Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 60 reacties

Microsoft heeft aangekondigd dat het woensdag een tussentijdse patch zal uitbrengen voor een kritiek lek in diverse uitvoeringen van Internet Explorer. De update zal voor alle Windows-versies verschijnen.

Het is de tweede maal dit jaar dat Microsoft een zogenaamde out-of-cycle-patch voor een urgent veiligheidslek uitbrengt. De nieuwe update moet een als kritiek aangemerkte bug in IE verhelpen, die het mogelijk maakt dat gebruikers ongemerkt besmet raken met malware. De update zal automatisch via Windows Update gedistribueerd worden. Naast het uitbrengen van een noodverband, zal Microsoft ook twee webcasts verzorgen om vragen van IE-gebruikers te beantwoorden.

Aanvankelijk leken vooral Chinese IE-gebruikers getroffen te worden door exploits die het beveiligingslek misbruiken. De afgelopen dagen werden echter ook een grote Taiwanese zoekmachine, de website van Abit en diverse pornosites besmettingshaarden. Beveiligingsbedrijf Sophos meldt dat momenteel dagelijks ongeveer twintigduizend nieuwe webpagina's worden aangetast door exploitcode. Microsoft schat dat wereldwijd inmiddels een op de vijfhonderd IE-gebruikers door het lek met malware mogelijk besmet is geraakt. Microsoft heeft een aantal oplossingen voor Internet Explorer-gebruikers gegeven om besmetting te voorkomen, maar veel beveiligingsfirma's raden aan om een alternatieve browser te gebruiken tot de patch is geïnstalleerd.

Moderatie-faq Wijzig weergave

Reacties (60)

Over welke versie van IE gaat dit, 7 of ook alle voorgaande?
Zit hier op mn werk nog lekker met IE6 :)
Zou je dan alsjeblieft willen aandringen over te stappen op IE7? Liefst een andere browser, maar IE7 zou al fijn zijn. Dit is namelijk nou precies de reden waarom webdevelopers nog véél te lang rekening moeten houden met de rare fratsen van IE6...

Verder is het wel prima dat MicroSoft snel een patch uitbrengt, want één op de vijfhonderd is zeer veel!
Zou je dan alsjeblieft willen aandringen over te stappen op IE7?
Heb je wel eens bedacht dat niet iedereen die keuze heeft?

Soms worden zaken als upgrades centraal geregeld en kan de gebruiker daar verder niets tegen doen. Dat zoiets heel vervelend is voor webdevelopers dat snap ik, maar je moet er mee leren leven.

(Niet dat ik IE6 nog topaandacht geef, zeker niet op persoonlijke sites).
Iedereen die niet die keuze heeft dient te worden beschermd tegen dit soort malware door de mensen die de keuze maken, daar heb je IT afdelingen voor die centraal dit soort beslissingen nemen

En als je bijvoorbeeld nu ergens werkt waar ze je nog steeds in msie6 houden moet je misschien eens bij de OR/managers/IT vragen of er wat aan gedaan kan worden
Vandaar dat ik vraag of hij daarop wil aandringen, bij de IT-afdeling dus :) Uiteraard kan niet elke werknemer zelf kiezen welke browser hij gebruikt, maar het is onlogisch voor een bedrijf om bewust voor IE6 te kiezen i.p.v. IE7
Niet helemaal. Er zijn gefundeerde redenen mogelijk om de overstap naar IE7 nog niet te doen. Veelal heeft dit te maken met intranetapplicaties die niet onder IE7 willen draaien.
Eigenlijk zou er eens een team moeten worden opgericht van gebruikers en specialisten die de veiligheid van IE testen.
Eigenlijk zou er eens een team moeten worden opgericht van gebruikers en specialisten die de veiligheid van IE testen.
Internet Explorer wordt natuurlijk al getest op veiligheid. IE heeft zelfs (veel) minder lekken dan Fx! Als je veilig wilt surfen is IE toch nog steeds een van de betere keuzes. Veel mensen hier hebben last van cognitieve dissonantie als het om Microsoft producten gaat.

bronnen:
http://www.security.nl/ar...ke_software_van_2008.html
http://www.mozilla.org/se...ox20.html#firefox2.0.0.19
http://www.mozilla.org/se...rabilities/firefox30.html

[Reactie gewijzigd door Rixard op 17 december 2008 13:07]

Internet Explorer wordt natuurlijk al getest op veiligheid. IE heeft zelfs (veel) minder lekken dan Fx! Als je veilig wilt surfen is IE toch nog steeds een van de betere keuzes.
Je refereert naar een bepaald onderzoek, maar in dat onderzoek wordt IE bewust buiten de boot gehouden (omdat deze via automatic updates van MSwindows bijgewerkt wordt) - zo kan ik het ook...

Verder vergeet je te vermelden dat Mozilla betrekkelijk open is in het melden van fouten - ook al ontdekt men ze zelf...
Lees de bron dan. http://www.bit9.com/files/Vulnerable_Apps_DEC_08.pdf

Programma's die in die lijst staan moeten voldoen aan een paar voorwaarden.
Punt 5 en 6 zou IE uit kunnen sluiten.

5)Relies on the end user,rather than a
central administrator,to manually patch
or upgrade the software to eliminate the
vulnerability,if such a patch exists.

6)The application cannot be automatically
and centrally updated via free Enterprise
tools such as Microsoft SMS & WSUS.
Wie denk je dat deze gerapporteerde bug toetst en een oplossing bedenkt?
Waar denk je dat de Beta fase van het product voor wordt gebruikt?
Nou alles behalve waarvoor een beta bedoelt is!
Beta's zijn namelijk bedoelt om bugs te vinden in producten die nog niet helemaal klaar zijn. Veel bedrijven gebruiken het woord beta de laatste tijd alleen maar omdat het "hot" is.
Enig idee hoeveel beta's je nodig hebt om alle bugs op te sporen?

Het is een illusie om software bugvrij te kunnen uitgeven. En zelfs als dat lukt is het geen garantie dat exploits (iets anders dan bugs imo) voorkomen. Hackers worden inventiever, andere software die draait in IE (Java bijv.) verandert.
Met testen zijn enkel fouten aan te tonen.
De correcte werking van een produkt is per definitie niet aan te tonen door testen.
(Je kunt ook niet door zoeken aantonen dat er geen paarse muizen bestaan).
Beta wordt niet alleen maar gebruikt omdat het HOT is.

Beta wordt gebruikt om de verantwoordelijkheid af te schuiven. Zodat de producer van een bepaald stukje software nergens voor aansprakelijk gesteld kan worden.

Kijk maar naar Google, not liable bla, bla, bla

http://www.scroogle.org/cgi-bin/scraper.htm (alternatief)
En dat is er niet intern bij Microsoft? Zelfs in Firefox en Linux (om 2 open source projecten te noemen met een grote community) hebben nog steeds bugs. In IE is de impact net wat groter (grote userbase en architectuur van het OS en de applicatie zijn de 2 grote factoren).
Grote user base hebben ze niet in de hand, architectuur van de applicatie natuurlijk wel :).

Overigens is de user base van Firefox tegenwoordig ook erg groot hoor, in Europa zo’n 30% (tegen 60% van IE) en dat is ook niet niks. In sommige landen is het zelfs groter dan Internet Explorer, Nederland blijft helaas wat achter. En architectuur van het OS hebben andere browsers (op Windows) natuurlijk net zo goed mee te maken.

Als je zegt dat de impact ‘net wat groter’ is, moet dan dan ook wel met de nadruk op ‘net’, denk ik. :)
een op de vijfhonderd IE-gebruikers door het lek met malware besmet is geraakt
Als je dan bedenkt dat IE gebruik ongeveer 70 - 80% is van alle web gebruikers dan is dat nogal wat. Dat kan een mooi bot netje worden.

Daarom is het ook beter als er een goede browser verdeling komt. Als de 3 grote browsers nu eens 25% hebben, en 25% voor de rest, dan worden de websites gemaakt voor elk type en kan je makkelijker (tijdelijk) overstappen.

Heeft MS of een ander bedrijf dan ook al een fix om de malware op te ruimen?
Het gekke is dat het MS bericht spreekt 0,2% die in aanraking zijn gekomen met besmette pagina's

Het is raar dat dit in het artikel wordt vertaald naar "besmet is geraakt".

Zelfs als je een besmette pagina tegenkomen is het mogelijk zo dat de exploit niet bij je werkt of dat je virusscanner de malware detecteert.
dan worden de websites gemaakt voor elk type en kan je makkelijker (tijdelijk) overstappen [quote]


Dat is al zo, bijna alles wordt ook voor Firefox en Safari gemaakt, je kan dus gerust overstappen, ik zelf heb het al 4 jaar terug gedaan. Toen IE 95 procent of meer had, in 2002, toen had je een punt, nu is er bijna geen enkel probleem. En kom je toch een (ruk) site tegen die IE nodig heeft, dan start je die toch even op?
Mag ik je erop attenderen dat ook een Firefox steken laat vallen op het gebied van de beveiliging. Kijk bijvoorbeeld hier: http://www.mozilla.org/se...rabilities/firefox30.html

Sommige mensen willen alleen maar zien wat ze willen zien.
Met het verschil dat Mozilla het streven heeft om binnen 10 (werk)dagen de publiek geworden* exploits bij de gebruiker gepatched te hebben.

Verder is men betrekkelijk open in het melden van lekken die Mozilla zelf ontdekt. Het is misschien niet commercieel om dat te doen, maar de gebruiker weet wel waar hij/zij aan toe is.

In hoeverre Microsoft op eenzelfde manier werkt is voor mij altijd weer de vraag...

Edit:
*: Als een exploit alleen bij Mozilla bekend is, dan is het minder urgent - maar als de exploit reeds in het wild opgedoken is en breed misbruikt wordt zit met volgens mij toch aardig in de buurt van die 10 dagen...

[Reactie gewijzigd door Little Penguin op 17 december 2008 11:24]

Mooi streven. Gemiddeld zitten ze op drie weken voor kritieke bugs, en dat is gemeten over drie jaar. Maar 1/3 van de kritieke bugs worden in 10 dagen opgeleverd.
Microsoft heeft veel steken laten vallen met Windows Vista en Internet Explorer 7.
Welke dan? Dat er bugs in zitten? Ik gebruik al dik een jaar Vista en ik kan er prima mee werken. Niet alles wat anders geregeld is vind ik direct klote en de schuld van Vista.
Een belangrijk veiligheidslek als "anders geregeld" bestempelen gaat me wat ver ;)
Uhm.. firefox zit ook vol met beveiligingslekken, dat is inmiddels wel gebleken.. qua beveiliging is IE behoorlijk goed.. Elk OS heeft zo zijn lekken, ook Linux en OSX, maar als tuurlijk zul je het meeste horen over het meest gebruikte OS, ofwel Windows..
Yep voel je veilig met firefox of opera.
<knip van http://isc.sans.org/diary.html?storyid=5512 >
Is this browser patch day?
We have a patch coming out for IE today.
http://isc.sans.org/diary.html?storyid=5506
Firefox released an upgrade yesterday that addressed several security issues
http://isc.sans.org/diary.html?storyid=5506
Opera has released a new version to address security issues.
http://www.opera.com/docs/changelogs/windows/963/
Opera 9.63 was just released. It addresses the following security issues.
Manipulating text input contents can allow execution of arbitrary code, as reported by Red XIII.
HTML parsing flaw can cause Opera to execute arbitrary code, as reported by Alexios Fakos.
Long hostnames in file: URLs can cause execution of arbitrary code, as reported by Vitaly McLain.
Script injection in feed preview can reveal contents of unrelated news feeds, as reported by David Bloom.
Built-in XSLT templates can allow cross-site scripting, as reported by Robert Swiecki of the Google Security Team.
Fixed an issue that could reveal random data, as reported by Matthew of Hispasec Sistemas.
SVG images embedded using <img> tags can no longer execute Java or plugin content, suggested by Chris Evans.
</knip van sans>
<buglijst van ff waaronder critische>
Fixed in Firefox 2.0.0.19
MFSA 2008-69 XSS vulnerabilities in SessionStore
MFSA 2008-68 XSS and JavaScript privilege escalation
MFSA 2008-67 Escaped null characters ignored by CSS parser
MFSA 2008-66 Errors parsing URLs with leading whitespace and control characters
MFSA 2008-65 Cross-domain data theft via script redirect error message
MFSA 2008-64 XMLHttpRequest 302 response disclosure
MFSA 2008-62 Additional XSS attack vectors in feed preview
MFSA 2008-61 Information stealing via loadBindingDocument
MFSA 2008-60 Crashes with evidence of memory corruption (rv:1.9.0.5/1.8.1.19)
</buglijst>

[Reactie gewijzigd door webhalla op 18 december 2008 00:56]

Wel positief dat ze deze patch zo snel uitbrengen en niet wachten tot de volgende patch tuesday. Vind het al lang spijtig dat ze elke maand de patches opsparen en niet releasen wanneer ze klaar zijn.
Dat komt natuurlijk ook deels door de architectuur van Windows waarbij helaas nogal snel een herstart nodig is en de grote hoeveelheid patches welke Microsoft uitbrengt.

Ook de Linux distributies hebben meerdere updates per week waarvan van de week nog een 2.6 kernel update waarin een aantal local exploits zijn opgelost. Mijn linux workstation heeft veel minder reboots nodig vanwege de betere kernel/userspace seperatie in Linux. Microsoft heeft dat ook geprobeert met Vista, maar toen begonnen de AV bedrijven te zuren dat zij geen kernel toegang hadden (muv van enkele api's)..

Maar de patches bijvoorbeeld elke 14 dagen releasen zou volgens mij wel mogelijk moeten zijn.. En als je de meeste advisories van de bugs leest, stellen de meeste eigenlijk ook niet zoveel voor. En bugs met een zeer grote impact worden wel direct gereleased zoals deze.
Voor Microsoft is het geen enkel probleem om elke 14 dagen te releasen.

Maar het is juist op verzoek van de grote klanten dat ze het één keer per maand doen. Bij grote bedrijven is er vaak maar weinig tijd per maand beschikbaar waarop een server even onbeschikbaar mag zijn voor onderhoud.

Soms moet je keihard vechten om 1 zaterdag per maand te claimen waarin je dat soort zaken kan plannen.

En dan ligt het nog niet eens zozeer aan de herstarts. Maar elke wijziging brengt ook een risico mee. Dus moet er na een wijziging ook goed getest worden om alles nog wel goed functioneert voor je weer productie gaat draaien.
Het lijkt me beslist niet dat AV bedrijven de rem zijn op een goede rootspace/userspace indeling in Windows. Je kan immers echt alles installeren wat je wil.
Het lijkt me meer dat;

- Nogal wat userspace software makers ranzig werk afleveren en gewent zijn om overal schrijfrechten te hebben. Ik denk vooral terug aan een scanner driver van HP from hell die echt alleen werkt als je Adminstrator bent voor XP/2K. Goed werk!
Heel veel andere software verwachtte (pre-Vista) dat het altijd naar zijn eigen install dir kan schrijven. Dit is funest als je goede rights management wil opzetten.

- Gebruikers het hele rootspace/userspace concept niet snappen en in plaats van de rechten goed opzetten het gewoon uitschakelen en dus altijd als Admin draaien.

- DRM acceptabel is. Je geeft met DRM alles wat je installed low level toegang tot alles. Daar gaat je security model.....

Is dit op te lossen uiteindelijk? Gedeeltelijk misshien.
Een argument voor een software boer om Windows-only te blijven is dat je echt alle DRM kan installeren die je wil.
Binnen een OS met een 'prefecte security model' (voor zover dat kan) is geen plaats voor DRM omdat een programma echt alleen maar toegang heeft tot dingen die echt nodig zijn voor het functioneren. Dingen als SecuRom of whatever kunnen niet.
Ik ben bang dat comerciele motieven (mogelijheid tot DRM) voorang zullen blijven hebben op de veiligheid van de gemiddelde gebruiker (een goed werkende security model). Hopelijk heb ik ongelijk.

[Reactie gewijzigd door SuperNull op 17 december 2008 13:06]

Wat me wel zorgen baart is dat deze malware verspreiders in staat zijn om dagelijks 20.000 websites te hacken. Dat is echt schokkend veel.

Blijkbaar zijn echt enorm veel websites lek en daar wordt natuurlijk in dit kader natuurlijk helemaal niets gepatched.
Heel vaak zijn het jaren oude exploits en incompetente/luie systeembeheerders die dit veroorzaken
Het geeft toch echter te denken dat dat jaren later nog 20.000 websites per dag (!) aan hacks kan opleveren.
Dat suggereert in mijn ogen dat misschien wel 5% of 10% of zelfs 15% van alle websites potentieel op iedere moment gehacked kunnen worden.
Op het moment dat 1 host wel 5000 sites kan bevatten dan kan het best zijn dat je met een paar hosts aan een groot aantal websites komt.

Dat zegt niets over het totaal aantal websites dat besmet kan raken....
Ik denk dat het er wel meer zijn... Ik kom het nog bijna dagelijks tegen. Geregeld probeer ik het uit bij websites die ik gewoon bezoek. Een groot deel van de websites is minstens vatbaar voor XSS attacks (in erge of minder erge vorm). Een iets minder groot aantal maar toch altijd nog aanzienlijk aantal is vatbaar voor SQL injectie. En dat is eigenlijk nog gevaarlijker dan XSS. En dan test ik nog niet eens op XSRF want ik denk dat het aantal websites dat daarvoor vatbaar is nog vele malen hoger ligt (exploit kans is weliswaar minder groot).
Hoe kunnen grote websites zoals een zoekmachine en Abit nou een besmettingshaard worden? Dan is er ook iets niet in orde met hun beveiliging van de websites

(en voordat iemand nou roept dat dat dan wel zal draaien op IIS.. .Abit draait apache... zie netcraft)


** mmm.. net te laat :) **

[Reactie gewijzigd door SunnieNL op 17 december 2008 10:13]

OK, olie en vuur O-) Ik hap toe 8-)

http://toolbar.netcraft.c...rl=http://www.abit.com.cn

Waar draait www.abit.com.cn op sinds 30 april 2008? En voor zover ik begrepen heb is dat ook het domein dat één van de besmettingshaarden is...


Nu geef ik gelijk toe dat ook een site die draait op Apache + Linux ook als besmettingshaard kan werken hoor. Het is voldoende om een FTP- en/of shell-account te hebben met een gemakkelijk te raden wachtwoord - je hebt dan niet eens een lek systeem nodig....

[N.B. volgens NetCraft draait www.abit.com.cn dus op IIS...]
Ah, het gaat om de chinese site van abit.

[Reactie gewijzigd door 80466 op 17 december 2008 12:01]

en als je www.abit.com.cn invult:

URL: http://www.abit.com.cn
Web Server: Microsoft-IIS/6.0
ah ja.. ik ging ook min of meer uit van www.abit.com.tw :)
De server software is in mindere mate bepalend hiervoor. Veel methodes (al dan niet in enigzinds gewijzigde vorm) om website te hacken werken op zowel IIS als Apache, of beter gezegd op zowel ASP als PHP. Ze misbruiken namelijk fouten in de webapplicatie zelf en niet zozeer in de server software of de scripttaal. Net zoals je op de desktop een verschuiving ziet van exploits van het OS naar de applicaties, zie je dat op websites ook.

Overigens hebben IIS 6 en IIS 7 een uitstekend trackrecord wat betreft beveiligingsproblemen. Aanzienlijk beter zelfs dan Apache 2.x.x (afgaande op het aantal Secunia advisories).
ik vind dit niet echt nieuwswaardig. het is bekend dat internet explorer en windows os gevoelig zijn voor virussen. versies van beide maakt niet uit. het blijf "flawed-by-design". bijvoorbeeld UAC dat iedereen uitzet omdat het vervelend is en de active-x koppeling van internet explorer waarbij iedereen de bescherming ("thrusted sites") ook uitzet omdat anders sommige leuke websites niet meer werken.

wel goed dat microsoft zo snel is met een pleister cq noodverband. laat ik de hoop uitspreken dat het bloeden voor eens en altijd gestelpt zal zijn!
bijvoorbeeld UAC dat iedereen uitzet omdat het vervelend is
Speak for yourself.
Ik heb het gewoon aanstaan.
Uitzondering op de regel zal je altijd hebben.
Het merendeel van de mensen klikt het allemaal maar gewoon weg want ze kunnen niet doen wat ze ongestoord willen doen, internetten.

Denk trouwens dat MS ook zeker niet blij is met alle firma's die nu aanraden om tijdelijk een andere browser te gebruiken.
Mensen zullen dan eerder geneigd zijn om bij hun nieuwe browser te blijven hangen, zeker aangezien die momenteel als veiliger worden beschouwt.
Wat is in dit geval de design flaw dan volgens jou ? Wat kan het OS er volgens jou aan doen dat door een bug/exploit in een applicatie de aanvaller code kan uitvoeren onder de rechten waar die applicatie onder draait ? En laten we er dan vanuit gaan dat dit geen administrator/root rechten zijn.
Het vervelende van dit soort problemen over veiligheid is nog altijd de eindgebruiker. op het werk kunnen ze niets anders dan gebruik maken van de instellingen zoals die verstrekt zijn omdat ze er niets aan kunnen veranderen maar het merendeel van de "normale" computergebruikers gebruikt thuis de administrator account als standaard. Lekker geen gezeur over wachtwoorden of onvoldoende rechten om iets te kunnen.

Dus is veiligheid helaas erg relatief.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True