Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 56 reacties
Submitter: GREENSKiN

Er is een lek in de programmacode van Microsofts veelgebruikte Internet Explorer aangetroffen. Met behulp van een zorgvuldig opgezette webpagina kunnen hackers toegang krijgen tot het systeem van een nietsvermoedende surfer. De probleemroutine, createTextRange(), kan in combinatie met een radiobutton het geheugen van een computersysteem aanpassen en het overtuigen om willekeurige programmacode te draaien. Tot de getroffen versies behoort ook IE7, de nieuwste incarnatie van de webbrowser, die op dit moment nog in het btastadium verkeert. Secunia waarschuwt dat er al een 'proof of concept'-exploit beschikbaar is die met eenvoudige aanpassingen omgevormd kan worden tot een kwaadaardig programma. Het probleem is ondertussen opgepakt door Microsoft en het bedrijf heeft een Security Advisory uitgegeven waarin staat dat ze het probleem aan het onderzoeken zijn. Het is onduidelijk of er op korte termijn een patch wordt uitgegeven, maar Microsoft verzekert haar klanten dat er geen reden tot paniek is: mogelijke aanvallen kunnen eenvoudig worden voorkomen door Active Scripting uit te schakelen. In een post op het blog van Microsoft Security Response Center is ook te lezen dat het probleem ondertussen al verholpen is in de nieuwste bta van IE7.

IE6-distort
Moderatie-faq Wijzig weergave

Reacties (56)

maar Microsoft verzekert haar klanten dat er geen reden tot paniek is: mogelijke aanvallen kunnen eenvoudig worden voorkomen door Active Scripting uit te schakelen.
|:(
Hoeveel % van de gebruikers zal dit doen?
Totdat MS (en andere browsers) met opt-in komt voor scripting en andere zaken zijn dit gewoon geen oplossingen.
Ja, inderdaad. Zoals het nu wordt voorgesteld is het allemaal wel erg simpel en is het een kleine dreiging.

Ziet er trouwens wel naar uit dat hier de vergelijking 'Eens een gatenkaas, altijd een gatenkaas' opgaat. }>
Je wilt IE vergelijken met gatenkaas? Die vergelijking gaat niet op: bij gatenkaas zit er nog kaas tussen de gaten.
offtopic:
Hoe meer kaas des te meer gaten
Hoe meer gaten des te minder kaas
Dus: hoe meer kaas des te minder kaas :+


Met een opt-in zijn er minder gebruikers die active scripting aan hebben staan, maar dat betekent niet dat de fout er niet in zit.
Juist ja, of anders gezegd .. "hoe krijg je die gaten weg ? :? Snij ze er maar uit! :P Oh, nou is't ie nog groter geworden ... :+
Of nog beter:

- hoeveel % van de gebruikers weet van de exploit?
- hoeveel % van de gebruikers weet wat active scripting is?
- hoeveel % van de gebruikers weet dat men active scripting is kan uitzetten?
- hoeveel % van de gebruikers weet waar men active scripting kan uitzetten?
- hoeveel % van de gebruikers zal het ook maar 1 zak interesseren?
- hoeveel % van de gebruikers zal het ook maar 1 zak interesseren?
Van trojans en virussen worden veel gebruikers toch niet blij hoor.
dan moeten die gebruikers het wl in de gaten hebben natuurlijk.
Welke gaten? die van de kaas?
hoeveel gebruikers zullen er door een 'proof of concept'-exploit worden getroffen ?
Het gaat niet om een proof-of-concept. Dat is alleen maar een bewijs dat het kan. Het probleem is dat er vast wel slimme lui zullen zijn die dit binnen korte tijd kunnen uitbuiten en dan hebben we een probleem.
Yep, en hoeveel sites stoppen er dan met functioneren?
Niet zeuren gewoon uit zetten. Firefox, Opera en alle anderen kunnen toch ook zonder.
En als een site het niet doet????
Zet je de UserAgent lekker op Firefox oid :D
:D :D
active scripting != activeX, ook javascript valt hieronder
Fok.nl werkt dan al niet meer. Dus daarnaast waarschijnlijk nog velen....

Active scripting disablen is dus niet echt een goede oplossing.
Even iets verder lezen dan je neus lang is:
een post op het blog van Microsoft Security Response Center is ook te lezen dat het probleem ondertussen al verholpen is in de nieuwste bta van IE7.
edit @scsirob

iid, het is ook nog eens een beta, dus ik snap ook niet echt waarom dit het nieuws haalt.
Tuurlijk zitten er bugs in een beta versie, daarom is het ook een beta. Er is geen enkel bedrijf die dat instaleerd voor hun gebruikers.
iid, het is ook nog eens een beta, dus ik snap ook niet echt waarom dit het nieuws haalt.
Omdat IE6 (waarschijnlijk) ook is getroffen: "Tot de getroffen versies behoort ook IE7,"
En voor hoeveel bedrijven is het installeren van een vroege, niet ondersteunde beta in hun productie omgeving een oplossing?

Even iets verder denken dan je eigen hot-rod systeempje
Nou... Vertel eens, hoeveel bedrijven installeren een bta brouwser als IE7?
Jij schijnt het antwoord te weten!
Mja.

Wat mij opvalt is dat ze altijd zeggen "Geen paniek. Gewoon feature X of Y uitschakelen en je zit terug safe!" Denk maar aan JS of ActiveX en zo.

Dat is zoiets als met een auto rijden en de fabrikant die zegt "Ja, maar maak geen gebruik van de koplampen, de radiator, de autoradio, de ruitenwissers, de handrem,... want je auto zou dan wel eens kunnen stilvallen of ontploffen."

De modale consument denkt dan "Zou ik niet beter een nieuwe auto van een ander merk nemen?"
Nee, zoals hierboven ook al terecht werd aangehaald: de modale consument blijft gewoon lekker doorrijden met koplampen aan, radiator voluit, autoradio op 10, ruitenwissers onder handbereik en handrem standby.

Waarom? Ze zijn allang blij dat ze de auto aan de praat krijgen...

De reden dat IE nog steeds zo populair is (en zal blijven) is simpelweg dat 't meegeleverd wordt met Windows en dat 90% van de gebruikers nog nooit stil heeft gestaan (of stil zal staan) bij de veiligheidsproblemen -- hoe erg ze ook zijn.
Plus het feit dat heel veel websites niet meer funtioneren!

edit: Dubbel bla
Die oplossing is van hetzelfde genre als de Microsoft solution tegen phishing... Niet klikken, maar url's manueel intypen...

En het ergste van al is dat ze het zich kunnen permitteren om dat soort achterlijke "oplossingen" de wereld in te sturen...
Als IE7 zo geweldig vernieuwd is, waarom is er dan blijkbaar code uit vorige versies klakkeloos gekopieerd??
Als je je even had verdiept in de materie IE7:

Microsoft heeft met IE7 geprobeerd om veel fouten in IE te dichten, onder andere door het laten draaien van IE in en "sandbox". Hierdoor is het geheel al veel veiliger omdat de browser draait als en gebruiker zonder rechten.

Bij vrijwel geen enkel project betekent een nieuwe versie dat alles compleet herschreven wordt. Er is code tegen het licht gehouden op ontwerpfouten en dit is er blijkbaar doorheen geslopen.

IE7 is ook vernieuwd op een aantal punten. Firefox is (nu) out-of-the-box veiliger dan IE, maar als IE7 in en afgesloten sandbox draait kan dat nog wel eens veranderen.

Firefox 2 neemt ook enorme lappen code over uit vorige versies, daar maakt toch ook niemand zich druk over. zolang het maar goed werkt en het aantal fouten binnen de perken blijft (geen fouten zou beter zijn, maar zolang mensen, hoe indirect dan ook, software maken zitten er fouten in)

[edit]
dit is al mn tweede reactie in deze thread waarbij ik te laat ben...
Nou... als IE7 in een sandbox draait, waarom lukt het dan om met behulp van niets anders dan een webpagina al buiten die sandbox te komen en het syteem willekeurige code te laten uitvoeren? Kennelijk is die sandbox alles behalve "zanddicht".
Dit komt doordat die sandbox alleen voor Vista zal bestaan, XP users moeten het zonder stellen...
Naah als dat het geval is dan kunnen we nog wel ff wachten totdat we IE7 in een sandbox kunnen draaien.. ik geloof dat we tegen die tijd al op FireFox versie 17.5 zitten
Als IE7 zo geweldig vernieuwd is, waarom is er dan blijkbaar code uit vorige versies klakkeloos gekopieerd??
ik heb zo'n vermoeden, dat als iedereen (incl MS) zouden doen wat jij min of meer voorstelt, dat we dan nu ongeveer op windows 3.4.5 zouden zitten, op FreeBSD 2.1.4.5 en Linux 1.1.2.9

Oh ja, en oracle 1.2

Het is niet meer dan logisch dan dat je je nieuwe versie bouwt op je oude versie. Hierdoor hoef je (naast de nieuwe features) alleen specifieke code te herschrijven en vervangen. Het is een organisch process. Theoretisch zul je dus ook bij iedere release van windows, maar ook andere software, steeds minder bugs tegenkomen in de shared-code-base. En dat is inderdaad wel te zien - sommige security-advisory's die uitkomen voor 2000 zijn niet van toepassing op 2003, en vice versa.

Ik ben alles behalve een Microsoft aanhanger, maar ze rucksichtloss afkraken gaat me te ver.,
Reusability van code is een concept waar programmeurs zwaar op steunen...

Programmeurs zijn de grootste luiaards die er bestaan.
Reusability van code is een concept waar programmeurs zwaar op steunen...

Programmeurs zijn de grootste luiaards die er bestaan.
Hergebruik van code is niet alleen efficient, het is ook wenselijk i.v.m. volwassenheid van de code. Als je iets, wat je al hebt, opnieuw gaat doen, dan sluipen er gegarandeerd fouten in die je al opgelost had in de "oude" versie.

Maar verder heb je gelijk m.b.t. die luiheid hoor ;)
Nou, mijn ervaring is dat het herschrijven van code grote voordelen met zich mee kan brengen met betrekking tot performance...
Verder denk ik dat je geen steekjes laat vallen als je eerst goed in kaart brengt wat een stuk code precies moet doen.
<offtopic>

Als jij jou code al moet herschrijven om performance winst te halen, had je het beter de eerste keer goed kunnen doen :o Daarbij had je de eerste keer ook al geen steekjes mogen laten vallen.

</offtopic>

Het hergebruik van code heeft natuurlijk niet alleen iets te maken met de luiheid van programmeurs. Er speelt ook nog de factor geld mee. Wanneer code correct werkt (Bij MS dus in dit geval niet :D) kunnen je deze code hergebruiken om ontwikkeltijd te winnen. Dit levert natuurlijk weer geld op. Dus luiheid is niet de grootste drijfveer (al zijn programmeurs dat natuurlijk wel ).
;)
omdat ze niet elke keer hetzelfde wiel willen uitvinden. Denk niet dat dat firefox 1 hele andere code heeft dan 2. Ze beginnen echt niet helemaal op nieuw
en dat is soms ook maar goed ook.... neem windows (of is dit een verkeerd voorbeeld) :Y)
Denk je niet dat Windows door de jaren heen alleen maar beter is geworden?
Ik zou niet graag terug vallen op Windows '95 hoor :P
Het is er niet alleen in oudere Beta`s, maar ook in oudere finals, dus bvb IE5 en IE6, waar dan weer zo`n 90% van de surfers mee werkt...
Het ging in deze vergelijking over de beta van IE7, niet over de finals die verouderd zijn en vas tniet meer voldoen aan de standraarden van vandaag.
Probeer oude software nu eens niet te meten met huidige maatstaven.
(takke... was reply op de andere post van Blizzkid :D )

Ja en dat wordst ook al 10 jaar geroepen dat OSS de oplossing is.

Maar er gebeurt nog steeds te weinig in.

Erg jammer naar mijn mening, ook al gebruik ik vrijwel alles van Microsoft. Het lijkt toch alsof mensen het wel prima vinden.
Je zal mij nooit horen roepen dat OSS d oplossing is, omdat dat tot op heden gewoon nog niet realistisch is. Wel merk ik dat de ontwikkelingen in het OSS-kamp steeds harder gaan, terwijl MS zichzelf steeds opnieuw lijkt te vergaloperen, en weer eens een release-datum moet uitstellen.
En wat betreft de mensen die het prima lijken te vinden: probeer jij aan jan modaal eens uit te leggen dat je een kernel hebt met daaromheen een OS en daarbinnen een GUI. De grote meerderheid kent niet eens het verschil tussen _Office_ XP en _Windows_ XP.
Ignorance is bliss, behalve wanneer het om de beveiliging van een pc gaat. Met als resultaat dat er duizenden potentiele "Tonino's" en USB-stick strooiende ambtenaren rondlopen met joost weet wat.....

Er is iig n troost: beveiliging van computers komt gelukkig steeds hoger op de agenda te staan.
In een post op het blog van Microsoft Security Response Center is ook te lezen dat het probleem ondertussen al verholpen is in de nieuwste bta van IE7.
Ik kan helaas nergens ontdekken om welke build het gaat. Als het 5335 betreft dan zit ik veilig. :)
Yup, dat is de nieuwste beta 2 preview
Vergeet niet dat het juist de populariteit van IE is dat het een gewild doelwit is.

Bovendien is het lek sowieso al verholpen in de nieuwste Beta, dat het er in oudere Beta's wel was is toch helemaal niet belangrijk?
Waarom is het altijd bij MS "Door bug xxxxxx kan iemand controle over uw PC krijgen" en niet "Dit is bug xxxxxx en hierdoor krijgt u misschien een error/onverwachte effecten als u dat en dat en zus en zo doet/opstart" ??

Zat laatst Windows UpDate te draaien en werd het echt zat om steeds hetzelfde te lezen (8>
Omdat dat nou juist het voordeel is van Microsoft programmatuur, iedereen kan ermee overweg :o .
dat is wel een heel raar voorstel :S ik lees bij iets wat feitelijk hetzelfde is als voorgaand toch liever hetzelfde. er wordt toch niet ingegaan op de exacte fout oplossing, omweg, of omstandigheden waarbij de fout op kan treden.

als je elke keer alles anders gaat opschrijven zonder echt info te geven wordt het juist heel erg onoverzichtelijk, je herkend niets meer.

heb je wel eens WSUS gebruikt?
als daar nou eens meteen duidelijk werd welke bugfix nu precies welke andere bugfixes overbodig maakt zou dat toch wel prettig zijn. ( een soort van cummulatieve patches dus )

je hebt nu bijvoorbeeld voor outlook elke maand nieuwe spamregels die die van de maand ervoor vervangen. dat is al iets, voor de virussen en malware ook al een programmatje dt maandelijks uitkomt.

voor internet explorer heet elke fix steeds hetzelfde, en soms vervangt de fix andere fixes. DAAR zou best eens iets meer over de inhoud van de fix mogen staan, of een soort structuur in opvolging van KB nummers oid mogen worden ontwikkeld. zodat je meteen kunt zien welke fixes je allemaal kunt weigeren in de toekomst, en je dus ook niet meer lokaal hoeft op te slaan.
Titel van dit nieuwsbericht is toch echt "Nieuw veiligheidsprobleem treft ook IE7" welke ook? Het bericht gaat alleen maar over IE7 :?
Door dat woordje 'ook' wordt impliciet gesteld dat een veiligheidslek in de huidige versie van IE vanzelfsprekend is, maar dat je mocht verwachten dat in de nog te verschijnen opvolger geen lekken meer zouden zijn (een droom, natuurlijk). Zo begrijp ik dat woordje 'ook'. En vandaar alle aandacht voor IE7.
ach.. het is alweer bijna dinsdag :+
MS heeft een traditie in het uitbrengen van "grote vernieuwingen" die eigenlijk gewoon bestaan uit herschreven code of aangekocht code. Het bedrijf werd laatst vergeleken met een dinosaurus die met veel te grote snelheid om nog op tijd te stoppen opeen ravijn afstormt.
Persoonlijk verwacht ik dat binnen een 10-tal jaar de OS-markt bvb er heel wat anders zal uitzien dan nu, en dat open-source steeds belangrijker zal blijven worden.
De mentaliteit van MS ivm veiligheidsgaten maakt mij ronduit ziek. "Maak je geen zorgen, er is slechts 1 procent kans dat je getroffen wordt" Nu heb ik geen enkel idee van het aantal IE-gebruikers, maar op bvb 100.000.000 gebruikers, wil 1% kans nog altijd zeggen dat 1.000.000 gebruikers getroffen worden...

-Edit- Het er op wijzen dat MS fouten minimaliseert in een topic over veiligheidsgaten is dus off-topic? |:(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True