling wordt gestuurd door de industrie en niet door de mensen die nieuwe technologieen ontwikkelen voor motoren en brandstofvoorzieningen, of dit nu electrisch, chemisch of biologish moet worden. dat is waarom jij zoals zo velen voor jou zegt dat er over 30 jaar 'toch wel' brandstofcellen zijn. Die zijn er al, maar het zal wellicht nog 30^5 jaar duren voordat je het in een betaalbare auto terug zal vinden inclusief de bijpassende motor, omdat de industrie er nu nog geen winst in ziet. En op dat soort instellingen wil en ga ik niet wachten, net zoals ik niet wil wachten op de ontwikkeling van een 'veelgebruikt' stuk ellende zoals Internet Explorer. Kortom, omdat er nu mensen zijn die betere dingen willen, die wel actief ontwikkeld worden. :)
Waarom zou je ook, als Longhorn en IE7 er aan zitten te komen?
Zolang beiden er nog niet zijn is het natuurlijk wel zo netjes om bestaande programmatuur af te patchen.

Ik zou zelf overigens gewoon via Windows Update de Sun Java VM gaan uitrollen gezien het feit dat ze de support op de MS VM al jaren geleden hebben gedropt. De patch is dus eigenlijk al af, ze promoten al jaren het gebruik ervan, ze hebben de upgrade alleen nog nooit actief afgedwongen.
Slaat nergens op, firefox is een compleet ander programma dat net als internet explorer beveiligingsproblemen kent (gevonden of niet).
Ander programma of niet, realiteit is dat het zich duizend keer sneller heeft ontwikkeld dan Internet Explorer, en in zeer korte tijd. :)
@Boner en Luuk:

Onzin :)
Mozilla ontwikkeld open source software. er kijken letterlijk en figuurlijk duizenden, zoniet honderdduizenden ogen mee met de ontwikkeling van hun producten, en een groot deel doet ook actief mee met de ontwikkeling, en hebben bij elkaar opgeteld meer ervaringen dan Microsoft op Internet browser gebied.
Het team wat achter Internet Explorer staat, valt in het niet bij het totale aantal mensen wat zich actief bezig houdt met bijv. Firefox. Ik durf dan ook rustig te zeggen dat er absoluut veel minder fouten in Firefox zitten dan er in Internet Explorer zitten en zullen blijven, juist omdat er zoveel ogen meekijken.

Herinnert iemand zich nog de uitspraak "Given enough eyeballs, all bugs are shallow" ?
dat firefox veiliger is, is dus niet gegrond.
zie
http://secunia.com/product/11/
http://secunia.com/product/4227/
en vergelijk ze eens. over een bepaalde periode is het toch wel vrij duidelijk dat mozilla vele malen veiliger is en ook sneller is met het oplossen van problemen tov ms's IE
Toch vreemd dat er in IE dan telkens kritieke bugs naar voren komen waar het gemiddeld een maand duurt voor er een atch is, terwijl de Firefox-ontwikkelaars binnen enkele dagen een patch uitgeven...
Bovendien zit er 1 groot gevaar aan IE: ActiveX. Een gat in IE betekent dat je via ActiveX heel eenvoudig in het OS komt. Dat lukt bij FireFox niet...

(bedoeld als reactie op Baron Samedi hierboven)
@Maxxware:
Ik vind het ook vreemd, want ik zou zeggen dat ze er genoeg geld in steken. Maar ja, de logica van sommige dingen ontsnapt mij wel vaker :)

Wellicht is het zo dat het IE team zich niet exclusief met de ontwikkeling van IE als browser bezig houdt, maar ook met grote delen van het hele OS en div. andere pakketten. (Denk even aan Explorer en gerelateerde dingen, Outlook, Outlook Express, MSN Messenger, MS Office, etc. deze bevatten allemaal stukken code van IE)
Dat heeft dan ten gevolge dat de ontwikkeling van IE als browser langer duurt omdat ze op meerdere plekken aan het werk zijn in plaats van daar waar ze zich aan (zouden) moeten houden. T'is maar een gedachte, ik kan het ook wel begrijpen dat het een strategie is die van invloed is op de rest van het Windows OS en andere pakketjes die makkelijk moeten integreren.

Firefox, tja.. One for all, All for one strategie? :)
@Cid.ious:
Nadeel van open source is dat exploit schrijvers natuurlijk ook meekijken.
Dat is zo, ja. Krijg ik eigenlijk geen slecht gevoel van, want op die manier zou een bug sneller bekend worden en sneller gefixt worden, mocht er een exploit van het meekijken geboren worden. Zie het maar als feedback ;) :)
Nou dan mag je je wel gaan afvragen of dat de veiligheid te goede gekomen is. Feit is inderdaad dat Firefox op dit moment veiliger is dan IE, simpelweg omdat met een klein marktaandeel het minder interessant is om een exploit te schrijven. Voor hetzelfde geld is het zo lek als een zeef. Feit is wel dat het geen activeX heeft.

En nee, ik ben niet pro-MS of pro-Firefox, maar laten we wel reeel blijven. En daarbij is een systeem/programma etc zo veilig als de beheerder en ik denk dat daar ook het probleem zit in 99% van de beveiligingsissues.
sneller ontwikkeld en in kortere tijd. toe maar poeh he...

* 786562 boner
Da's natuurlijk een non argument. ALs iets sneller is gemaakt, dan kan het bijna niet anders dan dat er programmeerfouten in zullen zitten. En dus lekken....
De conclusie dat firefox veiliger is, is dus niet gegrond. Je ontkracht het zelf al: 'Voor hetzelfde geld is het zo lek als een zeef'. Het enige is dat niemand er nog gebruik van heeft gemaakt. Dit zou het zelfde zijn als zeggen: Ik heb mijn auto nooit op slot en er is nog nooit ingebroken, dus dat is dan veiliger dan de auto wel op slot, want ik ken genoeg mensen die de auto op slot doen waar de radio is gejat. :S Beetje krom dacht ik zo.

(Voordat er trouwens commentaar komt, ik ben zelf een firefox gebruiker)

(is weer eens wat verkeerd gegaan geloof ik, was een reactie op luuk1983. Firefox ook altijd :P)
Nadeel van open source is dat exploit schrijvers natuurlijk ook meekijken.
En vergeet niet dat er bij mozilla bijn alle gaten gepatched zijn en bij IE nog een 10 tal gaten open zitten.
1000 maal 0 is nog steeds 0 :)
@boner
Sneller ontwikkeld in korte tijd, maar er kijken veel mensen mee in de source, en vergeet ook niet dat het gebaseerd is op het oude netscape, dus compleet nieuw geschreven vanaf het begin is het nou ook weer niet :7
Mozilla gaat verder op de netscape source die ze op maart 1998 hebben vrijgegeven, een heel deel is herschreven, er zijn enorm veel mozilla milestone builds geweest (ik gebruikte ze toen al fulltime). Dat firefox snel ontwikkeld is is waar, maar die gebruikt gewoon gecko, en dat was er echt niet van de ene dag op de andere.
Neeeee, gebruik geen firefox!!! Dat is echt bij lange na niet zo goed als internet explorer!!! :+

Als we mensen nou gewoon afhouden van het gebruik van firefox dan zal het niet interessant genoeg worden om daar gaten in te gaan zoeken. :P
Microsoft heeft er alle belang bij hier zo laconiek op te reageren en met een workaround te komen ipv met een patch, ook al hebben ze het zelf veroorzaakt.

MS ziet Java niet zitten en 'het grote publiek' associeert het begrip 'Java' toch al eerder met Sun dan met Microsoft, want dat weet toch niet wat een JVM inhoudt.
Door met een workround te komen lijkt het een beetje alsof ze zelf niets aan het probleem kunnen doen ("want van een ander"), maar wel zo aardig zijn om hulp te bieden.

En tegen de experts kunnen ze in alle redelijkheid zeggen dat Java toch al niet ondersteund werd, en dus een lagere prioriteit krijgt.

Een beetje een onderbuik redenatie dit, maar ik denk dat het MS allemaal niet zo heel slecht uikomt.
Als ze alle functionalitet gaan disabelen waar bugs inzitten dan heb je zodadelijk alleen nog maar een kale start knop over. Of zit daar ook een bug in?
Offtopic:
Volgens Martin Eisner van een security consulting bureau is het lek op dit moment niet zo gevaarlijk, maar kan en zal er binnen enkele weken iemand opduiken die een exploit schrijft voor dit lek, dat door Secunia als extreem kritiek gelabeld werd.
|:(
Dat klopt toch?
Werd slaat op het lek, en dat werd door secunia gelabeld, dwz ze hebben het lek al als extreem kritiek gelabeld. Daarom is de zin grammaticaal helemaal correct, misschien een beetje krom, maar wel correct :)
Wij hebben nog klanten die ons product onder MS VM 1.1 gebruiken (If it ain't broke, don't fix it)
Dit zal dus voor ons problemen gaan opleveren als de klanten hun browsers patchen (en dit in een automatische update komt)
(If it ain't broke, don't fix it)
Maar nu is het dus wel broken :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True