Nieuw veiligheidsprobleem treft ook IE7

Er is een lek in de programmacode van Microsofts veelgebruikte Internet Explorer aangetroffen. Met behulp van een zorgvuldig opgezette webpagina kunnen hackers toegang krijgen tot het systeem van een nietsvermoedende surfer. De probleemroutine, createTextRange(), kan in combinatie met een radiobutton het geheugen van een computersysteem aanpassen en het overtuigen om willekeurige programmacode te draaien. Tot de getroffen versies behoort ook IE7, de nieuwste incarnatie van de webbrowser, die op dit moment nog in het bètastadium verkeert. Secunia waarschuwt dat er al een 'proof of concept'-exploit beschikbaar is die met eenvoudige aanpassingen omgevormd kan worden tot een kwaadaardig programma. Het probleem is ondertussen opgepakt door Microsoft en het bedrijf heeft een Security Advisory uitgegeven waarin staat dat ze het probleem aan het onderzoeken zijn. Het is onduidelijk of er op korte termijn een patch wordt uitgegeven, maar Microsoft verzekert haar klanten dat er geen reden tot paniek is: mogelijke aanvallen kunnen eenvoudig worden voorkomen door Active Scripting uit te schakelen. In een post op het blog van Microsoft Security Response Center is ook te lezen dat het probleem ondertussen al verholpen is in de nieuwste bèta van IE7.

IE6-distort

Door Bart Veldstra

Freelance Nieuwsposter

Feedback • 24-03-2006 13:44
56 • submitter: GREENSKiN

24-03-2006 • 13:44

56

Submitter: GREENSKiN

Lees meer

Microsoft brengt IE7-blokkeertool uit
Microsoft brengt IE7-blokkeertool uit Nieuws van 26 juli 2006
Microsoft brengt laatste bèta IE7 uit
Microsoft brengt laatste bèta IE7 uit Nieuws van 30 juni 2006
Microsoft geeft verklaring voor naam Internet Explorer 7+
Microsoft geeft verklaring voor naam Internet Explorer 7+ Nieuws van 29 mei 2006
Microsoft overweegt snellere veiligheidspatches
Microsoft overweegt snellere veiligheidspatches Nieuws van 29 maart 2006
Microsoft werpt zich weer in de strijd met IE7
Microsoft werpt zich weer in de strijd met IE7 Nieuws van 28 maart 2006
Steeds meer exploits Active Scripting-bug
Steeds meer exploits Active Scripting-bug Nieuws van 28 maart 2006
Internet Explorer krijgt ook een 'Bugzilla'
Internet Explorer krijgt ook een 'Bugzilla' Nieuws van 27 maart 2006
Nederlanders vinden lekken in Internet Explorer en Google
Nederlanders vinden lekken in Internet Explorer en Google Nieuws van 21 maart 2006
Binnen 15 minuten IE7-bug gevonden - update
Binnen 15 minuten IE7-bug gevonden - update Nieuws van 4 februari 2006
IE-bug zou phishing met Google Desktop mogelijk maken
IE-bug zou phishing met Google Desktop mogelijk maken Nieuws van 4 december 2005
Microsoft overweegt versnelde distributie van patch
Microsoft overweegt versnelde distributie van patch Nieuws van 2 december 2005
SANS presenteert jaarlijkse Top20 van veiligheidslekken
SANS presenteert jaarlijkse Top20 van veiligheidslekken Nieuws van 23 november 2005
Drie kritieke Windows patches deze maand
Drie kritieke Windows patches deze maand Nieuws van 12 oktober 2005
Internet Explorer 7 aan hackers gepresenteerd
Internet Explorer 7 aan hackers gepresenteerd Nieuws van 30 september 2005
Meer producten en artikelen
Bedrijfsnieuws

Reacties (56)

-Moderatie-faq
56
55
33
9
3
8
Wijzig sortering
Olaf van der Spek 24 maart 2006 13:47
maar Microsoft verzekert haar klanten dat er geen reden tot paniek is: mogelijke aanvallen kunnen eenvoudig worden voorkomen door Active Scripting uit te schakelen.
|:(
Hoeveel % van de gebruikers zal dit doen?
Totdat MS (en andere browsers) met opt-in komt voor scripting en andere zaken zijn dit gewoon geen oplossingen.
Hyronymus @Olaf van der Spek24 maart 2006 13:49
Ja, inderdaad. Zoals het nu wordt voorgesteld is het allemaal wel erg simpel en is het een kleine dreiging.

Ziet er trouwens wel naar uit dat hier de vergelijking 'Eens een gatenkaas, altijd een gatenkaas' opgaat. }>
maxxware @Hyronymus24 maart 2006 14:06
Je wilt IE vergelijken met gatenkaas? Die vergelijking gaat niet op: bij gatenkaas zit er nog kaas tussen de gaten.
Reinder83 @maxxware24 maart 2006 14:21
offtopic:
Hoe meer kaas des te meer gaten
Hoe meer gaten des te minder kaas
Dus: hoe meer kaas des te minder kaas :+


Met een opt-in zijn er minder gebruikers die active scripting aan hebben staan, maar dat betekent niet dat de fout er niet in zit.
Ravefiend @Hyronymus24 maart 2006 14:07
Juist ja, of anders gezegd .. "hoe krijg je die gaten weg ? :? Snij ze er maar uit! :P Oh, nou is't ie nog groter geworden ... :+
voodooless @Olaf van der Spek24 maart 2006 13:59
Of nog beter:

- hoeveel % van de gebruikers weet van de exploit?
- hoeveel % van de gebruikers weet wat active scripting is?
- hoeveel % van de gebruikers weet dat men active scripting is kan uitzetten?
- hoeveel % van de gebruikers weet waar men active scripting kan uitzetten?
Andros @voodooless24 maart 2006 14:15
- hoeveel % van de gebruikers zal het ook maar 1 zak interesseren?
Olaf van der Spek @Andros24 maart 2006 15:12
- hoeveel % van de gebruikers zal het ook maar 1 zak interesseren?
Van trojans en virussen worden veel gebruikers toch niet blij hoor.
aardkwak @Andros24 maart 2006 15:44
dan moeten die gebruikers het wél in de gaten hebben natuurlijk.
NightOwlNL @Andros25 maart 2006 15:56
Welke gaten? die van de kaas?
Verwijderd @Olaf van der Spek24 maart 2006 13:51
hoeveel gebruikers zullen er door een 'proof of concept'-exploit worden getroffen ?
Verwijderd @Verwijderd24 maart 2006 14:00
Het gaat niet om een proof-of-concept. Dat is alleen maar een bewijs dat het kan. Het probleem is dat er vast wel slimme lui zullen zijn die dit binnen korte tijd kunnen uitbuiten en dan hebben we een probleem.
s463042 @Olaf van der Spek24 maart 2006 13:51
Yep, en hoeveel sites stoppen er dan met functioneren?
Verwijderd @s46304224 maart 2006 14:08
Fok.nl werkt dan al niet meer. Dus daarnaast waarschijnlijk nog velen....

Active scripting disablen is dus niet echt een goede oplossing.
Verwijderd @s46304224 maart 2006 19:05
Niet zeuren gewoon uit zetten. Firefox, Opera en alle anderen kunnen toch ook zonder.
En als een site het niet doet????
Zet je de UserAgent lekker op Firefox oid :D
:D :D
wizzkizz @Verwijderd25 maart 2006 02:00
active scripting != activeX, ook javascript valt hieronder
Madcat @Olaf van der Spek24 maart 2006 14:00
Even iets verder lezen dan je neus lang is:
een post op het blog van Microsoft Security Response Center is ook te lezen dat het probleem ondertussen al verholpen is in de nieuwste bèta van IE7.
edit @scsirob

iid, het is ook nog eens een beta, dus ik snap ook niet echt waarom dit het nieuws haalt.
Tuurlijk zitten er bugs in een beta versie, daarom is het ook een beta. Er is geen enkel bedrijf die dat instaleerd voor hun gebruikers.
Olaf van der Spek @Madcat24 maart 2006 15:09
iid, het is ook nog eens een beta, dus ik snap ook niet echt waarom dit het nieuws haalt.
Omdat IE6 (waarschijnlijk) ook is getroffen: "Tot de getroffen versies behoort ook IE7,"
scsirob @Madcat24 maart 2006 14:58
En voor hoeveel bedrijven is het installeren van een vroege, niet ondersteunde beta in hun productie omgeving een oplossing?

Even iets verder denken dan je eigen hot-rod systeempje
SpiceWorm @scsirob24 maart 2006 17:42
Nou... Vertel eens, hoeveel bedrijven installeren een bèta brouwser als IE7?
Jij schijnt het antwoord te weten!
Netsensei @Olaf van der Spek24 maart 2006 15:33
Mja.

Wat mij opvalt is dat ze altijd zeggen "Geen paniek. Gewoon feature X of Y uitschakelen en je zit terug safe!" Denk maar aan JS of ActiveX en zo.

Dat is zoiets als met een auto rijden en de fabrikant die zegt "Ja, maar maak geen gebruik van de koplampen, de radiator, de autoradio, de ruitenwissers, de handrem,... want je auto zou dan wel eens kunnen stilvallen of ontploffen."

De modale consument denkt dan "Zou ik niet beter een nieuwe auto van een ander merk nemen?"
Cameleon73 @Netsensei24 maart 2006 19:47
Nee, zoals hierboven ook al terecht werd aangehaald: de modale consument blijft gewoon lekker doorrijden met koplampen aan, radiator voluit, autoradio op 10, ruitenwissers onder handbereik en handrem standby.

Waarom? Ze zijn allang blij dat ze de auto aan de praat krijgen...

De reden dat IE nog steeds zo populair is (en zal blijven) is simpelweg dat 't meegeleverd wordt met Windows en dat 90% van de gebruikers nog nooit stil heeft gestaan (of stil zal staan) bij de veiligheidsproblemen -- hoe erg ze ook zijn.
mo3lla @Olaf van der Spek24 maart 2006 13:59
Plus het feit dat heel veel websites niet meer funtioneren!

edit: Dubbel bla
Verwijderd @Olaf van der Spek24 maart 2006 16:17
Die oplossing is van hetzelfde genre als de Microsoft solution tegen phishing... Niet klikken, maar url's manueel intypen...

En het ergste van al is dat ze het zich kunnen permitteren om dat soort achterlijke "oplossingen" de wereld in te sturen...
tvdijen 24 maart 2006 14:04
Als IE7 zo geweldig vernieuwd is, waarom is er dan blijkbaar code uit vorige versies klakkeloos gekopieerd??
rogierslag @tvdijen24 maart 2006 14:16
Als je je even had verdiept in de materie IE7:

Microsoft heeft met IE7 geprobeerd om veel fouten in IE te dichten, onder andere door het laten draaien van IE in en "sandbox". Hierdoor is het geheel al veel veiliger omdat de browser draait als en gebruiker zonder rechten.

Bij vrijwel geen enkel project betekent een nieuwe versie dat alles compleet herschreven wordt. Er is code tegen het licht gehouden op ontwerpfouten en dit is er blijkbaar doorheen geslopen.

IE7 is ook vernieuwd op een aantal punten. Firefox is (nu) out-of-the-box veiliger dan IE, maar als IE7 in en afgesloten sandbox draait kan dat nog wel eens veranderen.

Firefox 2 neemt ook enorme lappen code over uit vorige versies, daar maakt toch ook niemand zich druk over. zolang het maar goed werkt en het aantal fouten binnen de perken blijft (geen fouten zou beter zijn, maar zolang mensen, hoe indirect dan ook, software maken zitten er fouten in)

[edit]
dit is al mn tweede reactie in deze thread waarbij ik te laat ben...
ATS @rogierslag24 maart 2006 14:40
Nou... als IE7 in een sandbox draait, waarom lukt het dan om met behulp van niets anders dan een webpagina al buiten die sandbox te komen en het syteem willekeurige code te laten uitvoeren? Kennelijk is die sandbox alles behalve "zanddicht".
Alex) @ATS24 maart 2006 17:33
Dit komt doordat die sandbox alleen voor Vista zal bestaan, XP users moeten het zonder stellen...
Verwijderd @ATS24 maart 2006 20:24
Naah als dat het geval is dan kunnen we nog wel ff wachten totdat we IE7 in een sandbox kunnen draaien.. ik geloof dat we tegen die tijd al op FireFox versie 17.5 zitten
arjankoole
@tvdijen24 maart 2006 15:00
Als IE7 zo geweldig vernieuwd is, waarom is er dan blijkbaar code uit vorige versies klakkeloos gekopieerd??
ik heb zo'n vermoeden, dat als iedereen (incl MS) zouden doen wat jij min of meer voorstelt, dat we dan nu ongeveer op windows 3.4.5 zouden zitten, op FreeBSD 2.1.4.5 en Linux 1.1.2.9

Oh ja, en oracle 1.2

Het is niet meer dan logisch dan dat je je nieuwe versie bouwt op je oude versie. Hierdoor hoef je (naast de nieuwe features) alleen specifieke code te herschrijven en vervangen. Het is een organisch process. Theoretisch zul je dus ook bij iedere release van windows, maar ook andere software, steeds minder bugs tegenkomen in de shared-code-base. En dat is inderdaad wel te zien - sommige security-advisory's die uitkomen voor 2000 zijn niet van toepassing op 2003, en vice versa.

Ik ben alles behalve een Microsoft aanhanger, maar ze rucksichtloss afkraken gaat me te ver.,
Netsensei @arjankoole24 maart 2006 15:49
Reusability van code is een concept waar programmeurs zwaar op steunen...

Programmeurs zijn de grootste luiaards die er bestaan.
tvdijen @Netsensei24 maart 2006 22:10
Nou, mijn ervaring is dat het herschrijven van code grote voordelen met zich mee kan brengen met betrekking tot performance...
Verder denk ik dat je geen steekjes laat vallen als je eerst goed in kaart brengt wat een stuk code precies moet doen.
Mr. B. @Netsensei24 maart 2006 17:42
Reusability van code is een concept waar programmeurs zwaar op steunen...

Programmeurs zijn de grootste luiaards die er bestaan.
Hergebruik van code is niet alleen efficient, het is ook wenselijk i.v.m. volwassenheid van de code. Als je iets, wat je al hebt, opnieuw gaat doen, dan sluipen er gegarandeerd fouten in die je al opgelost had in de "oude" versie.

Maar verder heb je gelijk m.b.t. die luiheid hoor ;)
Verwijderd @Netsensei25 maart 2006 16:49
<offtopic>

Als jij jou code al moet herschrijven om performance winst te halen, had je het beter de eerste keer goed kunnen doen :o Daarbij had je de eerste keer ook al geen steekjes mogen laten vallen.

</offtopic>

Het hergebruik van code heeft natuurlijk niet alleen iets te maken met de luiheid van programmeurs. Er speelt ook nog de factor geld mee. Wanneer code correct werkt (Bij MS dus in dit geval niet :D) kunnen je deze code hergebruiken om ontwikkeltijd te winnen. Dit levert natuurlijk weer geld op. Dus luiheid is niet de grootste drijfveer (al zijn programmeurs dat natuurlijk wel ).
;)
Verwijderd @tvdijen24 maart 2006 14:14
omdat ze niet elke keer hetzelfde wiel willen uitvinden. Denk niet dat dat firefox 1 hele andere code heeft dan 2. Ze beginnen echt niet helemaal op nieuw
en dat is soms ook maar goed ook.... neem windows (of is dit een verkeerd voorbeeld) :Y)
tvdijen @Verwijderd24 maart 2006 14:17
Denk je niet dat Windows door de jaren heen alleen maar beter is geworden?
Ik zou niet graag terug vallen op Windows '95 hoor :P
MtC 24 maart 2006 15:15
Het is er niet alleen in oudere Beta`s, maar ook in oudere finals, dus bvb IE5 en IE6, waar dan weer zo`n 90% van de surfers mee werkt...
tspawn @MtC24 maart 2006 15:27
(takke... was reply op de andere post van Blizzkid :D )

Ja en dat wordst ook al 10 jaar geroepen dat OSS de oplossing is.

Maar er gebeurt nog steeds te weinig in.

Erg jammer naar mijn mening, ook al gebruik ik vrijwel alles van Microsoft. Het lijkt toch alsof mensen het wel prima vinden.
SED @MtC28 maart 2006 11:58
Het ging in deze vergelijking over de beta van IE7, niet over de finals die verouderd zijn en vas tniet meer voldoen aan de standraarden van vandaag.
Probeer oude software nu eens niet te meten met huidige maatstaven.
Verwijderd 24 maart 2006 15:06
Vergeet niet dat het juist de populariteit van IE is dat het een gewild doelwit is.

Bovendien is het lek sowieso al verholpen in de nieuwste Beta, dat het er in oudere Beta's wel was is toch helemaal niet belangrijk?
MtC 24 maart 2006 15:38
Je zal mij nooit horen roepen dat OSS dé oplossing is, omdat dat tot op heden gewoon nog niet realistisch is. Wel merk ik dat de ontwikkelingen in het OSS-kamp steeds harder gaan, terwijl MS zichzelf steeds opnieuw lijkt te vergaloperen, en weer eens een release-datum moet uitstellen.
En wat betreft de mensen die het prima lijken te vinden: probeer jij aan jan modaal eens uit te leggen dat je een kernel hebt met daaromheen een OS en daarbinnen een GUI. De grote meerderheid kent niet eens het verschil tussen _Office_ XP en _Windows_ XP.
Adm.Spock @MtC24 maart 2006 18:08
Ignorance is bliss, behalve wanneer het om de beveiliging van een pc gaat. Met als resultaat dat er duizenden potentiele "Tonino's" en USB-stick strooiende ambtenaren rondlopen met joost weet wat.....

Er is iig één troost: beveiliging van computers komt gelukkig steeds hoger op de agenda te staan.
nero355 24 maart 2006 14:08
Waarom is het altijd bij MS "Door bug xxxxxx kan iemand controle over uw PC krijgen" en niet "Dit is bug xxxxxx en hierdoor krijgt u misschien een error/onverwachte effecten als u dat en dat en zus en zo doet/opstart" ??

Zat laatst Windows UpDate te draaien en werd het echt zat om steeds hetzelfde te lezen (8>
_XipHiaS_ @nero35524 maart 2006 14:10
Omdat dat nou juist het voordeel is van Microsoft programmatuur, iedereen kan ermee overweg :o .
engelbertus @nero35524 maart 2006 14:28
dat is wel een heel raar voorstel :S ik lees bij iets wat feitelijk hetzelfde is als voorgaand toch liever hetzelfde. er wordt toch niet ingegaan op de exacte fout oplossing, omweg, of omstandigheden waarbij de fout op kan treden.

als je elke keer alles anders gaat opschrijven zonder echt info te geven wordt het juist heel erg onoverzichtelijk, je herkend niets meer.

heb je wel eens WSUS gebruikt?
als daar nou eens meteen duidelijk werd welke bugfix nu precies welke andere bugfixes overbodig maakt zou dat toch wel prettig zijn. ( een soort van cummulatieve patches dus )

je hebt nu bijvoorbeeld voor outlook elke maand nieuwe spamregels die die van de maand ervoor vervangen. dat is al iets, voor de virussen en malware ook al een programmatje dt maandelijks uitkomt.

voor internet explorer heet elke fix steeds hetzelfde, en soms vervangt de fix andere fixes. DAAR zou best eens iets meer over de inhoud van de fix mogen staan, of een soort structuur in opvolging van KB nummers oid mogen worden ontwikkeld. zodat je meteen kunt zien welke fixes je allemaal kunt weigeren in de toekomst, en je dus ook niet meer lokaal hoeft op te slaan.
Herby 24 maart 2006 14:25
Titel van dit nieuwsbericht is toch echt "Nieuw veiligheidsprobleem treft ook IE7" welke ook? Het bericht gaat alleen maar over IE7 :?
Globalman-X @Herby24 maart 2006 14:39
Door dat woordje 'ook' wordt impliciet gesteld dat een veiligheidslek in de huidige versie van IE vanzelfsprekend is, maar dat je mocht verwachten dat in de nog te verschijnen opvolger geen lekken meer zouden zijn (een droom, natuurlijk). Zo begrijp ik dat woordje 'ook'. En vandaar alle aandacht voor IE7.
q2no 24 maart 2006 13:49
ach.. het is alweer bijna dinsdag :+
MtC 24 maart 2006 14:51
MS heeft een traditie in het uitbrengen van "grote vernieuwingen" die eigenlijk gewoon bestaan uit herschreven code of aangekocht code. Het bedrijf werd laatst vergeleken met een dinosaurus die met veel te grote snelheid om nog op tijd te stoppen opeen ravijn afstormt.
Persoonlijk verwacht ik dat binnen een 10-tal jaar de OS-markt bvb er heel wat anders zal uitzien dan nu, en dat open-source steeds belangrijker zal blijven worden.
De mentaliteit van MS ivm veiligheidsgaten maakt mij ronduit ziek. "Maak je geen zorgen, er is slechts 1 procent kans dat je getroffen wordt" Nu heb ik geen enkel idee van het aantal IE-gebruikers, maar op bvb 100.000.000 gebruikers, wil 1% kans nog altijd zeggen dat 1.000.000 gebruikers getroffen worden...

-Edit- Het er op wijzen dat MS fouten minimaliseert in een topic over veiligheidsgaten is dus off-topic? |:(
Verwijderd 24 maart 2006 23:06
In een post op het blog van Microsoft Security Response Center is ook te lezen dat het probleem ondertussen al verholpen is in de nieuwste bèta van IE7.
Ik kan helaas nergens ontdekken om welke build het gaat. Als het 5335 betreft dan zit ik veilig. :)
Verwijderd @Verwijderd24 maart 2006 23:25
Yup, dat is de nieuwste beta 2 preview

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq