Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties
Submitter: DENZ

exploit petjeOp een pornosite is een nieuwe exploit opgedoken die misbruik maakt van een fout in de Vector Markup Language-afhandeling van Internet Explorer. Aangezien de bug nog niet bekend was, gaat het om een zogenaamde 0-day-exploit. Door een buffer overflow in de VML-verwerking te misbruiken, slaagt de aanvaller erin kwaadaardige code te injecteren en op die manier spyware te installeren op het systeem van het slachtoffer. Tot Microsoft een update beschikbaar gesteld heeft, kan men infectie voorkomen door Javascript uit te schakelen. Naast Internet Explorer kreeg echter ook Powerpoint ongewenst bezoek. Symantec meldt dat Trojan.PPDropper.E misbruikt maakt van een bug in de presentatiesoftware om op die manier andere kwaadaardige programma's te downloaden en te installeren.

Moderatie-faq Wijzig weergave

Reacties (65)

Tot Microsoft een update beschikbaar gesteld heeft, kan men infectie voorkomen door Javascript uit te schakelen.
Ja, of Firefox/Opera te installeren en geen onbekende Powerpoints te openen. Wat een oplossing weer: je javascript uitschakelen, dan werken een heleboel sites niet meer. Dat is net als een autofabrikant die roept dat je wel ff zonder banden kan rijden totdat ze een oplossing voor een probleempje hebben.

@ Qwerty-273: grote sites als youtube.com, ign.com, Yahoo Music, videogedeelte van AOL.com etc werken helemaal niet meer wanneer je javascript uitzet. Dus is het een gebrekkige oplossing en kan je beter een andere browser gebruiken.
Of JavaScript wel uitzetten, en sites als youtube in je "Trusted sites" zetten. Als een site dan niet werkt ben je met een dubbelklik op de statusbar direct in het instellingenscherm om te site toe te voegen.
Of JavaScript wel uitzetten, en sites als youtube in je "Trusted sites" zetten. Als een site dan niet werkt ben je met een dubbelklik op de statusbar direct in het instellingenscherm om te site toe te voegen.

Geweldige oplossingen allemaal, nee het maakt ook verder weinig uit of IE zo lek als een mandje is en niet eens in de buurt van de feature set van andere browsers komt. Elke workaround is beter dan een andere browser dan IE gebruiken toch, want IE is nou eenmaal een geweldig staaltje software....

Hoe weet je alleen dat je ondertussen niet allang ge-pwned bent, aangezien dit lek waarschijnlijk al veel langer bekend is bij hackers...
meer een geval dat de airco niet meer aan mag van de fabrikant. Veel sites werken goed zonder javascript aan te hebben staan. In ieder geval heb je javascript totaal niet nodig om fatsoenlijke pagina's te maken/ontwerpen.

-- edit--
Het is dan ook geen oplossing, maar een workaround tot dat er een fix is.
maar de dagelijkse praktijk is dat men veel javascript gebruikt. soms om interactive elementen toe te voegen, soms om bv browserafhankelijke elementen weer te geven.
Ik gebruik ook een klein stukje JS op m'n site.
Weet jij bijvoorbeeld een betere manier om een site in een nieuw venster te openen, ipv javascript:popup('http://google.nl', '', ''); ??
En wat dacht men dan van AJAX? Aangezien ajax gebruikt maakt van javascript en xml.
<a href="http://google.nl" target="_blank">klik hier voor google</a>

Toegegeven het is (een stuk) minder mooi, je hebt geen controle over window size en decoration. Maar het kan wel.
Het is helaas ook niet XHTML 1.1 valid.
target bestaat niet meer als attribuut
Zeker nu met de Eolas-patent fix interactive applicaties niet zonder meer geladen kunnen worden en er dus meestal JS voor gebruikt wordt.
In XHTML 1.1 Strict mag je geen target atribute gebruiken, hier voor word in de plaats daar van met javascript gewerkt om links toch in een nieuw venster te kunnen openen en zo W3C Valid te blijven.

http://www.sitepoint.com/...andards-compliant-world/3
reactie op tvdijen:

target="_blank"
bijvoorbeeld :P
Zoals ik al eerder aangaf:
Dat is niet XHTML 1.1 valid
<a href="blaaturl" target="_blank">blaat</a>

edit:
Pff verkeerde plek en wederom herhaling/dubbelpost :s
<a href="http://google.nl" target="_blank"> ???

Beetje een stom voorbeeld want daar heb je dus inderdaad geen JavaScript voor nodig. Maar het punt klopt wel, veel sites werken gewoon niet zonder JavaScript. Mensen kunnen nog zo hard gaan roepen dat je JavaScript niet nodig hebt, maar zo is het gewoon niet...
nog meer een geval van de rem niet meer mogen gebruiken... Je kan wel rijden, maar erg handig is het niet :P
Groot gelijk. Gewoon veilig surfen, nergens last van...
Okee, wie is man genoeg om te zeggen dat hij de bug in Internet Explorer heeft ontdekt?
Ikke. Ik verdien nu lekker bij jonge. Allemaal bedrijven willen hun reclame (lees niet spyware, adware en spam) via mijn kleine handigheidje verspreiden :9
keyword:
mijn kleine handigheidje
Waarom zou iemand dit overwegen?
Ik mis eigenlijk de link onder het woordje "pornosite".

Puur voor educatief gebruik natuurlijk! :+
Ooit van MegaSpoof gehoord? :P
UltraMegaSuperDopeOnovertroffenGeileTeringSpoof 8-)
Ik ben blij als Vista uit is, dan zullen we dit soort problemen gelukkig niet meer hebben...

Edit: Ik ben blij dat jullie allemaal zo serieus reageren. :+

Get a Mac, because life is too short.
Inderdaad, want Vista lost alle problemen op, net als Windows 2003 dat deed en XP, en 2000, en Me, en 98 en 95, NT4, NT3.51, Windows 3.11, 3.1, 3.0, Dos 6.22 en alle servicepacks die daartussen zaten...
Toch kan het uit veiligheidsoogpunt weer interessant zijn om MS-DOS 6.22 met Windows for Workgroups 3.11 te gaan draaien. Het is lang geleden dat ik hier virussen of exploits voor heb gezien.

"This virus requires Windows 95."
Jammer genoeg maak je het een aanvaller die het specifiek op jouw machine gemunt heeft (dus niet een website die zo veel mogelijk slachtoffers probeert te maken) dan weer te eenvoudig. Denk maar niet dat die er veel moeite mee zal hebben die oude software lek te prikken -- om te beginnen hadden DOS/Win 3.11 helemaal geen privileges of geheugenbescherming, dus iedere buffer overflow in welke component dan ook kan je in principe totale controle over de machine geven.

Natuurlijk, als je een desktopmachine draait is het waarschijnlijk dat niemand de moeite gaat nemen jou persoonlijk aan te vallen, maar als het er toe doet ben je beter af met een plan dat niet op "security through obscurity" berust. :)
"Get a Mac, because life is too short."

and you will pay for full screen video support...

Nee serieus. Mac onsterfelijk ofzo? Ik heb ook al men resum crashes gehad op mijn mac-systeempje.

Zolang mensen zoals jij anderen niet aanzet om een mac te kopen, en deze geen marktaandeel heeft, blijven de virussen en exploits uit.
Als jij crashes hebt gehad moet je je hardware eens nakijken. OSX crasht echt niet zomaar.

Zelf nog nooit één crash meegemaakt waar het geheugen niet de oorzaak van was.
Hmm... Ik heb anders crashes gehad met het MAC besturingssysteem, terwijl ik zeker weet dat de hardware oke is...


Maar goed, dat was dan ook die uitgelekte beta die op intel-cpu's draait ;) ;) ;)
Windows XP crasht evengoed niet zomaar, want 98 van de 100 keer ligt het aan 3rd party software zoals drivers.
Dacht je dat... Alles wat een mens bedacht heeft is te hacken helaas. Helemaal zonder problemen komen we nooit te zitten.
Klinkt als een opmerking die je ergens vandaan heb geplukt en uit z'n verband heb gerukt. Ik kan wel degelijk iets schrijven wat jij niet kan hacken. Ik heb nog nooit gehoord van exploits in Hello World, terwijl dat programma toch aardig vaak gebruikt wordt :+
Exploiten is idd een vorm van hacken. Hacken op zich is niets mis mee.
Boeie als ik een hello world programma hack om een ander tekstje weer te geven.
Hahahah Nou als Vista uitkomt hebben we waarschijnlijk genoeg andere exploits die ze/we nog niet weten/wisten, maar je daar maar niet ongerust over.
Vista is pas redelijk veilig na SP1 (hopelijk). Was met XP ook zo, alhoewel nu blijkt...
je kunt natuurlijk ook geen pornosites meer bezoeken.. of sites met keygens etc. erop. Dat scheelt ook al een boel..

of gewoon als normale gebruiker op je pc zitten en niet als admin :P
e kunt natuurlijk ook geen pornosites meer bezoeken.
Dit lijkt mij voor de meeste bezoekers van T.net helaas geen optie... :o
Wat dacht je van deze optelsom:
Mozilla Firefox
NoScrpit extensie
_______________+
Veiligheid
Best raar, ik heb nooit ergens last van, ik zit 14+ uur per dag op het Internet, surf/onderzoek me gek en kom op de vreemdste sites. nooit gehad ook. Wat spoken die mensen in godesnaam allemaal uit dat ze zoveel last van exploits hebben? Ik maak me sterk deze mensen zich dan in de wat "onfrissere" buurten op het Internet begeven: Ik heb ooit 1x een registratiecode geprobeerd te bemachtigen, dit had tot gevolg dat onmiddelijk de pleuris uitbrak bij zowel virusscanner, defensder als firewall (niet op m'n eigen pc en verder ook zonder schade)
Ik kan me goed voorstellen dat schrijvers van dit soort meuk zich ook daar verschuilen omdat ze weten dat toch nooit iemand toegeeft daar geweest te zijn (eigen schuld, dikke....)
MAW: Als je systeem ziek is ben je het waarschijnlijk zelf ook.......
Ronduit bullshit. Een browser hoort geen code van sites uit te voeren die buiten de "sandbox" van de browser wijzigingen maakt, niet als je op www.disney.com zit, niet als je op www.microsoft.com zit, niet als je op www.goreporno.nl zit en ook niet als je op www.illegalcracks.com zit. Als je browser dat wel doet, is het een klotebrowser en moet je wat anders gebruiken. Het is natuurlijk lekker makkelijk om je Microsoft-kop in het zand te duwen en lekker net te doen alsof er niks aan de hand is, maar ooit ga je dat bezuren, of je nou op "foute" sites komt of niet.

Er blijven nog genoeg problemen over die WEL door de gebruikers getriggerd worden (phishing, executables downloaden en uitvoeren, domme wachtwoorden kiezen), dus ga nou niet net doen alsof alle problemen door gebruikers veroorzaakt worden, want dat is dom, naief en gevaarlijk.
Het is net zo dom, naief en gevaarlijk om te denken dat je met een andere browser ineens wel veilig bent.
ben ik de enige die deze link legt:
Op een pornosite
met
Bron: Redactie Tweakers.net
Zegt toch wel genoeg over hoe de exploit ontdekt is.
Mischien dat:
Door Yoeri Lauwers
nog meer zegt, maar dat zullen we maar even niet aannemen.

Javascript zou niet essentieel voor website's moeten zijn, maar dat is hetzelfde als bijvoorbeeld dat veel site's niet werken in lynx. Het middel streeft het doel voorbij.
Ik vind het onzin dat websites leesbaar moeten zijn in Lynx. Het web is niet meer hetzelfde als 10 jaar geleden.

Maar je maakt het jezelf als programmeur makkelijker als je je zo goed mogelijk aan de standaarden houd, dan bakt Lynx er ook nog wel wat van.

Javascript is niet meer weg te denken en dat moet je ook niet willen. Websites beginnen steeds meer te lijken op echte programmas en hebben dan ook clientside code nodig om een beetje flexibel te kunnen werken.

Kijk naar de persoonlijke Google Startpagina of Windows Live. Daar worden netjes al je feeds door middel van JS getoond. Als dit serverside zou moeten gebeuren betekend dat als 1 feed traag is dat heel de site traag wordt.

sorry voor het hele verhaal :Z ;(
Ik vind het onzin dat websites leesbaar moeten zijn in Lynx. Het web is niet meer hetzelfde als 10 jaar geleden.
Je mag je site met JavaScript zo mooi maken als je wilt, zolang ie zonder JavaScript nog maar wel door te bladeren is. Dan kan Google je site namelijk nog indexeren ;)

Voor een standaard website heb je geen JavaScript nodig. Maar maak je echt bewust een applicatie (bijvoorbeeld google maps toepassing), kun je idd de remmen los gooien. Anders niet.
Maar je maakt het jezelf als programmeur makkelijker als je je zo goed mogelijk aan de standaarden houd, dan bakt Lynx er ook nog wel wat van.
Ben het voor de rest wel helemaal met je eens :)
Ja, maar het is erg makkelijk om dubieuze code uit te voeren met Javascript of ActiveX hoewel het wel de mogelijkheden van een site flink vergroot.
Ik vind het onzin dat websites leesbaar moeten zijn in Lynx. Het web is niet meer hetzelfde als 10 jaar geleden.

Voor de meeste sites idd een beetje onzin, maar vergis je niet! Lynx heeft me al meerdere keren gered van een hele bak gezeik aan mijn hoofd op headless servers, computers waarvan de X server niet meer wilde opstarten en installatieprocedures die halverwege bleven hangen. Dan is het toch verdomde handig als je het via de console voor elkaar krijgt net dat ene bestandje dat je mist te kunnen googlen en downloaden, of via lynx in google newsgroups de oplossing voor je probleem te vinden. Vooral als je geen andere computer voorhanden hebt.
Haha porno rite guys :D.
dat geloof je toch zelf niet :'( Vista zal qua beveiliging best beter zijn dan XP, maar zolang er gebruikers zijn die overal op klikken, en zelf ook rechten hebben om maar iets op je systeem aan te passen (dat kan iedereen, anders kun je geen bestanden opslaan/wijzigen), zal een virus of wat dan ook schade aan kunnen richten.

Overigens: mijn ervaring met Windows 2003 (wat qua security al een stuk dichter staat dan XP) is soms al zeer lastig werkbaar. De simpelste sites met JavaScript werken al niet. Daar er steeds meer software updates via sites met scripting (JavaScript, ActiveX of wat dan ook) gedistribueert worden, is windows 2003 soms bijzonder lastig om mee te werken.
dat geloof je toch zelf niet Vista zal qua beveiliging best beter zijn dan XP, maar zolang er gebruikers zijn die overal op klikken, en zelf ook rechten hebben om maar iets op je systeem aan te passen (dat kan iedereen, anders kun je geen bestanden opslaan/wijzigen), zal een virus of wat dan ook schade aan kunnen richten.
Dit heeft NIKS te maken met gebruikers die teveel rechten hebben of klikken op dingen waar ze niet op horen te klikken. Bij elk bericht over beveiliging komen er weer dit soort onzinnige reacties; die slaan echter in deze context nergens op. Het is alsof er een fout in LIPS sloten ontdekt wordt waardoor je ze kan openen door er 3x met een ballpoint op te tikken en dan roepen dat mensen niet zo dom moeten zijn hun deuren niet op slot te doen.
"Tot Microsoft een update beschikbaar gesteld heeft, kan men infectie voorkomen door direct een internet rijbewijs te gaan halen..."
ik heb in een omgeving gewerkt waar echt niemand local admin was en je 10 formulieren in moest vullen voor elke 5 minuten admin rechten.
Toen kwam blaster en storte alles in, blaster had immers geen admin rechten nodig om te installeren, enkel een NT4 of W2K ongepatched systeem. Mooiste was nog dat we die cleaner van symantec niet konden draaien want we hadden geen admin rechten.

Nu zit ik in een situatie waar meer mensen wel local admin zijn dan niet. Moet zeggen dat ik er weinig last van heb. Als mensen met hun PC lopen te kloten dan zeg ik gewoon: Ad deed dat ook altijd...

Ad? Wie is dat?
Ow... die werkt hier niet meer..... get it? :7

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True