Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 95 reacties
Submitter: begintmeta

Er is een kwetsbaarheid in de Virtual DOS Machine van Windows ontdekt die al in Windows NT uit 1993 zat en alle daaropvolgende versies van het OS treft. Microsoft brengt ondertussen een patch uit voor het beruchte lek in Internet Explorer.

Windows Vista patchHet lek werd ontdekt door Tavis Ormandy van Googles beveiligingsteam. De weinig gebruikte Virtual DOS Machine, die voor ondersteuning van 16bit-applicaties zorgt, zou volgens hem meerdere beveiligingsproblemen hebben. Deze zouden kwaadwillenden in staat kunnen stellen 16bit-applicaties zo aan te passen dat daarmee op beheerdersniveau code uitgevoerd kan worden. Overigens kan de kwetsbaarheid niet op afstand uitgebuit worden: de aanvaller moet lokaal ingelogd zijn om er misbruik van te kunnen maken. Ormandy zou de problemen op 12 juni 2009 gemeld hebben. Microsoft raadt aan de NT Virtual DOS Mode uit te schakelen, maar het bedrijf heeft er nog geen patch voor beschikbaar gesteld.

Wel heeft Microsoft een patch gereed voor het beruchte lek in Internet Explorer waarvan vermoed wordt dat deze door de Chinese overheid gebruikt is voor de aanval op Googles Gmail. Microsoft stelt de patch donderdag, dus buiten de gebruikelijke patch-cyclus, beschikbaar. Het bedrijf had grote haast bij de ontwikkeling van de lapmiddelcode, aangezien het lek tot gezichtsverlies en waarschijnlijk zelfs tot een dalend gebruik van IE heeft geleid. Onder andere de Duitse, Franse en Australische overheid hebben afgeraden de browser van Microsoft te gebruiken tot een patch uitgebracht zou zijn. Mozilla meldt dat in de vier dagen na de oproep, in Duitsland 300.000 extra downloads van de Firefox-browser zijn genoteerd. Ook Opera nam in Duitsland een stijgend aantal downloads van zijn browser waar.

Moderatie-faq Wijzig weergave

Reacties (95)

so na 17 jaar er achter komen snel hoor.
Nou ja het maakt ook niet uit als ze maar een patch uitbrengen die deze lek dicht :)
ach soon(tm), met 64bits os-en is er geen 16bits meer, dan ist ook problem solved.
Je kunt nog steeds 16-bit code draaien, maar geen 16-bit protected mode (dos dingen). Onder Wine op 64-bit draaien we nog gewoon 16-bit win3.1 software.
Onder wine misschien wel, maar onder vista/windows 7 64-bit is het onmogelijk om nog 16-bit code te draaien.
Ik kan nog een progama voor windows 3.1/3.11 op me 32bits versie van vista.
En het zelfde progama kan ik ook me me 64bits linux rijen.
hij heeft het over een 64bit versie, jij over 32bit
iets met appels en peren...
... alleen bevat Windows in 64-bit-versies geen NTVDM/Win16-support meer, wat ook is waar op gedoeld wordt. ;)

[Reactie gewijzigd door NTAuthority op 21 januari 2010 14:48]

Alleen gebruikt nog lang niet iedereen een 64bits os.
tuurlijk niet, alle MS fouten worden breed uitgemeten en dat een *nix variant een fout heeft, dat boeit niet...
Ik vraag me bij zoiets altijd af of men bij de NSA of in bijv. China al niet veel langer op de hoogte is van dit lek. Men doet altijd of een lek voor het eerst ontdekt wordt, maar het kan net zo goed al langer bekend zijn bij inlichtingendiensten of (vijandige) overheden :)

[Reactie gewijzigd door JanDM op 21 januari 2010 13:23]

Je hebt drie mogelijkheden als je een lek ontdekt. Je houdt het geheim om het te kunnen exploiten, je maakt het bekend om je 15 minutes of fame te claimen, of je doet helemaal niets.
of je meldt het bij de betreffende producent zonder die 15 minutes of fame te claimen.
Ormandy zou de problemen op 12 juni 2009 gemeld hebben
Dat duurt wel erg lang voordat er iets gebeurt.
Waarschijnlijk omdat het een lower-than-low priority is, gezien de betreffende functionaliteit zo goed als niet meer gebruikt word.

Dan zijn er wel belangrijkere dingen die gefixed kunnen worden, lijkt me ook vrij logisch.
Sorry, maar hoe kan een beveiligingslek nou lower-than-low priority zijn?! Een beveligingslek moet altijd gedicht worden. Het zal niet de eerste keer zijn dat een bestaand, opzich ongevaarlijk lek toch grote gevolgen kan hebben in combinatie met iets anders.

Natuurlijk heb je bepaalde high priority lekken, zoals die in IE. Maar het andere lek moet imho ook gewoon zo snel mogelijk gedicht worden, het enige wat nodig is is een 16-bit compiler...

edit: @the_shadow: het is meer dan een half jaar oud
@Ortep: dat is niet lower than low maar medium/high. Feature requests of schoonheidsfoutjes zijn lower than low.

[Reactie gewijzigd door JanDM op 21 januari 2010 13:36]

Als pas na 17 jaar Microsoft zelf het lek heeft gevonden, dan zal het wel heel veel toeval zijn dat een kwaadwillende het lek nog had gevonden. Vooral omdat het lek in bijna niet meer gebruikte verouderde software zit, waar een hacker waarschijnlijk niet op lekken gaat zoeken.
Als pas na 17 jaar Microsoft zelf het lek heeft gevonden, dan zal het wel heel veel toeval zijn dat een kwaadwillende het lek nog had gevonden.
Google 'vond' (ironisch) het eerder dan microsoft, zonder toegang tot de broncode van MS. Als een security onderzoeker bij Google het vind, dan kun je er eigelijk zeker van zijn dat een persoon met mindere frisse bedoelingen het ook kan.

[Reactie gewijzigd door arjankoole op 21 januari 2010 14:09]

Serieuze security onderzoekers publiceren geen lekken met exploitatie code voordat er een patch is.
maar nu bekend is waar gezocht moet worden zal er zeker een jacht ontstaan naar dit lek.
aangezien dit een zeer specifiek bestand is kan er ook zeer gericht gezocht gaan worden.
en reken maar dat het lek ook gevonden gaat worden.
Soms is het lekken van een lek de enige manier om een patch voorelkaar te krijgen, kijk maar naar het vroegere tentamenaanmeldsysteem van de TU-Delft (iedereen kan elke student overal aan en afmelden, was toen het motto). Als een serieuze onderzoeker vermoed dat er een exploit op komst is, kan dat dus een begrijpelijke manier van handelen zijn om een snelle waarschuwing en oplossing af te dwingen.

@swerfer: het is niet te voorspellen waar een hacker op zoek gaat naar lekken, dat zou juist zomaar in oude code kunnen zijn en dan speciaal omdat daar toch nooit iemand naar kijkt. Vergeet niet dat hackers niet conventioneel en rechtlijnig denken.

[Reactie gewijzigd door mae-t.net op 22 januari 2010 22:33]

En het wordt nu toch ook gefixt? Zoals je zelf al zegt zijn er bepaalde prioriteiten in bugs, en het gaat hier kennelijk om een dusdanig vreemd geval dat het waarschijnlijk uberhaupt al lastig gaat worden om het op te sporen.
Natuurlijk kan het lower dan low zijn. Als je een stopcontact in huis hebt waarvan er een scheurtje in het kapje zit, is dat onveilg en moet het repareren. Maar als de gaskraan kapot is en het gas stroomt je keuken in heeft dt een 'iets' hogere prioriteit
dat de functie niet gebruikt wordt zegt niets over de mogelijkheid om dit lek te misbruiken.
maar blijkbaar moeten er eerst ongelukken gebeuren voordat er iets gebeurd.
Het lek bestaat uit het aanpassen van 16-bits applicaties met malicious code. Hoeveel 16 bits applicaties ken jij nog? Dat is allemaal 10+ jaar oud spul, dat word waarschijnlijk zo goed als niet meer gebruikt.

De kans dat dit actief misbruikt gaat worden is dus bijna 0, omdat alle moderne apps 32-bits of hoger zijn, en dan heb je hier geen last van, omdat die de NTVDM niet gebruiken.
De kans dat dit actief misbruikt gaat worden is dus bijna 0, omdat alle moderne apps 32-bits of hoger zijn, en dan heb je hier geen last van, omdat die de NTVDM niet gebruiken.
Aan een Windows EXE-cutable kun je als leek niet direct zien of deze nu 16-bit of 32-bit code bevat, een hacker hoeft de gebruiker dus maar te verleiden tot het installeren van een grappig programma (of spel) die in een 16-bit executable gestopt is...

Dus het lek is kritieker dan je op het eerst gezicht zou zeggen, het enige geluk dat is dat je met de hedendaagse tools niet zo gemakkelijk een 16-bit applicatie kunt maken. Maar op het moment dat men een grappig programma uit de oude doos op weet te diepen (en deze aanpast) is het lek dus ineens wel kritiek...

(Eindeloze backwards-compatibiliteit heeft zo ook zijn nadelen...)
Dan nog is de kans klein. De kwaadwillende hacker moet namelijk fysiek toegang hebben tot het station (bug lijkt niet remote exploitable), en daarnaast houd UAC dit ook al tegen, omdat het full administrative privileges nodig hebben, en by default heb je die niet in Vista en Win7.

Als iemand toch al fysieke toegang heeft tot een PC, zoals vereist, dan is het toch al mogelijk om op andere manier kwaadwilende code te installeren, daar heb je deze bug echt niet voor nodig.
"Wilt u dit bestand downloaden of uitvoeren? [insert random spelletjesnaam]"
-> uitvoeren
"Dit kan gevaarlijk zijn"
-> ok
"Uitvoeren?"
-> ok
"Dit kan gevaarlijk zijn"
-> ok
"..."
-> ok
"Dit programma heeft privileges nodig"
-> ok

Dat is hoe UAC er bij een download met IE ongeveer uitziet, bij elke download, op die laatste stap na. Denk je echt dat je zusje/tante/moeder/noob dat op zal vallen? Je moet gewoon een keer vaker op OK klikken....
@MBV: Dus wanneer komt die exploit nou te pas? Ow wacht je moet een (16-bits) app maken en die laten downloaden zodat je misbruik kan maken van een bug? Kan je dan niet direct een virus sturen? 8)7

[Reactie gewijzigd door watercoolertje op 21 januari 2010 14:30]

@watercoolertje: omdat een normaal OS iets aan rechtenbeheer doet, zelfs Vista doet dat al. Je kan dan als gewone gebruiker je systeem niet om zeep helpen, en hebt dus geen rechten om een trojan te installeren. Met dit programma kan dat wel.
Maar als de 'trojan' dan toegang wil tot andere bestanden en applicaties blijf je vensters krijgen, die mensen blijkbaar toch vaak niet accepteren. Heb is gewoon zo dat je relatief heel weinig computers tegen komt die besmet zijn en UAC aan hebben staan (vooral die van Vista). Helaas is dat zo...als dat je werk is.

[Reactie gewijzigd door Malarky op 21 januari 2010 14:19]

Dat plus het feit dat $puber doorgaans wel een vriendje, klasgenootje, buurmannetje of Computer-Idee-lezende vader/oom heeft die 'dat irritante popup gedoe' (UAC) wel even uitzet ;)
De bug maakt een privilege elevation mogelijk. Dat impliceert dus dat je als regular user admin rechten kan krijgen. Als je al admin rechten nodig zou hebben zou het geen bug zijn, maar meer een trojan.

Uit het artikel hierboven:
Deze zouden kwaadwillenden in staat kunnen stellen 16bit-applicaties zo aan te passen dat daarmee op beheerdersniveau code uitgevoerd kan worden.
Ergo: bouw een trojan die deze bug misbruikt, en je kan op beheersniveau code uitvoeren; zoals het installeren van een backdoor. Gezien de hoeveelheid Windows versies die getroffen worden door deze bug, is het erg lucratief voor iemand die graag een botnet wil bouwen. Alle op NT gebaseerde Windows versies vanaf 1993 zijn kwetsbaar, en daarmee dus ook die 'enkele miljoenen' thuisgebruikers die thuis XP, Vista of Windows 7 draaien. Tel daarbij op dat het gemiddelde puberkindje op alles klikt wat in het MSN venster verschijnt, en je hebt een prima scenario voor een enorm botnet.
De bug maakt een privilege elevation mogelijk. Dat impliceert dus dat je als regular user admin rechten kan krijgen
Dat klopt, maar de exploit word door UAC al afgevangen, dus Windows Vista en Windows 7 zijn sowieso al nauwelijks kwetsbaar.

Aangezien NT4 en 2000 nauwelijks gebruikt worden bij consumenten, blijft alleen XP nog over. En ook het aantal gebruikers daarvan is een teruglopende zaak.

Voor bedrijven is het sowieso geen issue, omdat die middels policies gewoon NTVDM kunnen uitschakelen, plus dingen als firewall en virusscanners die exploits als het goed is tegen houden.

En zoals gezegd, om het lek te kunnen misbruiken moet een kwaadwillende fysieke toegang hebben tot de PC, een remote exploit blijkt niet mogelijk te zijn:
An attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability. The vulnerability could not be exploited remotely or by anonymous users
Dat klopt, maar de exploit word door UAC al afgevangen, dus Windows Vista en Windows 7 zijn sowieso al nauwelijks kwetsbaar.
Ware het niet dat een groot deel van de Vista/7 gebruikers UAC heeft uitgeschakeld vanwege al die hinderlijke meldingen.
Er zijn nog genoeg spelletjes van vroegah.. die op deze manier ingezet kunnen worden voor zo'n exploit.
Ook een simpele keygen o.i.d. die in 16 bit werkt zou al kunnen werken.
Dus ook 'nieuwe' programma's kunnen nog kwaad!
Daarbij komt ook nog dat Vista en Win7 geen ondersteuning meer hebben voor 16-bit applicaties. De enige mensen die dus eventueel problemen zouden kunnen ondervinden zijn de die-hard WinXP en ouder users.
Dat is niet helemaal waar. Alleen de 64 Bits versies van Win7 & Windows Vista hebben geen WOW voor 16 Bits apps meer.
Dat is niet helemaal waar. Alleen de 64 Bits versies van Win7 & Windows Vista hebben geen WOW voor 16 Bits apps meer.
Dit klopt, maar WoW (Windows on Windows) is niet de module waar de bug in zit, de bug zit hem in NTVDM (NT Virtual DOS Machine).

WOW word gebruikt om 16-bits Windows-software te kunnen draaien, NTVDM is om DOS-applicaties te kunnen draaien.

Beiden zijn in de x64-versies van Windows Vista en Windows 7 niet meer aanwezig inderdaad, in de 32-bits versies wel.
Ja, de pagina van Microsoft zelf zegt inderdaad:
How could an attacker exploit the vulnerability?
To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and cause the system to stop responding and restart.
Maar dat is alleen relevant als je gericht een bepaalde machine aan wilt vallen. Als je alleen (een groot aantal) "random" bakken wilt kraken (bijvoorbeeld om ze in een botnet te hangen), dan werkt bovenstaande redenering niet, want je kunt "an attacker would first have to log on to the system" vervangen door "an attacker would first have to get a logged on user to download his trojan".
Overigens zie ik nergens staan dat UAC je hiertegen zou beschermen (ik zal later vandaag eens testen of UAC een melding geeft als NTVDM gestart wordt). Bovendien, we weten allebei dat mensen die waarschuwingen toch ongelezen wegklikken. Dat is hun eigen schuld, maar lost het probleem niet op.
En er zijn meer dan genoeg 16bit executables die je kunt ombouwen tot trojan; zo ongeveer alle abandonware (and then some) is een erg geschikte kandidaat. Leuke (voor veel mensen: originele, "nieuwe" ehm ja, je snapt wat ik bedoel) spelletjes die lekker klein zijn (en dus snel zijn te downloaden).
Fysieke toegang, als in een trojan opsturen naar nietsvermoedende slachtoffers?

@wildhagen hieronder: dat maak ik toch niet uit de beschrijving op, het klinkt ook niet zo waarschijnlijk. Ik zal het nog eens doorlezen.

-> lijkt me na bestudering toch ook dat je met een klikgrage gebruiker heel ver komt...

[Reactie gewijzigd door mae-t.net op 22 januari 2010 22:30]

Fysieke toegang, als in een trojan opsturen naar nietsvermoedende slachtoffers?
Nee, als in "het apparaat fysiek aan kunnen raken", oftewel: achter het toetsenbord zitten.

Zoals je kan lezen is uit onderzoek gebleken dat deze bug, in tegenstelling tot veel anderen, niet van afstand te exploiten is.
Achter het toetsenbord hoeft niet perse de kwaadwillende te zitten. Dat zal eigenlijk altijd gewoon de gebruiker zijn. Als die nietvermoedend zo'n applicatie start (en er zijn genoeg ik-klik-op-alles-mensen op de wereld) is de ellende geschied.
Niet het aanpassen van een 16-bits applicatie, maar het gebruiken van de Windows-code waar die op draaien... En aangezien die standaard AAN staat, is zoiets wel degelijk ernstig.
erger nog: ER is nog steeds niets gebeurd gezien MS aanraad om deze functionaliteit uit te schakelen.

het is nu al beter maar al die extra functie in windows die standaard aan staan maken het er niet veiliger op.
Mocht dit standaard uitstaan zou het al minder problematisch zijn maar het lek zou nog steeds bestaan.
En dan mekkeren ze bij windows dat firefox of opera ook bugs zitten hebben, wat wel waar zal zijn maar het gemiddeld worden lekken sneller gepached.
Ach....wij tweakers gebruiken toch allemaal al jaren 64-bits versies van Windows 7 (of Vista) en laat die nou net ongevoelig zijn voor dat 17 jaar oude lek :+
Er is een kwetsbaarheid in de Virtual DOS Machine van Windows ontdekt die al in Windows NT uit 1993 zat en alle daaropvolgende versies van het OS treft.
Oh ja?
Ja, want een 64bit machine kan geen 16bit code meer draaien.
Oke dan heeft de tekst die ik heb gequote het fout.
Misschien omdat Mozilla zich wat meer kan concentreren op alleen de browser en MS een compleet besturingssysteem heeft om te onderhouden? Nja misschien dat het niet opgaat want MS is dermate groot dat ze wss of evenveel of misschien zelfs meer mensen in dienst hebben..
Hoe één browser de ontwikkeling van het internet zo kan stagneren, en hoe het voor zo veel problemen zorgt...

Wordt tijd dat Kroes browsers eens moet laten voldoen aan bepaalde tests, IE is in de eu versie van windows toch eruit!
Hoe één browser de ontwikkeling van het internet zo kan stagneren, en hoe het voor zo veel problemen zorgt...
En jij dacht dat andere browsers als Firefox, Opera etc geen securitybugs bevatten ofzo?

Als een browser de meest gebruikte is, is het nogal logisch dat de impact bij problemen ook iets groter is. Dat maakt het nog geen slechte browser, want zeker versie 8 is gewoon prima op orde.
Wordt tijd dat Kroes browsers eens moet laten voldoen aan bepaalde tests,
Waarom? Wat heeft het voor zin dat een browser voldoet aan een synthetische test, waar je in de dagelijkse praktijk niet of nauwelijks mee te maken hebt?
IE is in de eu versie van windows toch eruit!
Nee hoor, er is alleen een keuzescherm.
je mist het punt van AlexAlpha, het gaat niet om de bugs alleen.
Ik werk voor een ASP, dus ik zie in de praktijk wat het geklooi van MS met de internet standaarden voor rommel heeft veroorzaakt. en als je dacht dat die tijden voorbij waren, nee. het wordt alleen erger, want het is niet alleen firefox én IE waar je compatible mee moet zijn, maar tegenwoordig ook firefox én IE7 én IE8, omdat ze zich allemaal anders gedragen. Door die hele standaardendivergentie is het web één grote puinhoop geworden, wat ontzettend veel tijd en geld kost in ontwikkeling van nieuwe functionaliteit. Met dank aan voornamelijk MS.
Daarnaast wordt iedere keer weer overtuigend aangetoond dat IE bloated, instabiel en extreem onveilig is. Als je zonodig de markt wil beheersen heb je ook een zekere verantwoordelijkheid om dan ook iets goeds neer te zetten. maar dat ben je vast niet met me eens.

[Reactie gewijzigd door page404 op 21 januari 2010 13:33]

Blijkbaar ben je dan nog vrij jong, want MS heeft dat truukje geleerd van Netscape.
Wat dat betreft kun je ook niet zeggen dat het web een puinhoop is geworden, want het is gewoon vanaf het allereerste begin een puinhoop geweest.
zowel netscape als IE waren rond dezelfde tijd bezig met custom tags e.d, alleen de mate waarin verschilde, opzich geen probleem zolang er competitie is maar wel zodra 1 van beide een oneerlijk voordeel kreeg (ie kreeg geen poot aan de grond voordat het gebundeld werd omdat het letterlijk een gedrocht was - pas met 8 gaan ze de goede richting op)
er is nog een tijd geweest (opa spreekt) dat het redelijk wildwest was qua standaarden. dat is geen probleem, maar al lang nadat er duidelijke standaarden waren neergezet door het W3C heeft MS zijn macht in de markt misbruikt door die standaarden net even verkeerd te implementeren. Toen is iedereen speciaal voor IE gaan programmeren, en moesten er voor de W3C-compatible Netscapes en later Firefoxen/Operas van deze wereld workarounds in de code gemaakt worden. De wereld op zijn kop 8)7
En dat proprietaire ActiveX is natuurlijk helemaal het slechtste wat ons ooit is overkomen.
Maar dat is juist mijn punt, doordát de browsers van MS afwijkende standaarden hanteren, zich anders gedragen etc, moet je iedere keer rekening houden met allerlei verschillen.

Als 99% van de mensen gewoon firefox zou gebruiken, zou dit geen probleem zijn, want als het op firefox werkt dan werkt het (meestal) ook op safari en chrome e.d.

p.s. apex, maargoed.

[Reactie gewijzigd door ApexAlpha op 21 januari 2010 13:36]

zie je wel dat ik je punt goed begreep ;) ApexAlpha ;)
als je nieuwe webbased software bouwd, kun je maar beter zorgen dat je je gewoon aan de meest gangbare standaarden houd, - als je klanten dan bij IE6 blijven is dat hun probleem,

of houd je bij het programmeeren ook nog rekening met Pentium 133 machines????

kortom keuzes durven maken, bepaalde software is gewoon te oud om nog ondersteunt te worden,
Dat maakt het nog geen slechte browser, want zeker versie 8 is gewoon prima op orde.
Yeah, right. Is helemaal HTML-compliant, zeker? Kom nou!

Microsoft heeft een hele, hele grote fout gemaakt door te stellen, dat de PC onderdeel zou zijn, of zou moeten worden, van Internet. Een tijdje nadat MS er (eindelijk...) achterkwam, dat internet een blijvertje zou zijn. Toen kwam ActiveX: het gat van de browser naar je PC. Omdat de programmeurs zich er met een jantje-van-leiden afmaken zitten er (nog steeds) fouten in de MS producten.

Iemand had het al over backwards-compatible zijn... Dat is mede oorzaak van alle ellende. Vista zou toch vanaf de grond opnieuw opgebouwd worden, en Microsft SQL-Server als filesystem krijgen? En wat is daar van terecht gekomen?!?

MS is zo commercieel als wat: als meer eye-candy meer oplevert dan veiliheid, gaan ze voor eye-candy.
Betreffende het verhaal over ActiveX. ActiveX was/is in principe niets anders dan het volledig toegang geven van een applicatie aan je 'machine'. Ik las hier laatst dat iemand de C64 heeft nagebouwd mbv Javascript. Geloof mij: het duurt niet lang meer voordat we de eerste MS-DOS emulator geschreven in Javavscript tegen zullen komen. En dan zijn we in principe gewoon weer terug bij af.
Yeah, right. Is helemaal HTML-compliant, zeker? Kom nou!
Dat klopt inderdaad. HTML 4.01 compliant
Tuurlijk hebben firefox e.d. beveiligings lekken, alleen minder..

En ja tuurlijk is IE8 in orde, maar weet je hoeveel tijd een ontwikkelaar kwijt is om zijn ap/website compitable te maken met ie5/6/7? Word tijd dat die er gewoon uit gepusht worden.
Tuurlijk hebben firefox e.d. beveiligings lekken, alleen minder..
Hoe weet je dat? :) Beveiligingslekken ken je pas op het moment dat ze ontdekt zijn toch? En in de afgelopen drie maanden zijn er veel meer kritieke lekken in Firefox ontdekt, dan in Internet Explorer.

Tenminste als we de National Vulnerability Database (NVB) mogen geloven. 34 stuks voor Firefox, tegen 14 in IE.

Ik wil hiermee niet zeggen dat IE veiliger is dan Firefox, of wat dan ook, ik probeer alleen maar aan te geven dat je zo'n uitspraak niet zomaar kan doen. Of heb je nog andere bronnen die iets anders beweren? :)
Nadeel van populair zijn.
Je trekt niet alleen meer/nieuwe users aan maar het maakt het ook aantrekkelijker om fouten te zoeken aangezien je doelgroep voor je mallware ook groter is geworden.

Als 99% van de mensen browser x gebruikt, en 1% browser y dan is het de moeite niet om browser y te gaan abusen.
Als 60% browser x gebruikt en 40% browser y is het al een stuk rendabeler.
Door alle negatieve pers (En miss wel het browser keuzescherm) is het aandeel IE users gedaald en gebruiken die nu wat anders.
Het is dus nu meer de moeite waard om andere browsers te gaan exploiten dan dat dat vorig jaar/2jaar geleden was.

Zelfde met windows-linux.
Als morgen 60% van de windows users switcht naar een linux os krijg je hetzelfde effect.
Dat zal waarschijnlijk waar zijn. Maar als ik zie dat ieder linux systeem anders is en je vaak niet zomaar executables kunt uitwisselen lijkt het me een stuk moeilijker om 1 nuttige exploit te maken voor alle linux machines. En op het moment dat dit bekend is kan iedereen (die weet hoe) een patch hiervoor maken.
En op het moment dat dit bekend is kan iedereen (die weet hoe) een patch hiervoor maken.
Je geeft precies aan waar het fout gaat met de woorden: die weet hoe

Linux gebruikers zijn over het algemeen mensen die weten wat ze willen of doen en letten op veilgheid. Bij de windows gebruikers is dat veel minder. Maar zodra je iedereen overzet naar Linux zitten alle computer analfabeten er ook op en stort je veiligheid in. Ik heb nu al mensen gezien die liepen te klagen over Linux dat alles was dichtgetimmerd. Die wilden standaard als root werken.
Dat is juist het punt.
Zolang software niet mainstream is zal het vaak alleen worden gebruikt door mensen die er (meer) verstand van hebben.
Zo begon Firefox ook.
Dus eventuele exploits die er zouden zijn zullen sneller opgelost worden, omdat er een sterke community achter zit. Nu Firefox meer de populaire kant op gaat is dit % kleiner terwijl het aantal exploits toeneemt.

Als tweakers.net morgen zn eigen browser launched zullen in het begin ook alleen grotendeels tweakers deze gebruiken.
Als diezelfde browser dan publiek gepromote gaat worden neemt het aantal users toe waarbij de gemiddelde "kwaliteit" per user afneemt :)
Dat maakt het nog geen slechte browser, want zeker versie 8 is gewoon prima op orde.
Nee, IE8 is alleen beter dan zijn voorgangers. Maar in vergelijking met de concurrentie loopt het nog steeds achter. HTML5 (<canvas>, <video>), SVG, snelle JS-engine, etc.

[Reactie gewijzigd door JanDM op 21 januari 2010 13:33]

Maar in vergelijking met de concurrentie loopt het nog steeds achter
Het is maar hoe je het bekijkt.
* IE8 heeft standaard weer de betere beveiligingen tegen XSS aanvallen
* IE8 biedt een zeer goede smartfiltering functie tov andere browsers.
* In IE8 worden tabs gespreid over meerdere executables (heeft alleen Chrome ook).
* IE is veel beter centraal configureerbaar dan andere browsers.
* IE8 biedt wel compatbiliteit met voorgaande versies
* IE biedt langdurige productondersteuning voor elke versie.

Allemaal zaken die voor bijvoorbeeld bedrijven veel zinvoller zijn dan zaken als html5 en svg ondersteuning.

In die zaken lopen al die andere browsers juist achterop.

[Reactie gewijzigd door 80466 op 21 januari 2010 14:39]

Als gevolg van de implementatie van het keuzescherm is IE ook uit de windows prefetch gesloopt. (op een installer na mocht het programma fysiek niet meer aanwezig zijn volgens de EU eis).
Windows wordt gewoon geleverd met IE, ook Windows 7.
De Windows 7 E variant bestaat niet (meer).
Nee, die heet nu Windows 7 N...
daar zit geen browser bij en ook geen mediaplayer.. heb ik zelf ondervonden..

En ja dat was niet handig kan ik je verzekeren... helemaal niet als je denkt, ik installeer Firefox Minefield 64bit en kan Windows Mediacenter gewoon los installeren.. Nou niet dus..

Inmiddels heeft Microsoft MCE wel als losse x64 download.. Ik was vooral verbaasd hoeveel processen ingrijpen op de aanwezigheid van mediaplayer..
Je had Windows 7 N en Windows 7 E.
Windows 7 E werd zonder Internet Explorer geleverd (zie http://nl.wikipedia.org/wiki/Windows_7#Windows_7_E), bij Windows N wordt enkel WMP niet meegeleverd. IE is gewoon aanwezig (zie http://nl.wikipedia.org/wiki/Windows_7#Windows_7_N).
De 'N' versie wordt gewoon verkocht, de 'E' versie niet.
IE zit ook gewoon in de N versies. Media Player inderdaad niet.
We hebben geen EU versie meer. Deze is door de komst van het keuzescherm komen te vervallen.
Dit is dan wel echt een heel erg obscure bug als hij pas na 17 jaar wordt ontdekt. Niet heel vreemd dat de prioriteit om het te fixen niet al te hoog is geweest: ik betwijfel dat veel malware makers nog zoeken naar fouten in 16-bit emulatie software.
Laat dit een waarschuwing zijn dat vanaf nu nog meer mogelijk zou kunnen zijn...
Ik denk dat dit hele IE verhaal langzaam aan het begin van het einde van MS is. Steeds meer mensen stappen over op andere browsers, is het niet tijdelijk dan is het al gauw voor altijd.
Gezien Google zich ook in de OS strijd gaat gooien (in de toekomst?) zullen er vast nog wel een paar volgen waardoor er misschien net als met de browsers steeds meer variatie komt in OS. Die variatie kan natuurlijk weer zorgen dat mensen 'toch even gaan kijken bij de buren' omdat zij niet zoveel last hebben van virussen. Des te meer verschillende OS'en des te minder virussen denk ik zo :)

Maare back on topic, wel slordig dat er al zo vreselijk lang een beveiligingslek aanwezig is. Verbazingwekkend dat het nog niet eerder ontdekt is ook..
Ach...gelukkig wordt de DOS VM niet meer ondersteund/meegeleverd onder 64 bit windows en is Windows 7 de laatste 32 bit versie :) dus dat scheelt weer
Click Start, click Run, type gpedit.msc in the Open box, and then click OK.

En dan krijg de melding dat ik gpedit.msc niet heb :D
Omdat ik namelijk geen geld wilde uitgeven voor allerhande onzin die ik toch niet gebruik.

De workaround die ik op Google vond was.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]
"VDMDisallowed"=dword:00000001

[Reactie gewijzigd door s.stok op 22 januari 2010 13:13]

ik heb zelf nog geen last gehad van de lek maar in de tussentijd gebruik ik wel firefox
Ik vind het altijd zo mooi. De overheden roepen "gebruik IE niet meer" en het wordt zo geregeld. Roep als beveiligsadviseur echter dat IE6 binnen dezelfde organisatie moet worden geupgrade naar IE8 en dan is opeens niets meer mogelijk.
Een bedrijf kan over het algemeen ook niet "zomaar" even upgraden, omdat simpelweg veel zakelijke software nog IE6 vereist. Dat moet dus eerst allemaal aangepast worden.

Dat advies was dan ook vooral op consumenten gereicht, en imho ging dat advies ook nergens over, alsof andere browsers geen bugs hebben ofzo...
Heheh idd wel grappig, zit hier bij de gemeente en ze zitten idd nog op dat oude verotte systeem van IE 6 terwijl ze het Office pakket wel al opgepimpt hebben naar 2007. xD
Beetje raar dat die 'zakelijke software' waar wildhagen hieronder overspreekt niet aangepast wordt zodat het wel werkt met een betere versie..
Het heeft allemaal te maken met risico management, schade= kans x bedrag, Breng het te lopen risico in kaart en bereken vervolgens wat het kost om het op te lossen. Je hebt een gaatje in je hoofd als je een miljoen euro (als voorbeeld) gaat uitgeven voor een relatief beperkt risico met lage schade.
Kijk maar naar hoe banken het doen, skimmen wordt inmiddels als een acceptabel risico geclassificeerd en slachtoffers worden direct schadeloos gesteld. Dat kost blijkbaar minder dan de maatregelen om skimmen onmogelijk te maken. Soms moet je risico's gewoon accepteren want een ideale wereld bestaat nu eenmaal niet.
Neemt niet weg dat je het vervolgens erbij moet laten, uiteindelijk wil je de risico's zoveel mogelijk terug dringen. Alleen zijn dat vaak wat langduriger trajecten en ben je als bedrijf hierin erg afhankelijk van anderen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True