'Extreem kritiek' lek gevonden in Internet Explorer

Onderzoekers van ISS hebben een 'extreem kritiek' lek gevonden in de XMLHTTP-plugin van Internet Explorer. Dit component verzorgt Ajax-functionaliteit en is daarom erg populair, maar het heeft tevens een vervelende bug die gebruikt kan worden om controle te krijgen over het systeem van een slachtoffer door hem alleen maar een website te laten bezoeken. Microsoft bevestigt dat het lek al op kleine schaal misbruikt wordt, maar het is nog niet duidelijk of er een oplossing komt vóór de reguliere patchdag (volgende week dinsdag). Er zijn wel tijdelijke oplossingen, zoals het uitschakelen van de specifieke plugin of het botweg niet toestaan van ActiveX.

Internet Explorer logo (75 pix)Omdat de bug zich in een plugin bevindt zijn alle versies van Internet Explorer kwetsbaar, ook de 'extra veilige' 7.0-release. De nieuwe versie van de browser heeft de XMLHTTP-plugin in principe niet meer nodig, maar sites die daar geen rekening mee houden kunnen hem alsnog proberen te gebruiken, waardoor hem verwijderen ook geen ideale oplossing is.

Door Wouter Tinus

Feedback • 07-11-2006 10:00
80 • submitter: magic31

07-11-2006 • 10:00

80

Submitter: magic31

Bron: News.com

Lees meer

Microsofts MS07-40-patch eist aandacht op
Microsofts MS07-40-patch eist aandacht op Nieuws van 14 juli 2007
Geen veiligheidspatches voor Microsoft deze maand
Geen veiligheidspatches voor Microsoft deze maand Nieuws van 9 maart 2007
Microsoft: 'Fout in IE7 veroorzaakt door Outlook Express'
Microsoft: 'Fout in IE7 veroorzaakt door Outlook Express' Nieuws van 21 oktober 2006
Final Internet Explorer 7 online verschenen
Final Internet Explorer 7 online verschenen Nieuws van 19 oktober 2006
Microsoft heeft moeite met grote patchronde - update
Microsoft heeft moeite met grote patchronde - update Nieuws van 10 oktober 2006
Microsoft en Mozilla met exploits om de oren geslagen
Microsoft en Mozilla met exploits om de oren geslagen Nieuws van 2 oktober 2006
Meer producten en artikelen
Software

Reacties (80)

-Moderatie-faq
80
74
39
18
4
11
Wijzig sortering
Anoniem: 14124 7 november 2006 10:10
IE heeft een issue, en heel medialand neemt een aanloop en springt er bovenop. Vervolgens komt de klaagzang weer over security, Microsoft, IE, en ActiveX. Daarna wordt weer luidkeels voorgesteld om toch allemaal naar FireFox te gaan want jongens dat is toch zo veel beter.

Kijkt er uberhaupt wel eens iemand naar de security issues in andere browsers? Als dat breed zou worden uitgemeten surfden we alleen nog met een telnet client.
johnbetonschaar @Anoniem: 141247 november 2006 10:30
Kijkt er uberhaupt wel eens iemand naar de security issues in andere browsers? Als dat breed zou worden uitgemeten surfden we alleen nog met een telnet client.

Je kan er elke draai aan geven die je maar wilt, keiharde feit blijft gewoon dat een lek in IE betekent dat er heel veel pc's exposed zijn. Een kritiek lek in IE betekent dat er een heleboel PC gepwned kunnen gaan worden. Deze 2 dingen, plus het feit dat er gewoon duidelijk veel vaker dit soort problemen in IE/ActiveX opduiken dan in welke andere browser ook, ze vaak kritieker en makkelijker te exploiten zijn, er vaak al langer inzitten en meestal ook later worden gefixed door MS.

Alle fanboys en bashers ten spijt spreekt het track record van IE nou niet bepaald in het voordeel van de veiligheid van die browser.
Blokker_1999 @johnbetonschaar7 november 2006 17:24
Daarnaast heeft MS ook nog de reputatie van bugs enorm traag op te lossen. Wanneer we kijken naar kritieke bugs dan zien we dat de tijd tussen het ontdekken en het patchen een stuk groter is dan bij de alternatieve browsers.

En een bug in IE kan veel grotere gevolgen hebben voor het hele OS dan een bug in Fx of Opera aangezien IE verweven zit in het OS en ook in andere software zoals MS Office en de help applicatie.
Peregrine @Anoniem: 141247 november 2006 10:21
Het is een beetje oorzaak -> gevolg. Omdat meer mensen schoppen tegen IE, wordt er meer op security issues gezocht en worden er ook meer virussen voor geschreven.

Een andere browser waar niet zo tegen wordt geschopt (FF), en bovendien minder populair is, zal inderdaad minder bekeken worden op issues. Door gebruikers en hackers... Dus: (kort door de bocht) ben je daar veiliger mee... :9
Zaffo @Peregrine7 november 2006 16:57
Als er een bug in Firefox zit hoor je dat ook van alle kanten. Laatste bijvoorbeeld met die hoax, toe stond ook overal gelijk dat FF zo lek was als een mandje.

Daar tegenover horen we nooit iets over Opera/Safari/.... lekken. Het is natuurlijk maar net hoe veel het gebruikt wordt, hoe makkelijk het uit te buiten is en hoe groot die kans is dat het uitgebuit gaan worden. Die is bij IE heel groot, dus dient M$ op te schieten met oplossingen. Iets dat andere browsermakers wel doen.
Anoniem: 80466 @Anoniem: 141247 november 2006 10:29
Het is een issue in de XML Core 4.0.
Deze wordt in IE door een ActiveX object benaderd maar kan ook in allerlei andere applicaties gebruikt worden. Het is dus geen IE specifieke bug maar betreft verschillende windows versies die de XML Core 4.0 gebruiken.
IE is wel de makkelijkste aanvalvector omdat het erg lastig is om een andere door bijna iedereen geinstalleerde applicatie te vinden die de XML core API gebruikt. In theorie zou echter een willekeurige FF extensie de de XML core service gebruikt ook gevoelig kunnen zijn.
Anoniem: 103193 @Anoniem: 141247 november 2006 10:14
telnet?

ssh bedoel je ;)
liledevil @Anoniem: 141247 november 2006 10:16
Hoezo telnet, links doet het toch ook goed :+
BasieP @liledevil8 november 2006 08:43
lynx bedoel je
Pietervs @Anoniem: 141247 november 2006 13:15
Kijkt er uberhaupt wel eens iemand naar de security issues in andere browsers? Als dat breed zou worden uitgemeten surfden we alleen nog met een telnet client.
Ja, er wordt wel degelijk ook gekeken naar fouten in andere browsers. En ja, die worden ook zo breed uitgemeten.

Kijk bijvoorbeeld maar eens hier.

Dus mag ik nu aannemen dat jij vandaag nog met telnet verder gaat internetten? :+

edit:
overigens zal je me niet horen roepen dat FF zoveel beter is, maar ik gebruik wel liever FF dan IE6. IE7 heb ik (nog) niet geprobeerd.
Iedereen loopt te klagen over MS, ActiveX en IE, omdat Microsoft ervoor gekozen heeft om IE onderdeel te maken van het besturingssysteem (vinden ze zelf tenminste). Daardoor is het hele besturingssysteem door dit soort lekken in gevaar, terwijl exploits van andere browsers (zoals FF) een kleinere invloed hebben...
egkunst 7 november 2006 10:18
Zoals er op Nu.nl staat dat het alle Windowsversies betreft
Het probleem zit in de zogenoemde Microsoft XML Core Services en treft alle Windowsversies, behalve Windows Server 2003.
Dat betekend dat dit al jaren kon gebeuren.
TD-er @egkunst7 november 2006 10:25
Tsja, ik zou gaan klagen over de gebruiikers dat ze dat lek niet eerder gevonden hebben...
Wanneer het bekend is, zal het misbruikt worden, dus moet je nu ineens wel actie ondernemen. Eerder actie ondernemen is niet echt mogelijk he. (eerder dan dat het bekend is)
kidde @TD-er7 november 2006 13:14
Hoezo is het een fout van de gebruikers dat ze de bug niet eerder gevonden hebben?
Microsoft kan toch ook preventieve code-audits houden? Bij OpenBSD bijvoorbeeld gaat men ieder jaar zoveel mogelijk code nalopen op kwaliteit, en worden bugs door de developers gevonden nog voordat de gebruikers / crackers ze vinden.
Als het een kernteam van 20 onbetaalde OpenBSD-ontwikkelaars lukt dit te doen, waarom een van de grootste bedrijven ter wereld dan niet? Waarom toetsen ze zelf de code niet fatsoenlijk voordat ze hem verspreiden?

(Hint: De verwachtingspatronen van gebruikers liggen laag omdat Microsoft software hun enige referentiekader is, aangezien winst maken het enige doel van een bedrijf is, in dit geval Microsoft, boeit het niet als ze die winst ook met defecte producten kunnen bereiken).
Bobco @kidde8 november 2006 08:00
Of je leest de post waarop je reageert helemaal :)
Anoniem: 80466 @egkunst7 november 2006 10:25
De bug zit in XML Core 4.0
Vista gebruikt bijvoorbeeld XML core 6.0
Ge Someone @Anoniem: 804667 november 2006 10:39
Op mijn XP systeem vind ik XML core 3, 4 en 6 ;)
Rafe @egkunst7 november 2006 13:06
'Behalve Windows Server 2003' is alleen maar omdat IE standaard geen ActiveX aan heeft staan in Server 2003. De XML Core Services zijn nog echter altijd lek en als de gebruiker zo suf is geweest (of mee heeft gedaan aan die 'bouw je Server 2003 om tot desktop OS'-rage) om ActiveX toch aan te zetten kunnen ze alsnog de spreekwoordelijke lul zijn.
Anoniem: 80466 @Rafe7 november 2006 14:43
Dan betreft het wel ontzettende losers.
Je gaat toch niet vanaf een server met je browser naar het internet ? Dat is een beheersdoodzonde !!
En dan ook nog activex activeren ? Tja, dan verdien je gewoon een virus
Anoniem: 92314 @Anoniem: 804667 november 2006 14:46
neen, je gaat niet met een WINDOWS server surfen. op bv: Fedora core of Debian mag je perfect surfen op je server, alleen niet als ROOT.

gelieve windows niet algemeen te nemen, ze zijn nog altijd minderwaardig in servervlak.
MetalStef @egkunst7 november 2006 10:31
Dat betekend dat dit al jaren kon gebeuren.
Dat is met (bijna) alle bugs: Ze bestaan al jaren, maar ze worden pas misbruikt als ze ontdekt zijn. Evenzo kun je ze ook pas patchen als ze ontdekt zijn.

Reken voor Vista / IE7 ook op een stevige stapel bugs. Nu is dat nog geen probleem (want niemand weet er nog van), maar zolang Microsoft de term Patch Tuesday in ere kan houden, worden de bestaande bugs één voor één ontdekt en gedicht.

Ow enneh, dit geldt natuurlijk ook voor ALLE andere software. Overal zullen lekjes en foutjes in zitten, maar zolang ze niet ontdekt zijn, kunnen ze niet gefixt of misbruikt worden.
Anoniem: 178962 @MetalStef7 november 2006 11:16
@MetalStef:

Het kan niet vaak genoeg gezegd worden: Dit geldt voor ALLE software ooit gemaakt en alle software in de toekomst.

Het is dus ook niet verwonderlijk dat er nog regelmatig bugs gevonden worden in een onderdeel van Windows. Gezien het aantal onderdelen van Windows en het aantal mensen die eraan meegewerkt hebben. Iedereen heeft wel eens een maandag waarop hij/zij lag te slapen.

@pluizje:

Kom niet met die conspiracy theorieen zonder in ieder geval iets van bewijs te geven.

En kijk voor de gein ook even naar de luchtvaart industrie. Daar zijn ze vaak zelfs op de hoogte van problemen die mensenlevens kunnen kosten, maar als uit een kosten/baten analyse blijkt dat het beter is om het maar te laten zitten dan laten ze het zitten.

Het klinkt erg hard om geld aan een mensenleven te hangen, maar deden ze dit niet dan kon niemand het betalen om te vliegen.

Vergelijk het met de dode pixels in TFT schermen, jaren lang was het heel normaal omdat als je alle schermen moest weggooien met dooie pixels niemand meer een TFT scherm kon betalen.

Leven in een utopie is niet realistisch ;)
pluizje @MetalStef7 november 2006 11:13
Sommige bedrijven (weet niet of het ook voor Microsoft geldt) heel erg bewust zijn van bepaalde lekken. Ze weten precies waar ze zitten, maar nemen niet de moeite om er iets aan te doen tot er misbruik van gemaakt wordt. Dan pas gaan ze er geld in stoppen om het op te lossen.
sambalbaj 7 november 2006 10:16
zolang 85% van de internetters IE gebruikt, is een lek in IE big news. Daarnaast is het tegenwoordig ook elke keer raak met ActiveX en de lompe methode van het uitzetten, zorgt voor problemen met sites.

Het wijzen op alternatieve browsers is dan ook helemaal terecht want het merendeel van de gebruikers weet gewoon niet beter (nee niet de tweakers) en hanteert de definitie "IE = internet".
En zolang IE zo dominant is, is het meer rendabel om daar exploits voor te maken dan voor de alternatieven.
zordaz @sambalbaj7 november 2006 11:18
Het is niet alleen "tegenwoordig" elke keer raak met ActiveX. ActiveX is al een probleem sinds het bestaat. Ik heb trouwens nog nauwelijks problemen met sites als ik Firefox of Opera gebruik. Dat was een paar jaar geleden wel anders, dus het advies om een andere browser te gebruiken vind ik wel degelijk plausibel.
jasperwillem @zordaz7 november 2006 14:17
Er zijn helaas ook nog een hoop websites in de bedrijfssferen en op Uni's en overige hoger onderwijs, waarbij je niet met FF moet proberen er in de buurt te komen.
borft @jasperwillem7 november 2006 16:05
Uni's die een site hebben die niet in FF of opera werkt, horen gespankt te worden. Hier op de UT is het niet perfect, maar er wordt wel rekening gehouden met gebruikers van alternatieve systemen
Wortelsoep @jasperwillem8 november 2006 14:28
Bij mij op de uni staat standaard overal FireFox geïnstalleerd en is IE ergens weggestopt 8-)
Outerspace Moderator General Chat + Wonen & Mobiliteit 7 november 2006 10:06
Zelf denk ik dat Microsoft wel een update uitbrengt voor a.s. dinsdag, het is nu al grootschalig nieuws in medialand. Dat betekent dat veel mensen hiervan op de hoogte zijn.
SchizoDuckie 7 november 2006 10:24
Gezellig weer dit...

In principe zit volgens mij deze bug trouwens OOK in IE7 als je de activex controls uitschakelt, aangezien de 'native' xmlhttp ondersteuning net als de rest van IE7 een hack bovenop een hoop andere hacks is...
Master ray 7 november 2006 13:56
Microsoft bevestigt dat het lek al op kleine schaal misbruikt wordt
Ik vraag me af waar ze die info vandaan hebben?
Gebruikers die het melden, dan is het mischien al op grotere schaal, maar niet gemeld?
Sibylle 7 november 2006 10:05
nou zeg, ik was er net over aan het denken om FF niet te instaleren op mijn laptop, hoewel ik er vanacht over zat te denken.
Word ik wakker lees ik dit...IE7 weer op het vertrouwde IE pad zo te zien.

Ik hoop dat ze vantevoren ff snel patch uitbrengen, IE7 heeft de plug-in toch niet nodig, dus lijkt me niet zo erg veel werk om dat nou gewoon ff te blokeren.
Controle over het systeem van de gebruiker is toch best een grote bug ja :? |:(
Anoniem: 160979 @Sibylle7 november 2006 10:07
Zoals in de tekst staat is het vooral onhandig om de plugin uit te schakelen omdat sommige sites deze plugin expliciet gebruiken. Hoewel dat niet meer nodig is in IE 7 is het natuurlijk niet zo dat al die sites nu al up-to-date zijn qua het volledig benutten van de nieuwe features.

Het is dus ook zo dat de website ontwikkelaars daar aanpassingen voor moeten doen in hun code, terwijl het nu met de toch al geinstalleerde plugin, ook werkt. Dan zou ik het dus ook niet gaan aanpassen...
CH4OS @Anoniem: 1609797 november 2006 10:38
Zoals in de tekst staat is het vooral onhandig om de plugin uit te schakelen omdat sommige sites deze plugin expliciet gebruiken.
Je website bouwen en jezelf daarbij afhankelijk maken van (extra) plug-ins is tot daar aan toe en moet ook helemaal niks uit maken, vind het dan wel weer jammer dat je jouw website afhankelijk gaat maken van zo'n plugin (al dan niet eigen of 3rd party plug-in).

Ik vind het op zich dan wel weer schandelijk, dat MS er voor heeft gekozen om die plugin beschikbaar te houden in IE7, terwijl die schijnbaar met gemak zonder kan, haal hem er dan gewoon uit in IE7, heeft die browser er in ieder geval geen last meer van... ;)

IMO verkloot je zo dus wel de standaarden (voor zover je over standaarden kan spreken) die er (momenteel) zijn voor het web... :)
Anoniem: 76438 @CH4OS7 november 2006 13:12
Ik denk niet dat hij het heeft over publiek toegankelijke websites, maar bij voorbeeld over webbased applicaties voor binnen een bedrijf. In dit geval zijn standaarden amper nog een issue, omdat je de pc's in het bedrijf kan voorzien van een plugin. Probleem nu is: met die plugin geinstaleerd ben je kwetsbaar.
alt-92 @Sibylle7 november 2006 10:07
Je hebt geen idee waar je het over hebt he?
ajpohv @Sibylle7 november 2006 10:20
offtopic:
Droom jij over FF? Ik droom over andere dingen :+


Ik wacht meestal een maandje of twee voordat ik een Microsoft product koop/installeer. Laat ze maar eens eerst hun bugs en lekken fixe. Dan kom ik wel kijken.
Toen ik IE7 installeerde was hij er na een klein uurtje weer vanaf. Geef mij dan maar liever de problemen van IE6 dan die +600% van IE7 :P
Sibylle @Sibylle7 november 2006 10:26
Ik droomde niet over FF, lag gewoon laat in bed :P Had nog niet echt veel problemen gehad met IE7, maar het geheugen verbruik irriteerde me.

Backslash, wat klets je nou? controle krijgen over het systeem van de gebruiker is van dien ernst dat MS best ff noodoplossing mag uitbrengen, gewoon plug-in blokeren of uitschakelen, een fatsoenlijke patch kan dan volgen.
De gemiddelde gebruiker weet niet eens dat dit lek bestaat, leg eens uit dan waarom iemand het recht zou hebben te wachten met een tijdelijke oplossing?
Archiebald 7 november 2006 10:04
ActiveHacks kunnen ze het beter gaan noemen...
BikkelZ @Archiebald7 november 2006 10:25
ActiveXploit
Daenney @BikkelZ7 november 2006 16:44
:+ :*)
Quacka @Archiebald7 november 2006 10:19
ActiveHax (om de x er ook in te houden..)
Anoniem: 65138 @Archiebald7 november 2006 12:02
pleonasme
nilski 7 november 2006 10:50
Misschien is het een verkeerde gedachte maar als IE nou eens geen diep verwoven onderdeel van Windows zou zijn, zouden die exploits dan niet veel minder ernstig zijn..?
Als dat zou kloppen dan vraag ik me af waarom MS niet zorgt dat IE en Windows los van elkaar zijn.
MetalStef @nilski7 november 2006 11:14
Inmiddels is dat ook zo. Helemaal zeker ben ik er niet van, maar ik had begrepen dat Vista zo gemaakt is dat het volledig zonder IE7 kan draaien, en dat IE7 een losse applicatie voor Vista is.
Sebazzz @nilski7 november 2006 14:56
Dan kunnen mensen IE verwijderen.
Froos 7 november 2006 10:07
Deze stond gister al op Secunia.
Reactie van MS: workarounds..

En vrolijk wachten wij op de patch. Beetje jammer weer dat de inhaalslag die ze gemaakt hebben met de functionaliteit weer bekocht moet worden met lekken.
Depress @Froos7 november 2006 10:10
Tuurlijk reageerd MS met workarounds, hoe willen ze een oplossing maken, deze goed en uitvoerig testen in 1 dag?
Dan geeft je gewoon een workaround zolang er geen patch is!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq