Microsoft onderzoekt 17 jaar oud Windows-lek en patcht IE

Er is een kwetsbaarheid in de Virtual DOS Machine van Windows ontdekt die al in Windows NT uit 1993 zat en alle daaropvolgende versies van het OS treft. Microsoft brengt ondertussen een patch uit voor het beruchte lek in Internet Explorer.

Windows Vista patch Het lek werd ontdekt door Tavis Ormandy van Googles beveiligingsteam. De weinig gebruikte Virtual DOS Machine, die voor ondersteuning van 16bit-applicaties zorgt, zou volgens hem meerdere beveiligingsproblemen hebben. Deze zouden kwaadwillenden in staat kunnen stellen 16bit-applicaties zo aan te passen dat daarmee op beheerdersniveau code uitgevoerd kan worden. Overigens kan de kwetsbaarheid niet op afstand uitgebuit worden: de aanvaller moet lokaal ingelogd zijn om er misbruik van te kunnen maken. Ormandy zou de problemen op 12 juni 2009 gemeld hebben. Microsoft raadt aan de NT Virtual DOS Mode uit te schakelen, maar het bedrijf heeft er nog geen patch voor beschikbaar gesteld.

Wel heeft Microsoft een patch gereed voor het beruchte lek in Internet Explorer waarvan vermoed wordt dat deze door de Chinese overheid gebruikt is voor de aanval op Googles Gmail. Microsoft stelt de patch donderdag, dus buiten de gebruikelijke patch-cyclus, beschikbaar. Het bedrijf had grote haast bij de ontwikkeling van de lapmiddelcode, aangezien het lek tot gezichtsverlies en waarschijnlijk zelfs tot een dalend gebruik van IE heeft geleid. Onder andere de Duitse, Franse en Australische overheid hebben afgeraden de browser van Microsoft te gebruiken tot een patch uitgebracht zou zijn. Mozilla meldt dat in de vier dagen na de oproep, in Duitsland 300.000 extra downloads van de Firefox-browser zijn genoteerd. Ook Opera nam in Duitsland een stijgend aantal downloads van zijn browser waar.

IT-banen

Reacties (95)

Verwijderd 21 januari 2010 13:22

so na 17 jaar er achter komen snel hoor.
Nou ja het maakt ook niet uit als ze maar een patch uitbrengen die deze lek dicht

Dutch2007 @Verwijderd • 21 januari 2010 13:25

ach soon(tm), met 64bits os-en is er geen 16bits meer, dan ist ook problem solved.

thunderbird2k @Dutch2007 • 21 januari 2010 13:32

Je kunt nog steeds 16-bit code draaien, maar geen 16-bit protected mode (dos dingen). Onder Wine op 64-bit draaien we nog gewoon 16-bit win3.1 software.

boe2 @thunderbird2k • 21 januari 2010 13:57

Onder wine misschien wel, maar onder vista/windows 7 64-bit is het onmogelijk om nog 16-bit code te draaien.

piccollo1985 @boe2 • 21 januari 2010 14:13

Ik kan nog een progama voor windows 3.1/3.11 op me 32bits versie van vista.
En het zelfde progama kan ik ook me me 64bits linux rijen.

mschol @piccollo1985 • 21 januari 2010 14:38

hij heeft het over een 64bit versie, jij over 32bit
iets met appels en peren...

NTAuthority

@thunderbird2k • 21 januari 2010 14:48

... alleen bevat Windows in 64-bit-versies geen NTVDM/Win16-support meer, wat ook is waar op gedoeld wordt.

[Reactie gewijzigd door NTAuthority op 25 juli 2024 18:03]

Verwijderd @Dutch2007 • 21 januari 2010 13:28

Alleen gebruikt nog lang niet iedereen een 64bits os.

Verwijderd @Verwijderd • 21 januari 2010 13:33

Ach, het kan erger. Weten we nog, de 25 jaar oude BSD bug, of de fout in OpenBSD uit 1975?

mschol @Verwijderd • 21 januari 2010 14:38

tuurlijk niet, alle MS fouten worden breed uitgemeten en dat een *nix variant een fout heeft, dat boeit niet...

user109731 21 januari 2010 13:22

Ik vraag me bij zoiets altijd af of men bij de NSA of in bijv. China al niet veel langer op de hoogte is van dit lek. Men doet altijd of een lek voor het eerst ontdekt wordt, maar het kan net zo goed al langer bekend zijn bij inlichtingendiensten of (vijandige) overheden

[Reactie gewijzigd door user109731 op 25 juli 2024 18:03]

mashell @user109731 • 21 januari 2010 13:45

Je hebt drie mogelijkheden als je een lek ontdekt. Je houdt het geheim om het te kunnen exploiten, je maakt het bekend om je 15 minutes of fame te claimen, of je doet helemaal niets.

Verwijderd @mashell • 22 januari 2010 00:21

of je meldt het bij de betreffende producent zonder die 15 minutes of fame te claimen.

duke_online 21 januari 2010 13:17

Ormandy zou de problemen op 12 juni 2009 gemeld hebben

Dat duurt wel erg lang voordat er iets gebeurt.

wildhagen

Beveiliging
Besturingssystemen
Microsoft Windows

@duke_online • 21 januari 2010 13:18

Waarschijnlijk omdat het een lower-than-low priority is, gezien de betreffende functionaliteit zo goed als niet meer gebruikt word.

Dan zijn er wel belangrijkere dingen die gefixed kunnen worden, lijkt me ook vrij logisch.

user109731 @wildhagen • 21 januari 2010 13:25

Sorry, maar hoe kan een beveiligingslek nou lower-than-low priority zijn?! Een beveligingslek moet altijd gedicht worden. Het zal niet de eerste keer zijn dat een bestaand, opzich ongevaarlijk lek toch grote gevolgen kan hebben in combinatie met iets anders.

Natuurlijk heb je bepaalde high priority lekken, zoals die in IE. Maar het andere lek moet imho ook gewoon zo snel mogelijk gedicht worden, het enige wat nodig is is een 16-bit compiler...

edit: @the_shadow: het is meer dan een half jaar oud
@Ortep: dat is niet lower than low maar medium/high. Feature requests of schoonheidsfoutjes zijn lower than low.

[Reactie gewijzigd door user109731 op 25 juli 2024 18:03]

Swerfer @user109731 • 21 januari 2010 14:02

Als pas na 17 jaar Microsoft zelf het lek heeft gevonden, dan zal het wel heel veel toeval zijn dat een kwaadwillende het lek nog had gevonden. Vooral omdat het lek in bijna niet meer gebruikte verouderde software zit, waar een hacker waarschijnlijk niet op lekken gaat zoeken.

arjankoole

Beveiliging
Software development

@Swerfer • 21 januari 2010 14:09

Als pas na 17 jaar Microsoft zelf het lek heeft gevonden, dan zal het wel heel veel toeval zijn dat een kwaadwillende het lek nog had gevonden.

Google 'vond' (ironisch) het eerder dan microsoft, zonder toegang tot de broncode van MS. Als een security onderzoeker bij Google het vind, dan kun je er eigelijk zeker van zijn dat een persoon met mindere frisse bedoelingen het ook kan.

[Reactie gewijzigd door arjankoole op 25 juli 2024 18:03]

Verwijderd @arjankoole • 21 januari 2010 14:24

Serieuze security onderzoekers publiceren geen lekken met exploitatie code voordat er een patch is.

Z80 @Verwijderd • 21 januari 2010 15:23

maar nu bekend is waar gezocht moet worden zal er zeker een jacht ontstaan naar dit lek.
aangezien dit een zeer specifiek bestand is kan er ook zeer gericht gezocht gaan worden.
en reken maar dat het lek ook gevonden gaat worden.

mae-t.net @Verwijderd • 21 januari 2010 17:36

Soms is het lekken van een lek de enige manier om een patch voorelkaar te krijgen, kijk maar naar het vroegere tentamenaanmeldsysteem van de TU-Delft (iedereen kan elke student overal aan en afmelden, was toen het motto). Als een serieuze onderzoeker vermoed dat er een exploit op komst is, kan dat dus een begrijpelijke manier van handelen zijn om een snelle waarschuwing en oplossing af te dwingen.

@swerfer: het is niet te voorspellen waar een hacker op zoek gaat naar lekken, dat zou juist zomaar in oude code kunnen zijn en dan speciaal omdat daar toch nooit iemand naar kijkt. Vergeet niet dat hackers niet conventioneel en rechtlijnig denken.

[Reactie gewijzigd door mae-t.net op 25 juli 2024 18:03]

the_shadow @user109731 • 21 januari 2010 13:29

En het wordt nu toch ook gefixt? Zoals je zelf al zegt zijn er bepaalde prioriteiten in bugs, en het gaat hier kennelijk om een dusdanig vreemd geval dat het waarschijnlijk uberhaupt al lastig gaat worden om het op te sporen.

Ortep

@user109731 • 21 januari 2010 13:29

Natuurlijk kan het lower dan low zijn. Als je een stopcontact in huis hebt waarvan er een scheurtje in het kapje zit, is dat onveilg en moet het repareren. Maar als de gaskraan kapot is en het gas stroomt je keuken in heeft dt een 'iets' hogere prioriteit

Z80 @wildhagen • 21 januari 2010 13:22

dat de functie niet gebruikt wordt zegt niets over de mogelijkheid om dit lek te misbruiken.
maar blijkbaar moeten er eerst ongelukken gebeuren voordat er iets gebeurd.

wildhagen

Beveiliging
Besturingssystemen
Microsoft Windows

@Z80 • 21 januari 2010 13:25

Het lek bestaat uit het aanpassen van 16-bits applicaties met malicious code. Hoeveel 16 bits applicaties ken jij nog? Dat is allemaal 10+ jaar oud spul, dat word waarschijnlijk zo goed als niet meer gebruikt.

De kans dat dit actief misbruikt gaat worden is dus bijna 0, omdat alle moderne apps 32-bits of hoger zijn, en dan heb je hier geen last van, omdat die de NTVDM niet gebruiken.

Little Penguin

Software development

@wildhagen • 21 januari 2010 13:37

De kans dat dit actief misbruikt gaat worden is dus bijna 0, omdat alle moderne apps 32-bits of hoger zijn, en dan heb je hier geen last van, omdat die de NTVDM niet gebruiken.

Aan een Windows EXE-cutable kun je als leek niet direct zien of deze nu 16-bit of 32-bit code bevat, een hacker hoeft de gebruiker dus maar te verleiden tot het installeren van een grappig programma (of spel) die in een 16-bit executable gestopt is...

Dus het lek is kritieker dan je op het eerst gezicht zou zeggen, het enige geluk dat is dat je met de hedendaagse tools niet zo gemakkelijk een 16-bit applicatie kunt maken. Maar op het moment dat men een grappig programma uit de oude doos op weet te diepen (en deze aanpast) is het lek dus ineens wel kritiek...

(Eindeloze backwards-compatibiliteit heeft zo ook zijn nadelen...)

wildhagen

Beveiliging
Besturingssystemen
Microsoft Windows

@Little Penguin • 21 januari 2010 13:41

Dan nog is de kans klein. De kwaadwillende hacker moet namelijk fysiek toegang hebben tot het station (bug lijkt niet remote exploitable), en daarnaast houd UAC dit ook al tegen, omdat het full administrative privileges nodig hebben, en by default heb je die niet in Vista en Win7.

Als iemand toch al fysieke toegang heeft tot een PC, zoals vereist, dan is het toch al mogelijk om op andere manier kwaadwilende code te installeren, daar heb je deze bug echt niet voor nodig.

MBV

Software development

@wildhagen • 21 januari 2010 13:57

"Wilt u dit bestand downloaden of uitvoeren? [insert random spelletjesnaam]"
-> uitvoeren
"Dit kan gevaarlijk zijn"
-> ok
"Uitvoeren?"
-> ok
"Dit kan gevaarlijk zijn"
-> ok
"..."
-> ok
"Dit programma heeft privileges nodig"
-> ok

Dat is hoe UAC er bij een download met IE ongeveer uitziet, bij elke download, op die laatste stap na. Denk je echt dat je zusje/tante/moeder/noob dat op zal vallen? Je moet gewoon een keer vaker op OK klikken....

watercoolertje

Software development

@MBV • 21 januari 2010 14:10

@MBV: Dus wanneer komt die exploit nou te pas? Ow wacht je moet een (16-bits) app maken en die laten downloaden zodat je misbruik kan maken van een bug? Kan je dan niet direct een virus sturen?

[Reactie gewijzigd door watercoolertje op 25 juli 2024 18:03]

MBV

Software development

@watercoolertje • 22 januari 2010 11:20

@watercoolertje: omdat een normaal OS iets aan rechtenbeheer doet, zelfs Vista doet dat al. Je kan dan als gewone gebruiker je systeem niet om zeep helpen, en hebt dus geen rechten om een trojan te installeren. Met dit programma kan dat wel.

Malarky @MBV • 21 januari 2010 14:18

Maar als de 'trojan' dan toegang wil tot andere bestanden en applicaties blijf je vensters krijgen, die mensen blijkbaar toch vaak niet accepteren. Heb is gewoon zo dat je relatief heel weinig computers tegen komt die besmet zijn en UAC aan hebben staan (vooral die van Vista). Helaas is dat zo...als dat je werk is.

[Reactie gewijzigd door Malarky op 25 juli 2024 18:03]

Whieee Moderator Apple Talk @MBV • 21 januari 2010 15:43

Dat plus het feit dat $puber doorgaans wel een vriendje, klasgenootje, buurmannetje of Computer-Idee-lezende vader/oom heeft die 'dat irritante popup gedoe' (UAC) wel even uitzet

Whieee Moderator Apple Talk @wildhagen • 21 januari 2010 13:53

De bug maakt een privilege elevation mogelijk. Dat impliceert dus dat je als regular user admin rechten kan krijgen. Als je al admin rechten nodig zou hebben zou het geen bug zijn, maar meer een trojan.

Uit het artikel hierboven:

Deze zouden kwaadwillenden in staat kunnen stellen 16bit-applicaties zo aan te passen dat daarmee op beheerdersniveau code uitgevoerd kan worden.

Ergo: bouw een trojan die deze bug misbruikt, en je kan op beheersniveau code uitvoeren; zoals het installeren van een backdoor. Gezien de hoeveelheid Windows versies die getroffen worden door deze bug, is het erg lucratief voor iemand die graag een botnet wil bouwen. Alle op NT gebaseerde Windows versies vanaf 1993 zijn kwetsbaar, en daarmee dus ook die 'enkele miljoenen' thuisgebruikers die thuis XP, Vista of Windows 7 draaien. Tel daarbij op dat het gemiddelde puberkindje op alles klikt wat in het MSN venster verschijnt, en je hebt een prima scenario voor een enorm botnet.

wildhagen

Beveiliging
Besturingssystemen
Microsoft Windows

@Whieee • 21 januari 2010 13:58

De bug maakt een privilege elevation mogelijk. Dat impliceert dus dat je als regular user admin rechten kan krijgen

Dat klopt, maar de exploit word door UAC al afgevangen, dus Windows Vista en Windows 7 zijn sowieso al nauwelijks kwetsbaar.

Aangezien NT4 en 2000 nauwelijks gebruikt worden bij consumenten, blijft alleen XP nog over. En ook het aantal gebruikers daarvan is een teruglopende zaak.

Voor bedrijven is het sowieso geen issue, omdat die middels policies gewoon NTVDM kunnen uitschakelen, plus dingen als firewall en virusscanners die exploits als het goed is tegen houden.

En zoals gezegd, om het lek te kunnen misbruiken moet een kwaadwillende fysieke toegang hebben tot de PC, een remote exploit blijkt niet mogelijk te zijn:

An attacker must have valid logon credentials and be able to log on locally to exploit this vulnerability. The vulnerability could not be exploited remotely or by anonymous users

Gepetto @wildhagen • 22 januari 2010 10:56

Dat klopt, maar de exploit word door UAC al afgevangen, dus Windows Vista en Windows 7 zijn sowieso al nauwelijks kwetsbaar.

Ware het niet dat een groot deel van de Vista/7 gebruikers UAC heeft uitgeschakeld vanwege al die hinderlijke meldingen.

Verwijderd @Whieee • 22 januari 2010 09:48

Er zijn nog genoeg spelletjes van vroegah.. die op deze manier ingezet kunnen worden voor zo'n exploit.
Ook een simpele keygen o.i.d. die in 16 bit werkt zou al kunnen werken.
Dus ook 'nieuwe' programma's kunnen nog kwaad!

HerrPino @wildhagen • 21 januari 2010 13:56

Daarbij komt ook nog dat Vista en Win7 geen ondersteuning meer hebben voor 16-bit applicaties. De enige mensen die dus eventueel problemen zouden kunnen ondervinden zijn de die-hard WinXP en ouder users.

michaelwaterman @HerrPino • 21 januari 2010 14:59

Dat is niet helemaal waar. Alleen de 64 Bits versies van Win7 & Windows Vista hebben geen WOW voor 16 Bits apps meer.

wildhagen

Beveiliging
Besturingssystemen
Microsoft Windows

@michaelwaterman • 21 januari 2010 15:03

Dat is niet helemaal waar. Alleen de 64 Bits versies van Win7 & Windows Vista hebben geen WOW voor 16 Bits apps meer.

Dit klopt, maar WoW (Windows on Windows) is niet de module waar de bug in zit, de bug zit hem in NTVDM (NT Virtual DOS Machine).

WOW word gebruikt om 16-bits Windows-software te kunnen draaien, NTVDM is om DOS-applicaties te kunnen draaien.

Beiden zijn in de x64-versies van Windows Vista en Windows 7 niet meer aanwezig inderdaad, in de 32-bits versies wel.

robvanwijk

Beveiliging
Netwerk en systeembeheer

@wildhagen • 21 januari 2010 14:12

Ja, de pagina van Microsoft zelf zegt inderdaad:

How could an attacker exploit the vulnerability?
To exploit this vulnerability, an attacker would first have to log on to the system. An attacker could then run a specially crafted application that could exploit the vulnerability and cause the system to stop responding and restart.

Maar dat is alleen relevant als je gericht een bepaalde machine aan wilt vallen. Als je alleen (een groot aantal) "random" bakken wilt kraken (bijvoorbeeld om ze in een botnet te hangen), dan werkt bovenstaande redenering niet, want je kunt "an attacker would first have to log on to the system" vervangen door "an attacker would first have to get a logged on user to download his trojan".
Overigens zie ik nergens staan dat UAC je hiertegen zou beschermen (ik zal later vandaag eens testen of UAC een melding geeft als NTVDM gestart wordt). Bovendien, we weten allebei dat mensen die waarschuwingen toch ongelezen wegklikken. Dat is hun eigen schuld, maar lost het probleem niet op.
En er zijn meer dan genoeg 16bit executables die je kunt ombouwen tot trojan; zo ongeveer alle abandonware (and then some) is een erg geschikte kandidaat. Leuke (voor veel mensen: originele, "nieuwe" ehm ja, je snapt wat ik bedoel) spelletjes die lekker klein zijn (en dus snel zijn te downloaden).

mae-t.net @wildhagen • 21 januari 2010 17:34

Fysieke toegang, als in een trojan opsturen naar nietsvermoedende slachtoffers?

@wildhagen hieronder: dat maak ik toch niet uit de beschrijving op, het klinkt ook niet zo waarschijnlijk. Ik zal het nog eens doorlezen.

-> lijkt me na bestudering toch ook dat je met een klikgrage gebruiker heel ver komt...

[Reactie gewijzigd door mae-t.net op 25 juli 2024 18:03]

wildhagen

Beveiliging
Besturingssystemen
Microsoft Windows

@mae-t.net • 21 januari 2010 17:38

Fysieke toegang, als in een trojan opsturen naar nietsvermoedende slachtoffers?

Nee, als in "het apparaat fysiek aan kunnen raken", oftewel: achter het toetsenbord zitten.

Zoals je kan lezen is uit onderzoek gebleken dat deze bug, in tegenstelling tot veel anderen, niet van afstand te exploiten is.

Verwijderd @wildhagen • 21 januari 2010 19:13

Achter het toetsenbord hoeft niet perse de kwaadwillende te zitten. Dat zal eigenlijk altijd gewoon de gebruiker zijn. Als die nietvermoedend zo'n applicatie start (en er zijn genoeg ik-klik-op-alles-mensen op de wereld) is de ellende geschied.

mae-t.net @wildhagen • 21 januari 2010 17:32

Niet het aanpassen van een 16-bits applicatie, maar het gebruiken van de Windows-code waar die op draaien... En aangezien die standaard AAN staat, is zoiets wel degelijk ernstig.

dusti @duke_online • 21 januari 2010 13:22

erger nog: ER is nog steeds niets gebeurd gezien MS aanraad om deze functionaliteit uit te schakelen.

het is nu al beter maar al die extra functie in windows die standaard aan staan maken het er niet veiliger op.
Mocht dit standaard uitstaan zou het al minder problematisch zijn maar het lek zou nog steeds bestaan.
En dan mekkeren ze bij windows dat firefox of opera ook bugs zitten hebben, wat wel waar zal zijn maar het gemiddeld worden lekken sneller gepached.

TheVMaster Moderator WOS

Microsoft Windows

@dusti • 21 januari 2010 14:20

Ach....wij tweakers gebruiken toch allemaal al jaren 64-bits versies van Windows 7 (of Vista) en laat die nou net ongevoelig zijn voor dat 17 jaar oude lek

Verwijderd @TheVMaster • 21 januari 2010 15:16

Er is een kwetsbaarheid in de Virtual DOS Machine van Windows ontdekt die al in Windows NT uit 1993 zat en alle daaropvolgende versies van het OS treft.

Oh ja?

SunnieNL

Microsoft Windows

@Verwijderd • 21 januari 2010 15:23

Ja, want een 64bit machine kan geen 16bit code meer draaien.

Verwijderd @SunnieNL • 22 januari 2010 19:10

Oke dan heeft de tekst die ik heb gequote het fout.

DeMetaal @dusti • 21 januari 2010 13:48

Misschien omdat Mozilla zich wat meer kan concentreren op alleen de browser en MS een compleet besturingssysteem heeft om te onderhouden? Nja misschien dat het niet opgaat want MS is dermate groot dat ze wss of evenveel of misschien zelfs meer mensen in dienst hebben..

ApexAlpha 21 januari 2010 13:21

Hoe één browser de ontwikkeling van het internet zo kan stagneren, en hoe het voor zo veel problemen zorgt...

Wordt tijd dat Kroes browsers eens moet laten voldoen aan bepaalde tests, IE is in de eu versie van windows toch eruit!

wildhagen

Beveiliging
Besturingssystemen
Microsoft Windows

@ApexAlpha • 21 januari 2010 13:23

Hoe één browser de ontwikkeling van het internet zo kan stagneren, en hoe het voor zo veel problemen zorgt...

En jij dacht dat andere browsers als Firefox, Opera etc geen securitybugs bevatten ofzo?

Als een browser de meest gebruikte is, is het nogal logisch dat de impact bij problemen ook iets groter is. Dat maakt het nog geen slechte browser, want zeker versie 8 is gewoon prima op orde.

Wordt tijd dat Kroes browsers eens moet laten voldoen aan bepaalde tests,

Waarom? Wat heeft het voor zin dat een browser voldoet aan een synthetische test, waar je in de dagelijkse praktijk niet of nauwelijks mee te maken hebt?

IE is in de eu versie van windows toch eruit!

Nee hoor, er is alleen een keuzescherm.

page404 @wildhagen • 21 januari 2010 13:30

je mist het punt van AlexAlpha, het gaat niet om de bugs alleen.
Ik werk voor een ASP, dus ik zie in de praktijk wat het geklooi van MS met de internet standaarden voor rommel heeft veroorzaakt. en als je dacht dat die tijden voorbij waren, nee. het wordt alleen erger, want het is niet alleen firefox én IE waar je compatible mee moet zijn, maar tegenwoordig ook firefox én IE7 én IE8, omdat ze zich allemaal anders gedragen. Door die hele standaardendivergentie is het web één grote puinhoop geworden, wat ontzettend veel tijd en geld kost in ontwikkeling van nieuwe functionaliteit. Met dank aan voornamelijk MS.
Daarnaast wordt iedere keer weer overtuigend aangetoond dat IE bloated, instabiel en extreem onveilig is. Als je zonodig de markt wil beheersen heb je ook een zekere verantwoordelijkheid om dan ook iets goeds neer te zetten. maar dat ben je vast niet met me eens.

[Reactie gewijzigd door page404 op 25 juli 2024 18:03]

mjtdevries @page404 • 21 januari 2010 14:19

Blijkbaar ben je dan nog vrij jong, want MS heeft dat truukje geleerd van Netscape.
Wat dat betreft kun je ook niet zeggen dat het web een puinhoop is geworden, want het is gewoon vanaf het allereerste begin een puinhoop geweest.

blouweKip @mjtdevries • 21 januari 2010 15:09

zowel netscape als IE waren rond dezelfde tijd bezig met custom tags e.d, alleen de mate waarin verschilde, opzich geen probleem zolang er competitie is maar wel zodra 1 van beide een oneerlijk voordeel kreeg (ie kreeg geen poot aan de grond voordat het gebundeld werd omdat het letterlijk een gedrocht was - pas met 8 gaan ze de goede richting op)

page404 @mjtdevries • 21 januari 2010 15:17

er is nog een tijd geweest (opa spreekt) dat het redelijk wildwest was qua standaarden. dat is geen probleem, maar al lang nadat er duidelijke standaarden waren neergezet door het W3C heeft MS zijn macht in de markt misbruikt door die standaarden net even verkeerd te implementeren. Toen is iedereen speciaal voor IE gaan programmeren, en moesten er voor de W3C-compatible Netscapes en later Firefoxen/Operas van deze wereld workarounds in de code gemaakt worden. De wereld op zijn kop

En dat proprietaire ActiveX is natuurlijk helemaal het slechtste wat ons ooit is overkomen.

ApexAlpha @page404 • 21 januari 2010 13:35

Maar dat is juist mijn punt, doordát de browsers van MS afwijkende standaarden hanteren, zich anders gedragen etc, moet je iedere keer rekening houden met allerlei verschillen.

Als 99% van de mensen gewoon firefox zou gebruiken, zou dit geen probleem zijn, want als het op firefox werkt dan werkt het (meestal) ook op safari en chrome e.d.

p.s. apex, maargoed.

[Reactie gewijzigd door ApexAlpha op 25 juli 2024 18:03]

page404 @ApexAlpha • 21 januari 2010 13:38

zie je wel dat ik je punt goed begreep

ApexAlpha

i-chat @page404 • 21 januari 2010 13:59

als je nieuwe webbased software bouwd, kun je maar beter zorgen dat je je gewoon aan de meest gangbare standaarden houd, - als je klanten dan bij IE6 blijven is dat hun probleem,

of houd je bij het programmeeren ook nog rekening met Pentium 133 machines????

kortom keuzes durven maken, bepaalde software is gewoon te oud om nog ondersteunt te worden,

The Van @wildhagen • 21 januari 2010 14:06

Dat maakt het nog geen slechte browser, want zeker versie 8 is gewoon prima op orde.

Yeah, right. Is helemaal HTML-compliant, zeker? Kom nou!

Microsoft heeft een hele, hele grote fout gemaakt door te stellen, dat de PC onderdeel zou zijn, of zou moeten worden, van Internet. Een tijdje nadat MS er (eindelijk...) achterkwam, dat internet een blijvertje zou zijn. Toen kwam ActiveX: het gat van de browser naar je PC. Omdat de programmeurs zich er met een jantje-van-leiden afmaken zitten er (nog steeds) fouten in de MS producten.

Iemand had het al over backwards-compatible zijn... Dat is mede oorzaak van alle ellende. Vista zou toch vanaf de grond opnieuw opgebouwd worden, en Microsft SQL-Server als filesystem krijgen? En wat is daar van terecht gekomen?!?

MS is zo commercieel als wat: als meer eye-candy meer oplevert dan veiliheid, gaan ze voor eye-candy.

Verwijderd @The Van • 21 januari 2010 14:24

Betreffende het verhaal over ActiveX. ActiveX was/is in principe niets anders dan het volledig toegang geven van een applicatie aan je 'machine'. Ik las hier laatst dat iemand de C64 heeft nagebouwd mbv Javascript. Geloof mij: het duurt niet lang meer voordat we de eerste MS-DOS emulator geschreven in Javavscript tegen zullen komen. En dan zijn we in principe gewoon weer terug bij af.

Verwijderd @The Van • 21 januari 2010 14:40

Yeah, right. Is helemaal HTML-compliant, zeker? Kom nou!

Dat klopt inderdaad. HTML 4.01 compliant

ApexAlpha @wildhagen • 21 januari 2010 13:25

Tuurlijk hebben firefox e.d. beveiligings lekken, alleen minder..

En ja tuurlijk is IE8 in orde, maar weet je hoeveel tijd een ontwikkelaar kwijt is om zijn ap/website compitable te maken met ie5/6/7? Word tijd dat die er gewoon uit gepusht worden.

Cloud @ApexAlpha • 21 januari 2010 13:34

Tuurlijk hebben firefox e.d. beveiligings lekken, alleen minder..

Hoe weet je dat?

Beveiligingslekken ken je pas op het moment dat ze ontdekt zijn toch? En in de afgelopen drie maanden zijn er veel meer kritieke lekken in Firefox ontdekt, dan in Internet Explorer.

Tenminste als we de National Vulnerability Database (NVB) mogen geloven. 34 stuks voor Firefox, tegen 14 in IE.

Ik wil hiermee niet zeggen dat IE veiliger is dan Firefox, of wat dan ook, ik probeer alleen maar aan te geven dat je zo'n uitspraak niet zomaar kan doen. Of heb je nog andere bronnen die iets anders beweren?

Demoterror @Cloud • 21 januari 2010 13:43

Nadeel van populair zijn.
Je trekt niet alleen meer/nieuwe users aan maar het maakt het ook aantrekkelijker om fouten te zoeken aangezien je doelgroep voor je mallware ook groter is geworden.

Als 99% van de mensen browser x gebruikt, en 1% browser y dan is het de moeite niet om browser y te gaan abusen.
Als 60% browser x gebruikt en 40% browser y is het al een stuk rendabeler.
Door alle negatieve pers (En miss wel het browser keuzescherm) is het aandeel IE users gedaald en gebruiken die nu wat anders.
Het is dus nu meer de moeite waard om andere browsers te gaan exploiten dan dat dat vorig jaar/2jaar geleden was.

Zelfde met windows-linux.
Als morgen 60% van de windows users switcht naar een linux os krijg je hetzelfde effect.

tedades @Demoterror • 21 januari 2010 14:08

Dat zal waarschijnlijk waar zijn. Maar als ik zie dat ieder linux systeem anders is en je vaak niet zomaar executables kunt uitwisselen lijkt het me een stuk moeilijker om 1 nuttige exploit te maken voor alle linux machines. En op het moment dat dit bekend is kan iedereen (die weet hoe) een patch hiervoor maken.

Ortep

@tedades • 21 januari 2010 14:22

En op het moment dat dit bekend is kan iedereen (die weet hoe) een patch hiervoor maken.

Je geeft precies aan waar het fout gaat met de woorden: die weet hoe

Linux gebruikers zijn over het algemeen mensen die weten wat ze willen of doen en letten op veilgheid. Bij de windows gebruikers is dat veel minder. Maar zodra je iedereen overzet naar Linux zitten alle computer analfabeten er ook op en stort je veiligheid in. Ik heb nu al mensen gezien die liepen te klagen over Linux dat alles was dichtgetimmerd. Die wilden standaard als root werken.

Demoterror @tedades • 21 januari 2010 14:32

Dat is juist het punt.
Zolang software niet mainstream is zal het vaak alleen worden gebruikt door mensen die er (meer) verstand van hebben.
Zo begon Firefox ook.
Dus eventuele exploits die er zouden zijn zullen sneller opgelost worden, omdat er een sterke community achter zit. Nu Firefox meer de populaire kant op gaat is dit % kleiner terwijl het aantal exploits toeneemt.

Als tweakers.net morgen zn eigen browser launched zullen in het begin ook alleen grotendeels tweakers deze gebruiken.
Als diezelfde browser dan publiek gepromote gaat worden neemt het aantal users toe waarbij de gemiddelde "kwaliteit" per user afneemt

user109731 @wildhagen • 21 januari 2010 13:33

Dat maakt het nog geen slechte browser, want zeker versie 8 is gewoon prima op orde.

Nee, IE8 is alleen beter dan zijn voorgangers. Maar in vergelijking met de concurrentie loopt het nog steeds achter. HTML5 (<canvas>, <video>), SVG, snelle JS-engine, etc.

[Reactie gewijzigd door user109731 op 25 juli 2024 18:03]

Verwijderd @user109731 • 21 januari 2010 14:34

Maar in vergelijking met de concurrentie loopt het nog steeds achter

Het is maar hoe je het bekijkt.
* IE8 heeft standaard weer de betere beveiligingen tegen XSS aanvallen
* IE8 biedt een zeer goede smartfiltering functie tov andere browsers.
* In IE8 worden tabs gespreid over meerdere executables (heeft alleen Chrome ook).
* IE is veel beter centraal configureerbaar dan andere browsers.
* IE8 biedt wel compatbiliteit met voorgaande versies
* IE biedt langdurige productondersteuning voor elke versie.

Allemaal zaken die voor bijvoorbeeld bedrijven veel zinvoller zijn dan zaken als html5 en svg ondersteuning.

In die zaken lopen al die andere browsers juist achterop.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 18:03]

Verwijderd @wildhagen • 22 januari 2010 00:18

Als gevolg van de implementatie van het keuzescherm is IE ook uit de windows prefetch gesloopt. (op een installer na mocht het programma fysiek niet meer aanwezig zijn volgens de EU eis).

EDIT

@ApexAlpha • 21 januari 2010 13:24

Windows wordt gewoon geleverd met IE, ook Windows 7.
De Windows 7 E variant bestaat niet (meer).

Nightjar @EDIT • 21 januari 2010 13:34

Nee, die heet nu Windows 7 N...
daar zit geen browser bij en ook geen mediaplayer.. heb ik zelf ondervonden..

En ja dat was niet handig kan ik je verzekeren... helemaal niet als je denkt, ik installeer Firefox Minefield 64bit en kan Windows Mediacenter gewoon los installeren.. Nou niet dus..

Inmiddels heeft Microsoft MCE wel als losse x64 download.. Ik was vooral verbaasd hoeveel processen ingrijpen op de aanwezigheid van mediaplayer..

EDIT

@Nightjar • 21 januari 2010 13:43

Je had Windows 7 N en Windows 7 E.
Windows 7 E werd zonder Internet Explorer geleverd (zie http://nl.wikipedia.org/wiki/Windows_7#Windows_7_E), bij Windows N wordt enkel WMP niet meegeleverd. IE is gewoon aanwezig (zie http://nl.wikipedia.org/wiki/Windows_7#Windows_7_N).
De 'N' versie wordt gewoon verkocht, de 'E' versie niet.

Verwijderd @Nightjar • 21 januari 2010 13:45

IE zit ook gewoon in de N versies. Media Player inderdaad niet.

michaelwaterman @ApexAlpha • 21 januari 2010 15:03

We hebben geen EU versie meer. Deze is door de komst van het keuzescherm komen te vervallen.

the_shadow 21 januari 2010 13:26

Dit is dan wel echt een heel erg obscure bug als hij pas na 17 jaar wordt ontdekt. Niet heel vreemd dat de prioriteit om het te fixen niet al te hoog is geweest: ik betwijfel dat veel malware makers nog zoeken naar fouten in 16-bit emulatie software.

paella @the_shadow • 21 januari 2010 13:36

Laat dit een waarschuwing zijn dat vanaf nu nog meer mogelijk zou kunnen zijn...

DeMetaal 21 januari 2010 13:52

Ik denk dat dit hele IE verhaal langzaam aan het begin van het einde van MS is. Steeds meer mensen stappen over op andere browsers, is het niet tijdelijk dan is het al gauw voor altijd.
Gezien Google zich ook in de OS strijd gaat gooien (in de toekomst?) zullen er vast nog wel een paar volgen waardoor er misschien net als met de browsers steeds meer variatie komt in OS. Die variatie kan natuurlijk weer zorgen dat mensen 'toch even gaan kijken bij de buren' omdat zij niet zoveel last hebben van virussen. Des te meer verschillende OS'en des te minder virussen denk ik zo

Maare back on topic, wel slordig dat er al zo vreselijk lang een beveiligingslek aanwezig is. Verbazingwekkend dat het nog niet eerder ontdekt is ook..

Laurens-R 21 januari 2010 14:18

Ach...gelukkig wordt de DOS VM niet meer ondersteund/meegeleverd onder 64 bit windows en is Windows 7 de laatste 32 bit versie

dus dat scheelt weer

s.stok 22 januari 2010 13:13

Click Start, click Run, type gpedit.msc in the Open box, and then click OK.

En dan krijg de melding dat ik gpedit.msc niet heb

Omdat ik namelijk geen geld wilde uitgeven voor allerhande onzin die ik toch niet gebruik.

De workaround die ik op Google vond was.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]
"VDMDisallowed"=dword:00000001

[Reactie gewijzigd door s.stok op 25 juli 2024 18:03]

Obscure 25 januari 2010 09:19

ik heb zelf nog geen last gehad van de lek maar in de tussentijd gebruik ik wel firefox

Verwijderd 21 januari 2010 14:27

Ik vind het altijd zo mooi. De overheden roepen "gebruik IE niet meer" en het wordt zo geregeld. Roep als beveiligsadviseur echter dat IE6 binnen dezelfde organisatie moet worden geupgrade naar IE8 en dan is opeens niets meer mogelijk.

wildhagen

Beveiliging
Besturingssystemen
Microsoft Windows

@Verwijderd • 21 januari 2010 14:29

Een bedrijf kan over het algemeen ook niet "zomaar" even upgraden, omdat simpelweg veel zakelijke software nog IE6 vereist. Dat moet dus eerst allemaal aangepast worden.

Dat advies was dan ook vooral op consumenten gereicht, en imho ging dat advies ook nergens over, alsof andere browsers geen bugs hebben ofzo...

DeMetaal @Verwijderd • 21 januari 2010 14:38

Heheh idd wel grappig, zit hier bij de gemeente en ze zitten idd nog op dat oude verotte systeem van IE 6 terwijl ze het Office pakket wel al opgepimpt hebben naar 2007. xD
Beetje raar dat die 'zakelijke software' waar wildhagen hieronder overspreekt niet aangepast wordt zodat het wel werkt met een betere versie..

regmaster @DeMetaal • 22 januari 2010 10:27

Het heeft allemaal te maken met risico management, schade= kans x bedrag, Breng het te lopen risico in kaart en bereken vervolgens wat het kost om het op te lossen. Je hebt een gaatje in je hoofd als je een miljoen euro (als voorbeeld) gaat uitgeven voor een relatief beperkt risico met lage schade.
Kijk maar naar hoe banken het doen, skimmen wordt inmiddels als een acceptabel risico geclassificeerd en slachtoffers worden direct schadeloos gesteld. Dat kost blijkbaar minder dan de maatregelen om skimmen onmogelijk te maken. Soms moet je risico's gewoon accepteren want een ideale wereld bestaat nu eenmaal niet.
Neemt niet weg dat je het vervolgens erbij moet laten, uiteindelijk wil je de risico's zoveel mogelijk terug dringen. Alleen zijn dat vaak wat langduriger trajecten en ben je als bedrijf hierin erg afhankelijk van anderen.

Op dit item kan niet meer gereageerd worden.

Microsoft onderzoekt 17 jaar oud Windows-lek en patcht IE

Lees meer

IT-banen

Reacties (95)

Sorteer op:

Weergave: