Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Extreem kritiek' lek gevonden in Internet Explorer

Onderzoekers van ISS hebben een 'extreem kritiek' lek gevonden in de XMLHTTP-plugin van Internet Explorer. Dit component verzorgt Ajax-functionaliteit en is daarom erg populair, maar het heeft tevens een vervelende bug die gebruikt kan worden om controle te krijgen over het systeem van een slachtoffer door hem alleen maar een website te laten bezoeken. Microsoft bevestigt dat het lek al op kleine schaal misbruikt wordt, maar het is nog niet duidelijk of er een oplossing komt vóór de reguliere patchdag (volgende week dinsdag). Er zijn wel tijdelijke oplossingen, zoals het uitschakelen van de specifieke plugin of het botweg niet toestaan van ActiveX.

Internet Explorer logo (75 pix)Omdat de bug zich in een plugin bevindt zijn alle versies van Internet Explorer kwetsbaar, ook de 'extra veilige' 7.0-release. De nieuwe versie van de browser heeft de XMLHTTP-plugin in principe niet meer nodig, maar sites die daar geen rekening mee houden kunnen hem alsnog proberen te gebruiken, waardoor hem verwijderen ook geen ideale oplossing is.

Door

80 Linkedin Google+

Submitter: magic31

Bron: News.com

Reacties (80)

Wijzig sortering
IE heeft een issue, en heel medialand neemt een aanloop en springt er bovenop. Vervolgens komt de klaagzang weer over security, Microsoft, IE, en ActiveX. Daarna wordt weer luidkeels voorgesteld om toch allemaal naar FireFox te gaan want jongens dat is toch zo veel beter.

Kijkt er uberhaupt wel eens iemand naar de security issues in andere browsers? Als dat breed zou worden uitgemeten surfden we alleen nog met een telnet client.
Kijkt er uberhaupt wel eens iemand naar de security issues in andere browsers? Als dat breed zou worden uitgemeten surfden we alleen nog met een telnet client.

Je kan er elke draai aan geven die je maar wilt, keiharde feit blijft gewoon dat een lek in IE betekent dat er heel veel pc's exposed zijn. Een kritiek lek in IE betekent dat er een heleboel PC gepwned kunnen gaan worden. Deze 2 dingen, plus het feit dat er gewoon duidelijk veel vaker dit soort problemen in IE/ActiveX opduiken dan in welke andere browser ook, ze vaak kritieker en makkelijker te exploiten zijn, er vaak al langer inzitten en meestal ook later worden gefixed door MS.

Alle fanboys en bashers ten spijt spreekt het track record van IE nou niet bepaald in het voordeel van de veiligheid van die browser.
Daarnaast heeft MS ook nog de reputatie van bugs enorm traag op te lossen. Wanneer we kijken naar kritieke bugs dan zien we dat de tijd tussen het ontdekken en het patchen een stuk groter is dan bij de alternatieve browsers.

En een bug in IE kan veel grotere gevolgen hebben voor het hele OS dan een bug in Fx of Opera aangezien IE verweven zit in het OS en ook in andere software zoals MS Office en de help applicatie.
Het is een beetje oorzaak -> gevolg. Omdat meer mensen schoppen tegen IE, wordt er meer op security issues gezocht en worden er ook meer virussen voor geschreven.

Een andere browser waar niet zo tegen wordt geschopt (FF), en bovendien minder populair is, zal inderdaad minder bekeken worden op issues. Door gebruikers en hackers... Dus: (kort door de bocht) ben je daar veiliger mee... :9
Als er een bug in Firefox zit hoor je dat ook van alle kanten. Laatste bijvoorbeeld met die hoax, toe stond ook overal gelijk dat FF zo lek was als een mandje.

Daar tegenover horen we nooit iets over Opera/Safari/.... lekken. Het is natuurlijk maar net hoe veel het gebruikt wordt, hoe makkelijk het uit te buiten is en hoe groot die kans is dat het uitgebuit gaan worden. Die is bij IE heel groot, dus dient M$ op te schieten met oplossingen. Iets dat andere browsermakers wel doen.
Het is een issue in de XML Core 4.0.
Deze wordt in IE door een ActiveX object benaderd maar kan ook in allerlei andere applicaties gebruikt worden. Het is dus geen IE specifieke bug maar betreft verschillende windows versies die de XML Core 4.0 gebruiken.
IE is wel de makkelijkste aanvalvector omdat het erg lastig is om een andere door bijna iedereen geinstalleerde applicatie te vinden die de XML core API gebruikt. In theorie zou echter een willekeurige FF extensie de de XML core service gebruikt ook gevoelig kunnen zijn.
Hoezo telnet, links doet het toch ook goed :+
telnet?

ssh bedoel je ;)
Kijkt er uberhaupt wel eens iemand naar de security issues in andere browsers? Als dat breed zou worden uitgemeten surfden we alleen nog met een telnet client.
Ja, er wordt wel degelijk ook gekeken naar fouten in andere browsers. En ja, die worden ook zo breed uitgemeten.

Kijk bijvoorbeeld maar eens hier.

Dus mag ik nu aannemen dat jij vandaag nog met telnet verder gaat internetten? :+

edit:
overigens zal je me niet horen roepen dat FF zoveel beter is, maar ik gebruik wel liever FF dan IE6. IE7 heb ik (nog) niet geprobeerd.
Iedereen loopt te klagen over MS, ActiveX en IE, omdat Microsoft ervoor gekozen heeft om IE onderdeel te maken van het besturingssysteem (vinden ze zelf tenminste). Daardoor is het hele besturingssysteem door dit soort lekken in gevaar, terwijl exploits van andere browsers (zoals FF) een kleinere invloed hebben...
Zoals er op Nu.nl staat dat het alle Windowsversies betreft
Het probleem zit in de zogenoemde Microsoft XML Core Services en treft alle Windowsversies, behalve Windows Server 2003.
Dat betekend dat dit al jaren kon gebeuren.
Tsja, ik zou gaan klagen over de gebruiikers dat ze dat lek niet eerder gevonden hebben...
Wanneer het bekend is, zal het misbruikt worden, dus moet je nu ineens wel actie ondernemen. Eerder actie ondernemen is niet echt mogelijk he. (eerder dan dat het bekend is)
Hoezo is het een fout van de gebruikers dat ze de bug niet eerder gevonden hebben?
Microsoft kan toch ook preventieve code-audits houden? Bij OpenBSD bijvoorbeeld gaat men ieder jaar zoveel mogelijk code nalopen op kwaliteit, en worden bugs door de developers gevonden nog voordat de gebruikers / crackers ze vinden.
Als het een kernteam van 20 onbetaalde OpenBSD-ontwikkelaars lukt dit te doen, waarom een van de grootste bedrijven ter wereld dan niet? Waarom toetsen ze zelf de code niet fatsoenlijk voordat ze hem verspreiden?

(Hint: De verwachtingspatronen van gebruikers liggen laag omdat Microsoft software hun enige referentiekader is, aangezien winst maken het enige doel van een bedrijf is, in dit geval Microsoft, boeit het niet als ze die winst ook met defecte producten kunnen bereiken).
Of je leest de post waarop je reageert helemaal :)
De bug zit in XML Core 4.0
Vista gebruikt bijvoorbeeld XML core 6.0
Op mijn XP systeem vind ik XML core 3, 4 en 6 ;)
'Behalve Windows Server 2003' is alleen maar omdat IE standaard geen ActiveX aan heeft staan in Server 2003. De XML Core Services zijn nog echter altijd lek en als de gebruiker zo suf is geweest (of mee heeft gedaan aan die 'bouw je Server 2003 om tot desktop OS'-rage) om ActiveX toch aan te zetten kunnen ze alsnog de spreekwoordelijke lul zijn.
Dan betreft het wel ontzettende losers.
Je gaat toch niet vanaf een server met je browser naar het internet ? Dat is een beheersdoodzonde !!
En dan ook nog activex activeren ? Tja, dan verdien je gewoon een virus
neen, je gaat niet met een WINDOWS server surfen. op bv: Fedora core of Debian mag je perfect surfen op je server, alleen niet als ROOT.

gelieve windows niet algemeen te nemen, ze zijn nog altijd minderwaardig in servervlak.
Dat betekend dat dit al jaren kon gebeuren.
Dat is met (bijna) alle bugs: Ze bestaan al jaren, maar ze worden pas misbruikt als ze ontdekt zijn. Evenzo kun je ze ook pas patchen als ze ontdekt zijn.

Reken voor Vista / IE7 ook op een stevige stapel bugs. Nu is dat nog geen probleem (want niemand weet er nog van), maar zolang Microsoft de term Patch Tuesday in ere kan houden, worden de bestaande bugs één voor één ontdekt en gedicht.

Ow enneh, dit geldt natuurlijk ook voor ALLE andere software. Overal zullen lekjes en foutjes in zitten, maar zolang ze niet ontdekt zijn, kunnen ze niet gefixt of misbruikt worden.
@MetalStef:

Het kan niet vaak genoeg gezegd worden: Dit geldt voor ALLE software ooit gemaakt en alle software in de toekomst.

Het is dus ook niet verwonderlijk dat er nog regelmatig bugs gevonden worden in een onderdeel van Windows. Gezien het aantal onderdelen van Windows en het aantal mensen die eraan meegewerkt hebben. Iedereen heeft wel eens een maandag waarop hij/zij lag te slapen.

@pluizje:

Kom niet met die conspiracy theorieen zonder in ieder geval iets van bewijs te geven.

En kijk voor de gein ook even naar de luchtvaart industrie. Daar zijn ze vaak zelfs op de hoogte van problemen die mensenlevens kunnen kosten, maar als uit een kosten/baten analyse blijkt dat het beter is om het maar te laten zitten dan laten ze het zitten.

Het klinkt erg hard om geld aan een mensenleven te hangen, maar deden ze dit niet dan kon niemand het betalen om te vliegen.

Vergelijk het met de dode pixels in TFT schermen, jaren lang was het heel normaal omdat als je alle schermen moest weggooien met dooie pixels niemand meer een TFT scherm kon betalen.

Leven in een utopie is niet realistisch ;)
Sommige bedrijven (weet niet of het ook voor Microsoft geldt) heel erg bewust zijn van bepaalde lekken. Ze weten precies waar ze zitten, maar nemen niet de moeite om er iets aan te doen tot er misbruik van gemaakt wordt. Dan pas gaan ze er geld in stoppen om het op te lossen.
zolang 85% van de internetters IE gebruikt, is een lek in IE big news. Daarnaast is het tegenwoordig ook elke keer raak met ActiveX en de lompe methode van het uitzetten, zorgt voor problemen met sites.

Het wijzen op alternatieve browsers is dan ook helemaal terecht want het merendeel van de gebruikers weet gewoon niet beter (nee niet de tweakers) en hanteert de definitie "IE = internet".
En zolang IE zo dominant is, is het meer rendabel om daar exploits voor te maken dan voor de alternatieven.
Het is niet alleen "tegenwoordig" elke keer raak met ActiveX. ActiveX is al een probleem sinds het bestaat. Ik heb trouwens nog nauwelijks problemen met sites als ik Firefox of Opera gebruik. Dat was een paar jaar geleden wel anders, dus het advies om een andere browser te gebruiken vind ik wel degelijk plausibel.
Er zijn helaas ook nog een hoop websites in de bedrijfssferen en op Uni's en overige hoger onderwijs, waarbij je niet met FF moet proberen er in de buurt te komen.
Uni's die een site hebben die niet in FF of opera werkt, horen gespankt te worden. Hier op de UT is het niet perfect, maar er wordt wel rekening gehouden met gebruikers van alternatieve systemen
Bij mij op de uni staat standaard overal FireFox geïnstalleerd en is IE ergens weggestopt 8-)
Zelf denk ik dat Microsoft wel een update uitbrengt voor a.s. dinsdag, het is nu al grootschalig nieuws in medialand. Dat betekent dat veel mensen hiervan op de hoogte zijn.
Gezellig weer dit...

In principe zit volgens mij deze bug trouwens OOK in IE7 als je de activex controls uitschakelt, aangezien de 'native' xmlhttp ondersteuning net als de rest van IE7 een hack bovenop een hoop andere hacks is...
Microsoft bevestigt dat het lek al op kleine schaal misbruikt wordt
Ik vraag me af waar ze die info vandaan hebben?
Gebruikers die het melden, dan is het mischien al op grotere schaal, maar niet gemeld?
nou zeg, ik was er net over aan het denken om FF niet te instaleren op mijn laptop, hoewel ik er vanacht over zat te denken.
Word ik wakker lees ik dit...IE7 weer op het vertrouwde IE pad zo te zien.

Ik hoop dat ze vantevoren ff snel patch uitbrengen, IE7 heeft de plug-in toch niet nodig, dus lijkt me niet zo erg veel werk om dat nou gewoon ff te blokeren.
Controle over het systeem van de gebruiker is toch best een grote bug ja :? |:(
Zoals in de tekst staat is het vooral onhandig om de plugin uit te schakelen omdat sommige sites deze plugin expliciet gebruiken. Hoewel dat niet meer nodig is in IE 7 is het natuurlijk niet zo dat al die sites nu al up-to-date zijn qua het volledig benutten van de nieuwe features.

Het is dus ook zo dat de website ontwikkelaars daar aanpassingen voor moeten doen in hun code, terwijl het nu met de toch al geinstalleerde plugin, ook werkt. Dan zou ik het dus ook niet gaan aanpassen...
Zoals in de tekst staat is het vooral onhandig om de plugin uit te schakelen omdat sommige sites deze plugin expliciet gebruiken.
Je website bouwen en jezelf daarbij afhankelijk maken van (extra) plug-ins is tot daar aan toe en moet ook helemaal niks uit maken, vind het dan wel weer jammer dat je jouw website afhankelijk gaat maken van zo'n plugin (al dan niet eigen of 3rd party plug-in).

Ik vind het op zich dan wel weer schandelijk, dat MS er voor heeft gekozen om die plugin beschikbaar te houden in IE7, terwijl die schijnbaar met gemak zonder kan, haal hem er dan gewoon uit in IE7, heeft die browser er in ieder geval geen last meer van... ;)

IMO verkloot je zo dus wel de standaarden (voor zover je over standaarden kan spreken) die er (momenteel) zijn voor het web... :)
Ik denk niet dat hij het heeft over publiek toegankelijke websites, maar bij voorbeeld over webbased applicaties voor binnen een bedrijf. In dit geval zijn standaarden amper nog een issue, omdat je de pc's in het bedrijf kan voorzien van een plugin. Probleem nu is: met die plugin geinstaleerd ben je kwetsbaar.
Je hebt geen idee waar je het over hebt he?
offtopic:
Droom jij over FF? Ik droom over andere dingen :+


Ik wacht meestal een maandje of twee voordat ik een Microsoft product koop/installeer. Laat ze maar eens eerst hun bugs en lekken fixe. Dan kom ik wel kijken.
Toen ik IE7 installeerde was hij er na een klein uurtje weer vanaf. Geef mij dan maar liever de problemen van IE6 dan die +600% van IE7 :P
Ik droomde niet over FF, lag gewoon laat in bed :P Had nog niet echt veel problemen gehad met IE7, maar het geheugen verbruik irriteerde me.

Backslash, wat klets je nou? controle krijgen over het systeem van de gebruiker is van dien ernst dat MS best ff noodoplossing mag uitbrengen, gewoon plug-in blokeren of uitschakelen, een fatsoenlijke patch kan dan volgen.
De gemiddelde gebruiker weet niet eens dat dit lek bestaat, leg eens uit dan waarom iemand het recht zou hebben te wachten met een tijdelijke oplossing?
ActiveHacks kunnen ze het beter gaan noemen...
ActiveHax (om de x er ook in te houden..)
Misschien is het een verkeerde gedachte maar als IE nou eens geen diep verwoven onderdeel van Windows zou zijn, zouden die exploits dan niet veel minder ernstig zijn..?
Als dat zou kloppen dan vraag ik me af waarom MS niet zorgt dat IE en Windows los van elkaar zijn.
Inmiddels is dat ook zo. Helemaal zeker ben ik er niet van, maar ik had begrepen dat Vista zo gemaakt is dat het volledig zonder IE7 kan draaien, en dat IE7 een losse applicatie voor Vista is.
Dan kunnen mensen IE verwijderen.
Wat ik me wel eens afvraag: gebruikt een bedrijf serieus nog full blown ActiveX apps/progsels in zijn of haar website? (nou ja, misschien een bedrijfsintranet?)

Je zou jezelf wel 1000x bedenken na de zoveelste ActiveX exploit...
de updatepagina van microsoft :Y) (en het is nog waar ook :) )
Ja, bedrijven doen dat... Bedrijven willen hun werk zo goed en snel mogelijk kunnen doen in hun browser (als ze daar eerst voor gekozen hebben), maar zo goed en snel mogelijk in hun eigen ogen (in Intranetten, maar ook in publieke websites). Dit betekent dat ze soms adviezen om bepaalde zaken niet te willen in de wind slaan en gewoon de opdracht geven om het toch te maken.

Zolang er bedrijven zijn die het advies van bijvoorbeeld een webdevelopment bureau in de wind slaan, zullen er ook applicaties ontwikkeld worden die gebruik maken van ActiveX. Sommige dingen zijn nu eenmaal niet mogelijk zonder ActiveX of kosten te veel tijd om ze op een andere manier voor elkaar te krijgen ;)

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*