Microsoft publiceert tussentijdse patch voor IE-lek

Microsoft heeft aangekondigd dat het woensdag een tussentijdse patch zal uitbrengen voor een kritiek lek in diverse uitvoeringen van Internet Explorer. De update zal voor alle Windows-versies verschijnen.

Het is de tweede maal dit jaar dat Microsoft een zogenaamde out-of-cycle-patch voor een urgent veiligheidslek uitbrengt. De nieuwe update moet een als kritiek aangemerkte bug in IE verhelpen, die het mogelijk maakt dat gebruikers ongemerkt besmet raken met malware. De update zal automatisch via Windows Update gedistribueerd worden. Naast het uitbrengen van een noodverband, zal Microsoft ook twee webcasts verzorgen om vragen van IE-gebruikers te beantwoorden.

Aanvankelijk leken vooral Chinese IE-gebruikers getroffen te worden door exploits die het beveiligingslek misbruiken. De afgelopen dagen werden echter ook een grote Taiwanese zoekmachine, de website van Abit en diverse pornosites besmettingshaarden. Beveiligingsbedrijf Sophos meldt dat momenteel dagelijks ongeveer twintigduizend nieuwe webpagina's worden aangetast door exploitcode. Microsoft schat dat wereldwijd inmiddels een op de vijfhonderd IE-gebruikers door het lek met malware mogelijk besmet is geraakt. Microsoft heeft een aantal oplossingen voor Internet Explorer-gebruikers gegeven om besmetting te voorkomen, maar veel beveiligingsfirma's raden aan om een alternatieve browser te gebruiken tot de patch is geïnstalleerd.

IT-banen

Reacties (60)

Puppetmaster 17 december 2008 09:59

Over welke versie van IE gaat dit, 7 of ook alle voorgaande?
Zit hier op mn werk nog lekker met IE6

sopsop @Puppetmaster • 17 december 2008 10:00

Alle versies van IE: nieuws: Microsoft: alle IE-versies kwetsbaar voor aanvallen door bug

Ram0n @Puppetmaster • 17 december 2008 10:14

Zou je dan alsjeblieft willen aandringen over te stappen op IE7? Liefst een andere browser, maar IE7 zou al fijn zijn. Dit is namelijk nou precies de reden waarom webdevelopers nog véél te lang rekening moeten houden met de rare fratsen van IE6...

Verder is het wel prima dat MicroSoft snel een patch uitbrengt, want één op de vijfhonderd is zeer veel!

Little Penguin

Browsers

@Ram0n • 17 december 2008 10:33

Zou je dan alsjeblieft willen aandringen over te stappen op IE7?

Heb je wel eens bedacht dat niet iedereen die keuze heeft?

Soms worden zaken als upgrades centraal geregeld en kan de gebruiker daar verder niets tegen doen. Dat zoiets heel vervelend is voor webdevelopers dat snap ik, maar je moet er mee leren leven.

(Niet dat ik IE6 nog topaandacht geef, zeker niet op persoonlijke sites).

mullah @Little Penguin • 17 december 2008 11:00

Iedereen die niet die keuze heeft dient te worden beschermd tegen dit soort malware door de mensen die de keuze maken, daar heb je IT afdelingen voor die centraal dit soort beslissingen nemen

En als je bijvoorbeeld nu ergens werkt waar ze je nog steeds in msie6 houden moet je misschien eens bij de OR/managers/IT vragen of er wat aan gedaan kan worden

Ram0n @Little Penguin • 17 december 2008 12:19

Vandaar dat ik vraag of hij daarop wil aandringen, bij de IT-afdeling dus

Uiteraard kan niet elke werknemer zelf kiezen welke browser hij gebruikt, maar het is onlogisch voor een bedrijf om bewust voor IE6 te kiezen i.p.v. IE7

sopsop @Ram0n • 17 december 2008 14:04

Niet helemaal. Er zijn gefundeerde redenen mogelijk om de overstap naar IE7 nog niet te doen. Veelal heeft dit te maken met intranetapplicaties die niet onder IE7 willen draaien.

Verwijderd 17 december 2008 09:54

Eigenlijk zou er eens een team moeten worden opgericht van gebruikers en specialisten die de veiligheid van IE testen.

Rixard @Verwijderd • 17 december 2008 13:01

Eigenlijk zou er eens een team moeten worden opgericht van gebruikers en specialisten die de veiligheid van IE testen.

Internet Explorer wordt natuurlijk al getest op veiligheid. IE heeft zelfs (veel) minder lekken dan Fx! Als je veilig wilt surfen is IE toch nog steeds een van de betere keuzes. Veel mensen hier hebben last van cognitieve dissonantie als het om Microsoft producten gaat.

bronnen:
http://www.security.nl/ar...ke_software_van_2008.html
http://www.mozilla.org/se...ox20.html#firefox2.0.0.19
http://www.mozilla.org/se...rabilities/firefox30.html

[Reactie gewijzigd door Rixard op 27 juli 2024 01:36]

Little Penguin

Browsers

@Rixard • 17 december 2008 13:08

Internet Explorer wordt natuurlijk al getest op veiligheid. IE heeft zelfs (veel) minder lekken dan Fx! Als je veilig wilt surfen is IE toch nog steeds een van de betere keuzes.

Je refereert naar een bepaald onderzoek, maar in dat onderzoek wordt IE bewust buiten de boot gehouden (omdat deze via automatic updates van MSwindows bijgewerkt wordt) - zo kan ik het ook...

Verder vergeet je te vermelden dat Mozilla betrekkelijk open is in het melden van fouten - ook al ontdekt men ze zelf...

The_DoubleU @Rixard • 17 december 2008 14:32

Lees de bron dan. http://www.bit9.com/files/Vulnerable_Apps_DEC_08.pdf

Programma's die in die lijst staan moeten voldoen aan een paar voorwaarden.
Punt 5 en 6 zou IE uit kunnen sluiten.

5)Relies on the end user,rather than a
central administrator,to manually patch
or upgrade the software to eliminate the
vulnerability,if such a patch exists.

6)The application cannot be automatically
and centrally updated via free Enterprise
tools such as Microsoft SMS & WSUS.

Verwijderd @Verwijderd • 17 december 2008 10:05

Wie denk je dat deze gerapporteerde bug toetst en een oplossing bedenkt?

xzaz @Verwijderd • 17 december 2008 10:10

Waar denk je dat de Beta fase van het product voor wordt gebruikt?

Rex @xzaz • 17 december 2008 10:40

Nou alles behalve waarvoor een beta bedoelt is!
Beta's zijn namelijk bedoelt om bugs te vinden in producten die nog niet helemaal klaar zijn. Veel bedrijven gebruiken het woord beta de laatste tijd alleen maar omdat het "hot" is.

Hyronymus @Rex • 17 december 2008 12:08

Enig idee hoeveel beta's je nodig hebt om alle bugs op te sporen?

Het is een illusie om software bugvrij te kunnen uitgeven. En zelfs als dat lukt is het geen garantie dat exploits (iets anders dan bugs imo) voorkomen. Hackers worden inventiever, andere software die draait in IE (Java bijv.) verandert.

Munters @Rex • 17 december 2008 13:37

Met testen zijn enkel fouten aan te tonen.
De correcte werking van een produkt is per definitie niet aan te tonen door testen.
(Je kunt ook niet door zoeken aantonen dat er geen paarse muizen bestaan).

tijgetje57 @Rex • 18 december 2008 10:27

Beta wordt niet alleen maar gebruikt omdat het HOT is.

Beta wordt gebruikt om de verantwoordelijkheid af te schuiven. Zodat de producer van een bepaald stukje software nergens voor aansprakelijk gesteld kan worden.

Kijk maar naar Google, not liable bla, bla, bla

http://www.scroogle.org/cgi-bin/scraper.htm (alternatief)

PolarBear @Verwijderd • 17 december 2008 10:01

En dat is er niet intern bij Microsoft? Zelfs in Firefox en Linux (om 2 open source projecten te noemen met een grote community) hebben nog steeds bugs. In IE is de impact net wat groter (grote userbase en architectuur van het OS en de applicatie zijn de 2 grote factoren).

Grauw @PolarBear • 17 december 2008 13:08

Grote user base hebben ze niet in de hand, architectuur van de applicatie natuurlijk wel

.

Overigens is de user base van Firefox tegenwoordig ook erg groot hoor, in Europa zo’n 30% (tegen 60% van IE) en dat is ook niet niks. In sommige landen is het zelfs groter dan Internet Explorer, Nederland blijft helaas wat achter. En architectuur van het OS hebben andere browsers (op Windows) natuurlijk net zo goed mee te maken.

Als je zegt dat de impact ‘net wat groter’ is, moet dan dan ook wel met de nadruk op ‘net’, denk ik.

The_DoubleU 17 december 2008 10:31

een op de vijfhonderd IE-gebruikers door het lek met malware besmet is geraakt

Als je dan bedenkt dat IE gebruik ongeveer 70 - 80% is van alle web gebruikers dan is dat nogal wat. Dat kan een mooi bot netje worden.

Daarom is het ook beter als er een goede browser verdeling komt. Als de 3 grote browsers nu eens 25% hebben, en 25% voor de rest, dan worden de websites gemaakt voor elk type en kan je makkelijker (tijdelijk) overstappen.

Heeft MS of een ander bedrijf dan ook al een fix om de malware op te ruimen?

Verwijderd @The_DoubleU • 17 december 2008 10:41

Het gekke is dat het MS bericht spreekt 0,2% die in aanraking zijn gekomen met besmette pagina's

Het is raar dat dit in het artikel wordt vertaald naar "besmet is geraakt".

Zelfs als je een besmette pagina tegenkomen is het mogelijk zo dat de exploit niet bij je werkt of dat je virusscanner de malware detecteert.

Sjah @The_DoubleU • 17 december 2008 13:29

dan worden de websites gemaakt voor elk type en kan je makkelijker (tijdelijk) overstappen [quote]

Dat is al zo, bijna alles wordt ook voor Firefox en Safari gemaakt, je kan dus gerust overstappen, ik zelf heb het al 4 jaar terug gedaan. Toen IE 95 procent of meer had, in 2002, toen had je een punt, nu is er bijna geen enkel probleem. En kom je toch een (ruk) site tegen die IE nodig heeft, dan start je die toch even op?

sopsop @Roorensu • 17 december 2008 10:04

Mag ik je erop attenderen dat ook een Firefox steken laat vallen op het gebied van de beveiliging. Kijk bijvoorbeeld hier: http://www.mozilla.org/se...rabilities/firefox30.html

Sommige mensen willen alleen maar zien wat ze willen zien.

Little Penguin

Browsers

@sopsop • 17 december 2008 11:05

Met het verschil dat Mozilla het streven heeft om binnen 10 (werk)dagen de publiek geworden* exploits bij de gebruiker gepatched te hebben.

Verder is men betrekkelijk open in het melden van lekken die Mozilla zelf ontdekt. Het is misschien niet commercieel om dat te doen, maar de gebruiker weet wel waar hij/zij aan toe is.

In hoeverre Microsoft op eenzelfde manier werkt is voor mij altijd weer de vraag...

Edit:
*: Als een exploit alleen bij Mozilla bekend is, dan is het minder urgent - maar als de exploit reeds in het wild opgedoken is en breed misbruikt wordt zit met volgens mij toch aardig in de buurt van die 10 dagen...

[Reactie gewijzigd door Little Penguin op 27 juli 2024 01:36]

sopsop @Little Penguin • 17 december 2008 11:21

Mooi streven. Gemiddeld zitten ze op drie weken voor kritieke bugs, en dat is gemeten over drie jaar. Maar 1/3 van de kritieke bugs worden in 10 dagen opgeleverd.

PolarBear @Roorensu • 17 december 2008 10:02

Microsoft heeft veel steken laten vallen met Windows Vista en Internet Explorer 7.

Welke dan? Dat er bugs in zitten? Ik gebruik al dik een jaar Vista en ik kan er prima mee werken. Niet alles wat anders geregeld is vind ik direct klote en de schuld van Vista.

edwingr @PolarBear • 17 december 2008 10:57

Een belangrijk veiligheidslek als "anders geregeld" bestempelen gaat me wat ver

SuperDre @Roorensu • 18 december 2008 10:15

Uhm.. firefox zit ook vol met beveiligingslekken, dat is inmiddels wel gebleken.. qua beveiliging is IE behoorlijk goed.. Elk OS heeft zo zijn lekken, ook Linux en OSX, maar als tuurlijk zul je het meeste horen over het meest gebruikte OS, ofwel Windows..

webhalla @Albert020 • 18 december 2008 00:55

Yep voel je veilig met firefox of opera.
<knip van http://isc.sans.org/diary.html?storyid=5512 >
Is this browser patch day?
We have a patch coming out for IE today.
http://isc.sans.org/diary.html?storyid=5506
Firefox released an upgrade yesterday that addressed several security issues
http://isc.sans.org/diary.html?storyid=5506
Opera has released a new version to address security issues.
http://www.opera.com/docs/changelogs/windows/963/
Opera 9.63 was just released. It addresses the following security issues.
Manipulating text input contents can allow execution of arbitrary code, as reported by Red XIII.
HTML parsing flaw can cause Opera to execute arbitrary code, as reported by Alexios Fakos.
Long hostnames in file: URLs can cause execution of arbitrary code, as reported by Vitaly McLain.
Script injection in feed preview can reveal contents of unrelated news feeds, as reported by David Bloom.
Built-in XSLT templates can allow cross-site scripting, as reported by Robert Swiecki of the Google Security Team.
Fixed an issue that could reveal random data, as reported by Matthew of Hispasec Sistemas.
SVG images embedded using <img> tags can no longer execute Java or plugin content, suggested by Chris Evans.
</knip van sans>
<buglijst van ff waaronder critische>
Fixed in Firefox 2.0.0.19
MFSA 2008-69 XSS vulnerabilities in SessionStore
MFSA 2008-68 XSS and JavaScript privilege escalation
MFSA 2008-67 Escaped null characters ignored by CSS parser
MFSA 2008-66 Errors parsing URLs with leading whitespace and control characters
MFSA 2008-65 Cross-domain data theft via script redirect error message
MFSA 2008-64 XMLHttpRequest 302 response disclosure
MFSA 2008-62 Additional XSS attack vectors in feed preview
MFSA 2008-61 Information stealing via loadBindingDocument
MFSA 2008-60 Crashes with evidence of memory corruption (rv:1.9.0.5/1.8.1.19)
</buglijst>

[Reactie gewijzigd door webhalla op 27 juli 2024 01:36]

Blokker_1999

Malware
Microsoft
Internet
Netwerk en systeembeheer
Browsers

17 december 2008 10:05

Wel positief dat ze deze patch zo snel uitbrengen en niet wachten tot de volgende patch tuesday. Vind het al lang spijtig dat ze elke maand de patches opsparen en niet releasen wanneer ze klaar zijn.

Niemand_Anders

Beveiliging

@Blokker_1999 • 17 december 2008 10:30

Dat komt natuurlijk ook deels door de architectuur van Windows waarbij helaas nogal snel een herstart nodig is en de grote hoeveelheid patches welke Microsoft uitbrengt.

Ook de Linux distributies hebben meerdere updates per week waarvan van de week nog een 2.6 kernel update waarin een aantal local exploits zijn opgelost. Mijn linux workstation heeft veel minder reboots nodig vanwege de betere kernel/userspace seperatie in Linux. Microsoft heeft dat ook geprobeert met Vista, maar toen begonnen de AV bedrijven te zuren dat zij geen kernel toegang hadden (muv van enkele api's)..

Maar de patches bijvoorbeeld elke 14 dagen releasen zou volgens mij wel mogelijk moeten zijn.. En als je de meeste advisories van de bugs leest, stellen de meeste eigenlijk ook niet zoveel voor. En bugs met een zeer grote impact worden wel direct gereleased zoals deze.

mjtdevries @Niemand_Anders • 17 december 2008 12:19

Voor Microsoft is het geen enkel probleem om elke 14 dagen te releasen.

Maar het is juist op verzoek van de grote klanten dat ze het één keer per maand doen. Bij grote bedrijven is er vaak maar weinig tijd per maand beschikbaar waarop een server even onbeschikbaar mag zijn voor onderhoud.

Soms moet je keihard vechten om 1 zaterdag per maand te claimen waarin je dat soort zaken kan plannen.

En dan ligt het nog niet eens zozeer aan de herstarts. Maar elke wijziging brengt ook een risico mee. Dus moet er na een wijziging ook goed getest worden om alles nog wel goed functioneert voor je weer productie gaat draaien.

SuperNull @Niemand_Anders • 17 december 2008 12:38

Het lijkt me beslist niet dat AV bedrijven de rem zijn op een goede rootspace/userspace indeling in Windows. Je kan immers echt alles installeren wat je wil.
Het lijkt me meer dat;

- Nogal wat userspace software makers ranzig werk afleveren en gewent zijn om overal schrijfrechten te hebben. Ik denk vooral terug aan een scanner driver van HP from hell die echt alleen werkt als je Adminstrator bent voor XP/2K. Goed werk!
Heel veel andere software verwachtte (pre-Vista) dat het altijd naar zijn eigen install dir kan schrijven. Dit is funest als je goede rights management wil opzetten.

- Gebruikers het hele rootspace/userspace concept niet snappen en in plaats van de rechten goed opzetten het gewoon uitschakelen en dus altijd als Admin draaien.

- DRM acceptabel is. Je geeft met DRM alles wat je installed low level toegang tot alles. Daar gaat je security model.....

Is dit op te lossen uiteindelijk? Gedeeltelijk misshien.
Een argument voor een software boer om Windows-only te blijven is dat je echt alle DRM kan installeren die je wil.
Binnen een OS met een 'prefecte security model' (voor zover dat kan) is geen plaats voor DRM omdat een programma echt alleen maar toegang heeft tot dingen die echt nodig zijn voor het functioneren. Dingen als SecuRom of whatever kunnen niet.
Ik ben bang dat comerciele motieven (mogelijheid tot DRM) voorang zullen blijven hebben op de veiligheid van de gemiddelde gebruiker (een goed werkende security model). Hopelijk heb ik ongelijk.

[Reactie gewijzigd door SuperNull op 27 juli 2024 01:36]

Verwijderd 17 december 2008 10:08

Wat me wel zorgen baart is dat deze malware verspreiders in staat zijn om dagelijks 20.000 websites te hacken. Dat is echt schokkend veel.

Blijkbaar zijn echt enorm veel websites lek en daar wordt natuurlijk in dit kader natuurlijk helemaal niets gepatched.

Verwijderd @Verwijderd • 17 december 2008 11:01

Heel vaak zijn het jaren oude exploits en incompetente/luie systeembeheerders die dit veroorzaken

Verwijderd @Verwijderd • 17 december 2008 12:05

Het geeft toch echter te denken dat dat jaren later nog 20.000 websites per dag (!) aan hacks kan opleveren.
Dat suggereert in mijn ogen dat misschien wel 5% of 10% of zelfs 15% van alle websites potentieel op iedere moment gehacked kunnen worden.

Little Penguin

Browsers

@Verwijderd • 17 december 2008 13:15

Op het moment dat 1 host wel 5000 sites kan bevatten dan kan het best zijn dat je met een paar hosts aan een groot aantal websites komt.

Dat zegt niets over het totaal aantal websites dat besmet kan raken....

Milt @Verwijderd • 17 december 2008 13:23

Ik denk dat het er wel meer zijn... Ik kom het nog bijna dagelijks tegen. Geregeld probeer ik het uit bij websites die ik gewoon bezoek. Een groot deel van de websites is minstens vatbaar voor XSS attacks (in erge of minder erge vorm). Een iets minder groot aantal maar toch altijd nog aanzienlijk aantal is vatbaar voor SQL injectie. En dat is eigenlijk nog gevaarlijker dan XSS. En dan test ik nog niet eens op XSRF want ik denk dat het aantal websites dat daarvoor vatbaar is nog vele malen hoger ligt (exploit kans is weliswaar minder groot).

SunnieNL

17 december 2008 10:12

Hoe kunnen grote websites zoals een zoekmachine en Abit nou een besmettingshaard worden? Dan is er ook iets niet in orde met hun beveiliging van de websites

(en voordat iemand nou roept dat dat dan wel zal draaien op IIS.. .Abit draait apache... zie netcraft)

** mmm.. net te laat

[Reactie gewijzigd door SunnieNL op 27 juli 2024 01:36]

Little Penguin

Browsers

@SunnieNL • 17 december 2008 10:41

OK, olie en vuur

Ik hap toe

http://toolbar.netcraft.c...rl=http://www.abit.com.cn

Waar draait www.abit.com.cn op sinds 30 april 2008? En voor zover ik begrepen heb is dat ook het domein dat één van de besmettingshaarden is...

Nu geef ik gelijk toe dat ook een site die draait op Apache + Linux ook als besmettingshaard kan werken hoor. Het is voldoende om een FTP- en/of shell-account te hebben met een gemakkelijk te raden wachtwoord - je hebt dan niet eens een lek systeem nodig....

[N.B. volgens NetCraft draait www.abit.com.cn dus op IIS...]

Verwijderd @Little Penguin • 17 december 2008 11:56

Ah, het gaat om de chinese site van abit.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 01:36]

Lizard

@Verwijderd • 17 december 2008 12:01

en als je www.abit.com.cn invult:

URL: http://www.abit.com.cn
Web Server: Microsoft-IIS/6.0

SunnieNL

@Lizard • 17 december 2008 17:49

ah ja.. ik ging ook min of meer uit van www.abit.com.tw

Milt @SunnieNL • 17 december 2008 13:30

De server software is in mindere mate bepalend hiervoor. Veel methodes (al dan niet in enigzinds gewijzigde vorm) om website te hacken werken op zowel IIS als Apache, of beter gezegd op zowel ASP als PHP. Ze misbruiken namelijk fouten in de webapplicatie zelf en niet zozeer in de server software of de scripttaal. Net zoals je op de desktop een verschuiving ziet van exploits van het OS naar de applicaties, zie je dat op websites ook.

Overigens hebben IIS 6 en IIS 7 een uitstekend trackrecord wat betreft beveiligingsproblemen. Aanzienlijk beter zelfs dan Apache 2.x.x (afgaande op het aantal Secunia advisories).

Verwijderd 17 december 2008 11:54

ik vind dit niet echt nieuwswaardig. het is bekend dat internet explorer en windows os gevoelig zijn voor virussen. versies van beide maakt niet uit. het blijf "flawed-by-design". bijvoorbeeld UAC dat iedereen uitzet omdat het vervelend is en de active-x koppeling van internet explorer waarbij iedereen de bescherming ("thrusted sites") ook uitzet omdat anders sommige leuke websites niet meer werken.

wel goed dat microsoft zo snel is met een pleister cq noodverband. laat ik de hoop uitspreken dat het bloeden voor eens en altijd gestelpt zal zijn!

Verwijderd @Verwijderd • 17 december 2008 12:02

bijvoorbeeld UAC dat iedereen uitzet omdat het vervelend is

Speak for yourself.
Ik heb het gewoon aanstaan.

Demoterror @Verwijderd • 17 december 2008 13:15

Uitzondering op de regel zal je altijd hebben.
Het merendeel van de mensen klikt het allemaal maar gewoon weg want ze kunnen niet doen wat ze ongestoord willen doen, internetten.

Denk trouwens dat MS ook zeker niet blij is met alle firma's die nu aanraden om tijdelijk een andere browser te gebruiken.
Mensen zullen dan eerder geneigd zijn om bij hun nieuwe browser te blijven hangen, zeker aangezien die momenteel als veiliger worden beschouwt.

Milt @Verwijderd • 17 december 2008 13:37

Wat is in dit geval de design flaw dan volgens jou ? Wat kan het OS er volgens jou aan doen dat door een bug/exploit in een applicatie de aanvaller code kan uitvoeren onder de rechten waar die applicatie onder draait ? En laten we er dan vanuit gaan dat dit geen administrator/root rechten zijn.

Verwijderd 18 december 2008 09:30

Het vervelende van dit soort problemen over veiligheid is nog altijd de eindgebruiker. op het werk kunnen ze niets anders dan gebruik maken van de instellingen zoals die verstrekt zijn omdat ze er niets aan kunnen veranderen maar het merendeel van de "normale" computergebruikers gebruikt thuis de administrator account als standaard. Lekker geen gezeur over wachtwoorden of onvoldoende rechten om iets te kunnen.

Dus is veiligheid helaas erg relatief.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (60)

Sorteer op:

Weergave: