Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 26 reacties
Bron: ZERT

Het 'Zeroday Emergency Response Team', een groepering ontwikkelaars die zich bezighoudt met reverse engineeren, heeft een tweetal nieuwe IE-patches de wereld in gestuurd. Drie dagen voor de vervroegde release van Microsofts eigen VML-patch kwam deze organisatie al met een onofficiŽle oplossing voor het probleem. Dit keer wilden de veiligheidsexperts een oplossing bieden voor de foutieve afhandeling van de WebViewFolderIcon-ActiveX-control. De officieuze pleister is verkrijgbaar voor Internet Explorer-versies vanaf 5.01 met Service Pack 2 tot en met IE 6.0 met Service Pack 1. Of Microsoft deze third-party patch zal beantwoorden met een nieuwe vervroegde bugfix, valt nog te bezien. Het bedrijf heeft al aangeven bezig te zijn met een update die vooralsnog gepland staat voor de maandelijkse 'patch tuesday' volgende week dinsdag.

Internet Explorer Patch
Moderatie-faq Wijzig weergave

Reacties (26)

Ik snap niet welke bedrijven dit soort onofficiele patches zullen gebruiken. De inhoud van de patches in onbekend, de bron niet in alle gevallen betrouwbaar en er is vrijwel geen support. Vaak zijn de exploits mits voldoende info beschikbaar ook te stoppen via contentscreening of andere mechanismen.
De patch die van de week uitkwam bevat zelfs de broncode, dus dat is niet helemaal waar. Van deze makers zit het er niet bij en heb je wel gelijk.
maar ja, dan moet je die broncode wel zelf compileren... anders kan die binary nog steeds "besmet" zijn of iets ongewenst bevatten ...
wat wel bizar is, eigenlijk, is dat dit groepje gasten zonder de miljarden van microsoft en zonder toegang tot de broncode (wat toch wel een lastig probleem is...) steeds weer dagen eerder is met het leveren van een patch tegen een security probleem...
Is de patch getest, werkt hij wel in alle gevallen, hoe optimaal is de code, wat hebben ze niet gepatched? Wie zegt dat MS de patch niet klaar heeft nu. Ze wordt gewoon pas op Patch-Tuesday uitgegeven.
Wie zegt dat MS de patch niet klaar heeft nu. Ze wordt gewoon pas op Patch-Tuesday uitgegeven.
Als (ik zeg wel 'Šls') MS de patch al klaar heeft, is het dan niet beter om hem zo snel mogelijk uit te brengen, ipv het uit te stellen naar de 'maandelijkse' patch tuesday? :?
Met de mogelijkheid om miljoenen pc's plat te leggen omdat de patch onvoldoende is getest?
Met de mogelijkheid om miljoenen pc's plat te leggen omdat de patch onvoldoende is getest?
Aan de ene kant moet er inderdaad goed getest worden, dus ms kan niet zomaar meteen iets publiceren. Aan de andere kant; stel dat er nog een dag van testen te gaan is op de maandelijkse patch-tuesday, zou MS dan de patch weer (een maand) uitstellen, of toch maar publiceren?
Nogal makkelijk om snel wat uit te brengen:

Disclaimer
The information within this paper may change without notice. Use of this information constitutes acceptance for use in an AS IS condition. There are NO warranties, implied or otherwise, with regard to this information or its use. Any use of this information is at the user's risk. In no event shall the author/distributor (Determina) be held liable for any damages whatsoever arising out of or in connection with the use or spread of this information.


MS kan dit onder deze voorwaarden ook wel denk ik ;)
Dus jij denkt niet dat MS vergelijkbare voorwaarden heeft?

Lees de EULA er maar eens op na :7
Voorbeeld:
http://www.microsoft.com/windowsxp/home/eula.mspx
en zoek op "damage". Er staat vanalles, maar kort gezegd komt het erop neer dat ze nooit iets vergoeden.
Wel mss omdat ze zich maar bezighouden met dit soort zaken.
Wss heeft Microsoft wel een team die enkel bugs repareert, maar ik denk da ze aan veel meer bugs bezig zijn of dit team.

Vista komt namelijk ook uit en wss zal een groot deel van de XP-groep al ook aan Vista moeten werken om Vista op tijd in de winkels te krijgen

Ook MS kan veel meer schade oplopen als de patch nie goed getest is en duizenden pc's mss wel niet meer goed functioneren
'Zeroday Emergency Response Team' kan nog altijd een excuus vinden als er iets misloopt, zoals: 'Iemand moet toch een patch maken en we hebben het toch geprobeerd, maar we kunnen ook niet alles, omdat we geen toegang hebben, al hebben we reverse engineering toegepast ......' Snap je het plaatje?

Dit zijn enkel veronderstellingen, niks concreets natuurlijk
Waarom maken die bedrijven deze patches nou? Niemand weet wat er beter aan is, en waarom zou men dit nou speciaal downloaden als er binnenkort weer een automatische update van IE binnenstrompelt via Windows Update (of dergelijk) :?
Om aandacht te krijgen van MS misschien
Om aandacht te krijgen van MS misschien
Niet direct om aandacht van MS te krijgen maar imho vooral om aandacht van de media te krijgen. Zie het als een soort gratis reclame. De bedrijven die deze unsupported patches maken staan de dag erna met naam en toenaam op veel sites waaronder Tweakers.net in dit geval. De patches worden meestal ook alleen ter download aangeboden op de eigen bedrijfswebsite waar je natuurlijk niet om de producten van de betreffende partij heen komt.

Naast het maken van een statement richting MS is het dus ook een verkapte vorm van marketing.
Om aandacht te krijgen van MS misschien

Om aandacht te krijgen idd, en vooral om MS te proberen te bewegen sneller patches te releasen...
Pas op wat je zegt, want ik en iemand anders zeiden ookal iets dergelijks en dat werd gemod als "overbodig" |:(

Maar inderdaad, de vraag is wat gevaarlijker is: wachten met patchen of patchen met iets onbekends...
Als ik MS was, zou ik deze mensen in dienst nemen hehe. Ze zijn tog groot genoeg en blijkbaar hebben ze potentie. OF er zit stiekem spyware in ghehe
Het schrijven van een stukje software is kinderspel vergeleken met het testen van deze software in alle mogelijke combinatie's waarmee MicroSoft rekening moet houden.

Als deze groep een oplossing biedt voor 90 procent van de gebruikers, krijgen ze de opmerking "geweldig, goed gedaan". Als MS slechts ťťn procent van de gebruikers niet helpt met hun oplossing is het een kl.. bedrijf.

Potentie, groot genoeg ? Dit artikel is geen basis om daarover conclusie's te trekken.
Het is niet dat Microsoft niet in staat is tijdig een patch te leveren maar meer dat Microsoft er voor kiest om de patches eerst grondig te testen wat niet onverstandig is gezien de patches niet alleen bij de consument maar ook bij een hele boel bedrijven zullen worden geinstalleerd wanneer MS ze heeft vrijgegeven.

Een patch die zo snel uit word gebracht door een 3e partij is niet tot nauwlijks getest. De invloed van de patch op het systeem is vaak niet bekend. Vergeet niet dat de komende MS patch hetzelfde lek zal willen gaan dichten, misschien zelfs op een andere manier. Er is dus zelfs een kans aanwezig dat het gebruik van een patch als deze negatieve invloed heeft op de stabiliteit van een systeem hierdoor.

De kans is groot dat MS al lang een patch klaar heeft maar heeft besloten deze niet voor patch tuesday vrij te geven of deze nog aan een serie uitgebreide tests aan het onderwerpen is.

Ik zie dan ook niet in waarom deze mensen bij MS in dienst zouden moeten worden genomen.
Bij het lezen van de titel dacht ik eerst aan een virus dat zich als patch voordoet...

Of breng ik nu iemand op ideeen? }>

Even serieus: dit zal ongetwijfeld goed bedoeld zijn, maar ik zou er toch mee opletten van wie ik een "patch" aanneem.
op ideŽn brengen? er zijn al een paar dozijn virussen geweest die zich als "ie-patch" via email verspreiden
Als je zo nodig je PC wil beschermen kan wellicht de workaround van MS toepassen.

Ik kan toch geen site bedenken die van VML gebruik maakt en die je dan niet goed kan bekijken.

Wellicht doet deze patch meer kwaad dan goed. De IE patch van augustus zat ook niet goed in elkaar en ondanks test van MS zelf ontstonden er problemen met andere MS producten.

MS belooft nu al anderhalf jaar dat ze veiliger producten aflevert maar de laatste 3 maanden worden er toch veel kritieke bugs gevonden.
vraag me af dat wel zo handig is om te installeren,
wat nou als ik deze installeer en volgende week komt die ms zooi. Krijg ik dan geen conflicten?
eerst deze deinstalleren en dan officiele van Microsoft installeren
verdoem mij toch eens zeg!...

heb ik net de nieuwe IE geinstalleerd..komt er alweer een nieuwe uit.
lol? als jij de nieuwe versie 7.0 bedoelt, dan is deze patch alleen voor oude versies bedoeld.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True