Microsoft waarschuwt voor ernstig lek in mhtml

Microsoft waarschuwt gebruikers voor een ernstig lek in html-afgeleide mhtml, dat veel wordt gebruikt voor het offline opslaan van websites. De bug, die deze week naar boven kwam, kan kwaadwillenden toegang verlenen tot info van het slachtoffer.

Kwaadwillenden kunnen door de bug code uitvoeren op de pc van het slachtoffer, zo meldt Microsoft. In afwachting van een patch heeft Microsoft een tijdelijke Fixit-oplossing online gezet voor gebruikers die zich zorgen maken over het lek. De tijdelijke oplossing beperkt het gebruik van mhtml.

De bug zit in de wijze waarop Internet Explorer verzoeken afhandelt in MIME-formaat bij mhtml-bestanden. Mhtml wordt in diverse browsers gebruikt voor de opslag van internetpagina's met meerdere soorten content, maar andere browsers gebruiken de standaard uit 1999 niet. Ook Office kan omgaan met mhtml. Er is een exploit bekend voor het lek, maar die wordt volgens Microsoft nog niet actief gebruikt.

Microsoft is inmiddels bezig om een patch te maken die het lek moet dichten. Het is onduidelijk wanneer die patch beschikbaar komt. Het lek komt voor in alle recente versies van Windows, zoals XP, Vista en 7 en ook in serverversies zoals Server 2008. Het lek kan misbruikt worden als de gebruiker een malafide website bezoekt, waarop de exploit wordt uitgevoerd.

Reacties (71)

Verwijderd 29 januari 2011 13:25

misschien handig om ook even aan te geven dat het hier alleen om XSS code gaat en javascript en niet om shellcode.

dwilmer @Verwijderd • 30 januari 2011 00:30

Dat is zeker handig om te melden. Ten minste, het klinkt logisch wat je zegt (het gaat immers mis in de browser), maar met een browser die zo erg in het systeem verweven is/was als IE had ik het niet raar gevonden als je op een of andere manier veel meer kan doen dan dat. Windows Update via IE, dat verzin je toch niet... (in Win7 doen ze dat trouwens wel goed)

Qua Salébra 29 januari 2011 14:48

Mhtml (.mht) is toch gewoon een soort zip-formaat om webpagina's op te slaan?

Raar dat daar een lek in zit. Heb het vroeger wel gebruikt om te voorkomen dat je een bijna oneindige voorraad .js, gif enz bestanden op je harde schijf krijgt. Dit was echter in de tijd van Internet Explorer 6.

Toch wel vervelend dat in veel Windows onderdelen die niet massaal worden gebruikt na lange tijd bugs worden gevonden die toch wel vrij kritisch zijn. Zo blijf je bezig met patchen. Ook merkwaardig is het dat veel van deze bugs in alle Microsoft besturingssystemen aanwezig zijn.

Gomez12 @Qua Salébra • 29 januari 2011 15:34

Toch wel vervelend dat in veel Windows onderdelen die niet massaal worden gebruikt na lange tijd bugs worden gevonden die toch wel vrij kritisch zijn.

Ik vind het eerder positief, het duidt er wmb op dat de standaard veel gebruikte onderdelen redelijk bug-vrij zijn. Daardoor moeten de malware producenten hun blik gaan richten op randsoftware

Ook merkwaardig is het dat veel van deze bugs in alle Microsoft besturingssystemen aanwezig zijn.

Yep als je eenmaal iets gemaakt hebt dan ga je het voor een nieuw besturingssysteem uiteraard weer vanaf scratch maken ook al is er tot op heden nog geen bug in gevonden.

Je haalt het natuurlijk niet in je hoofd om code te gaan hergebruiken...

Qua Salébra @Gomez12 • 29 januari 2011 18:09

Goede opmerking. Dat is precies de reden waarom we steeds bugs vinden die 10 jaar geleden al hadden kunnen worden gevonden.

Daarnaast adverteert Microsoft zelf vaak met "large part written from scratch". Als ze dat werkelijk deden, kwam het niet voor dat veel bugs zowel in Windows 2000, als in Windows 7 voorkomen.

Ook zegt het vinden van bugs in code die niet veel gebruikt wordt veel over de testmethodes van Microsoft. Waarschijnlijk wordt veel oude code gewoon onaangepast meegecompileerd in nieuwe versies van IE. Zware bugs worden pas gevonden als externe partijen dit melden.

bush @Qua Salébra • 30 januari 2011 07:05

Ook zegt het vinden van bugs in code die niet veel gebruikt wordt veel over de testmethodes van Microsoft.

Wat een onzin, probeer jij maar eens een testsuite te schrijven voor een programma van een redelijke grootte die alles test. Dat is gewoon onmogelijk!

Qua Salébra @bush • 30 januari 2011 11:07

Inderdaad, lijkt me iets dat je niet in je eentje doet, maar waar je veel programmeurs voor nodig hebt. Zoiets als het aantal dat bij Microsoft op een project zit.

Ook lijkt me dit antwoord van de kant van Microsoft niet handig.

Waarom zitten er zoveel bugs in jullie code? Eh, we kunnen het niet goed testen, want het programma is te groot..

Waarom duurt het zo lang voordat Microsoft fatsoenlijke HTML 5 code heeft ingebouwd? Opera, Firefox (beta), Chrome en Safari (zelfde engine) ondersteunen dit al best lang (groot deel nieuwe tags).

Manuren moeten opofferen om een functie te patchen die lang geleden al verwijderd had kunnen worden lijkt me daarnaast ook niet iets om trots op te zijn. Microsoft blijft tenslotte een zeer succesvolle commerciële instelling.

codebeat @Qua Salébra • 29 januari 2011 19:24

Precies, het laatste stukje is het, Microsoft is slordig en de gebruiker is proefkonijn, altijd al zo geweest. Daarom vind je van die merkwaardige bugs in IE die niet zo snel zullen voorkomen in andere browsers. Neem bijvoorbeeld javascript, als je een object hebt en er is een property class dan gaat het script onderuit. dus als je dit doet:

var o = {};
o.class = 'test'; // error in IE

Maar dit kan dan weer wel: o['class'] = 'test';

Dat zijn van die idiote knullige dingen gewoon, syntax is goed maar IE heeft een probleem met propertynaam 'class', echt suf. Daaraan kun je zien dat de interpreter slecht in elkaar zit. het maakt trouwens niet uit wat voor object het is, al is het een data object zoals voorbeeld laat zien.

Hoe lang dit er al inzit? heel lang.

[Reactie gewijzigd door codebeat op 22 juli 2024 14:56]

Glashelder

@Qua Salébra • 29 januari 2011 20:13

Goede opmerking. Dat is precies de reden waarom we steeds bugs vinden die 10 jaar geleden al hadden kunnen worden gevonden.

Ja, en als je het niet doet dan introduceer je weer nieuwe, maar andere bugs. Code die al langer bloot staat aan aanvallen en allerlei testen is over het algemeen een stuk robuuster dan code die net nieuw is. Met elke bugfix wordt code na verloop van jaren robuuster.

iklucas 29 januari 2011 13:10

Zou dit lek zich ook voordoen bij IE 9? Bij een paar eerdere bugs raadde microsoft namelijk aan om over te stappen naar de ie 9 beta.

[Reactie gewijzigd door iklucas op 22 juli 2024 14:56]

xorinzor 29 januari 2011 13:38

het zal ook wel weer eens niet mis gaan met IE.
Waarom maken ze dat programma niet eerst even echt stabiel tevorens deze te releasen, dit kan hun status ook weer wat omhoog krikken.

latka @xorinzor • 29 januari 2011 13:58

Je bedoelt debug IE tot er geen bugs meer inzitten? Veel sterkte, dat kan niet en zeker niet met een stuk software wat zo groot en complex is.

xorinzor @latka • 29 januari 2011 14:06

das ook een reden waarom ik al overgestapt ben op firefox / chrome (ja ik weet dat chrome qua beveiliging ook niet top is maar al een stuk beter dan IE)

marcop23 @xorinzor • 29 januari 2011 15:27

Het is simpelweg niet mogelijk om een groot surk software helemaal bugvrij te maken. Ook Chrome of Firefox niet. Niet alleen in software van Microsoft (bijvoorbeeld Windows) zitten bugs, ook in bijvoorbeeld Linux of OSX, bijvoorbeeld de mogelijkheid om OSX te laten crashen door hem van accespoint te laten verwisselen.

codebeat @marcop23 • 29 januari 2011 19:13

Dat is wel waar maar wat ook waar is dat bij Microsoft het gaat om slordigheden, bugs door slordig te werken of het niet goed getest te hebben. Vaak zijn de producten van MS afhankelijk van allerlei andere 'rommel' waar je als gebruiker geen weet van hebt en als je die andere 'rommel' niet hebt of een andere versie dan klapt de boel. Vroeger noemde ze dat ook wel de DLL hel.

Ik vind het nog steeds onbegrijpelijk dat Microsoft IE niet los kan ontwikkelen van het besturingssysteem, andere (de concurrenten) kunnen dat namelijk wel. Dat zou ook de stabiliteit ten goede komen. Met een browser is een browser en moet een webpagina goed kunnen weergegeven, that's all en al die integratierommel hoeft er alemaal niet bij mits het onafhankelijk werkt.

Maar ja, je kan het er wel over blijven hebben, Microsoft doet wel meer dingen die de concurrenten niet doen. Het gaat bij Microsoft alleen maar om afhankelijkheid.

[Reactie gewijzigd door codebeat op 22 juli 2024 14:56]

Verwijderd @codebeat • 29 januari 2011 22:55

Bugs gaan bijna altijd om slordigheid. Bij sommigen natuurlijk ook een gebrek aan kennis.

Het waren trouwens andere programma's die vroeger op IE rekenden om te renderen en niet omgekeerd zoals je denkt. Niet enkel programma's zoals Word, Outlook of Explorer; maar ook tientallen 3rd party programma's die er gebruik van maakten en maken.
Dat is ook al meer dan 5jaar geleden opgelost, iets wat een tweaker onderhand mag weten. De engine (AKA Trident) is volledig losgekoppeld van IE. Dus de programma's die er toch nog gebruik van maken, zijn niet afhankelijk van het wel of niet geïnstalleerd zijn van IE.

Blij dat ik je kennis effe heb kunnen updaten want je loopt nogal achter in de snelle wereld van de ICT.

codebeat @Verwijderd • 30 januari 2011 03:16

Bugs gaan niet altijd om slordigheid, bugs kunnen wel door slordigheid zijn veroorzaakt alhoewel je dat geen bug kan noemen omdat het slordigheid betreft, slordigheid = onzorgvuldig. Een bug is iets wat onder bepaalde omstandigheden optreedt, iets wat tijdens het grondig testen niet naar boven is gekomen, een (niet bedoelde) uitzondering. Dat kan natuurlijk wel eens voorkomen maar omdat zoveel mogelijk te voorkomen test je de functionaliteit grondig. Een bug is dus niet per definitie een slordigheid.

Het andere: Vijf jaar geleden is het opgelost, er is wel meer opgelost (bijvoorbeeld verdwenen) maar of het daarmee opgelost is....

Maar het grappige is dat jezelf al aangeeft hoe het zit, ook al is IE niet op het systeem aanwezig dan is het toch aanwezig. Dat is dus in die zin is er niets veranderd (alleen de exe ontbreekt en ander zut), IE zit nog steeds verankerd in het systeem ook al heeft het misschien een ander naampje. Als je deze zogenaamde stukjes software weg zou halen werkt IE niet meer en ook alle andere software wat daarop leunt niet meer. Ergens is dat ook wel logisch want wanneer je ze deze stukjes software hadden weggehaald dan had een hoop niet meer gewerkt. Een foute keuze in het begin is een foute keuze in de toekomst (en dat is al vaker gebleken bij Microsoft).

IE is nog steeds gekoppeld aan het OS, IE9 werkt alleen vanaf vista. Dat is het grote verschil met de andere browsers, deze gebruiken misschien wel bepaalde services maar dat maakt niet uit welk OS het is. Dat is dus het meest stupide wat er is, een browser dat afhankelijk is van het OS want zo 'speciaal' is het niet om een pagina te kunnen renderen. Concurrenten tonen aan dat ze dat kunnen dus tja....

Ik hoop jou 'haagse hoge school' kennis zo te kunnen updaten (wie de bal kaatst....)

.

[Reactie gewijzigd door codebeat op 22 juli 2024 14:56]

Ramon @xorinzor • 29 januari 2011 14:20

Geen enkele software is bugvrij.

Gomez12 @xorinzor • 29 januari 2011 15:31

En die zijn ondertussen qua software ongeveer net zo groot en complex als IE.

Daar kan je ook niet meer op debuggen tot je alle bugs eruit hebt.

Verwijderd @xorinzor • 29 januari 2011 14:29

Tja waarom schaffen we niet meteen alle browsers af. Chrome en Firefox zitten ook vol security leaks die elke patch weer moeten opgelost worden.

'T is toch maar wat die programmeurs die geen miljoenen lijnen code zonder bugs kunnen schrijven

engelbertus 29 januari 2011 13:13

ie9 beta is nog lang niet goed genoeg om echt aan t ebevelen om te gerbuiken in mijn ogen.

SinergyX

Microsoft

@engelbertus • 29 januari 2011 13:18

Wat zou er niet genoeg aan moeten zijn?

Eagle Creek

@SinergyX • 29 januari 2011 13:41

Waarom IE9 niet goed genoeg is
Eehm... "Het is een bèta", for starters? Dan alleen al is genoeg reden om het niet te adviseren in een dagelijks omgeving.

Verder ondervind ik zelf ook vrij veel stabiliteitsproblemen met IE9, terwijl ik er geen gekke dingen mee doe.

Of IE9 ook kwetsbaar is
Microsofts artikel meldt overigens alleen OSs, en geen browserversies. Daar het probleem zich ook in Office voordoet, denk ik dat het een breder probleem is en IE9 ook gevaar loopt. Zie ook de volgende zin:

Microsoft is investigating new public reports of a vulnerability in MHTMLon all supported editions of Microsoft Windows. This vulnerability manifests itself in Internet Explorer.

[Reactie gewijzigd door Eagle Creek op 22 juli 2024 14:56]

Korben @SinergyX • 29 januari 2011 13:31

Flash werkt bijvoorbeeld maar heel moeizaam, en er zijn legio compatibility-problemen met andere applicaties, waaronder Sony's prachtige stuk malware: Securom.

YopY @Korben • 29 januari 2011 14:50

Flash? Third-party addon, niet het probleem van Microsoft. Securom? Waarom gebruikt die uberhaupt componenten van IE? En waarom zit IE blijkbaar nog zo diep in Windows dat Securom er gebruik van kán maken?

[Reactie gewijzigd door YopY op 22 juli 2024 14:56]

Gomez12 @YopY • 29 januari 2011 15:29

IE hoeft helemaal niet diep in windows te zitten om er gebruik van te kunnen maken...

Er staat vast ook wel ergens een readme.txt bestandje standaard in een windows install, als Securom daarop wenst te controleren dan betekent dat nog niet dat het .txt bestandje "diep in windows zit"

Dylan93 @SinergyX • 29 januari 2011 14:05

Elke keer weer als ik IE9 gebruik veranderd mijn muiscursor in een Windows 98 cursor met een non transparante vierkant eromheen

bush @Dylan93 • 30 januari 2011 07:02

bug in uw video driver? IE9 gebruikt hardware acceleratie voor het renderen

SMGGM @SinergyX • 29 januari 2011 14:35

Ik wil je niet zeggen hoe vaak die browser gecrasht is op SharePoint 2010 sites. Laat me zeggen dat elke sessie er minstens wel 1 keer vastliep, maar moet wel zeggen het was wel telkens maar de tab waar ik op dat moment in bezig was. Die browser is echt een nachtmerrie en dat was het enige waarvoor ik IE9 beta ook gebruikte. Je zou dan toch verwachten dat MS hun eigen webservices er aan getest hebben.

Verwijderd 29 januari 2011 14:05

wel ironisch dat juist bij offline websites een hack mogelijk is

Verwijderd 29 januari 2011 20:43

Ik heb IE9 er al 3 keer af moeten gooien vanwege stabiliteitsproblemen .Ik gebruik al enige tijd Chrome naar tevredenheid en FF 4 beta10 zonder problemen.Eerlijk is heerlijk.

Arcticwolfx @Verwijderd • 29 januari 2011 23:42

Beta is natuurlijk wel Beta. Zoals ik eerder al zei ben ik geen voorstander van Internet Explorer, maar naar mijn weten werkt die wel altijd naar behoren. Als iets niet helemaal lukt op het internet probeer ik het wel eens met Internet Explorer en die werkt voor mij als een "trouwe ouwe."

codebeat @Arcticwolfx • 30 januari 2011 03:00

Waarschijnlijk een IE-only site, dat is niet zo gek dat het bij de "trouwe ouwe" werkt.

HoeZoWie 30 januari 2011 12:05

Ik heb letterlijk nog nooit gebruikt gemaakt van html-afgeleide '.mhtml'.
Waarom?

Ik ben altijd online..., de sources heb ik altijd online.
Waarom storage benutten als een ander dat al voor je doet....

[Reactie gewijzigd door HoeZoWie op 22 juli 2024 14:56]

MacDokie 2 februari 2011 01:43

Microsoft? Was dat niet zo'n inferieure softwarebouwer ergens uit de jaren 70?

C0rnelis 29 januari 2011 13:06

Andere browsers dan IE gebruiken dus niet de standaard uit 1999.. maar ondersteunen wel mhtml. Mijn vraag is dan, welke reden hebben deze browsers gehad om van deze mhtml-standaard af te wijken en waarom is IE ( v8 ) daar niet in meegegaan? Op deze manier is het dus meer een lek van mhtml i.c.m. IE..

[Reactie gewijzigd door C0rnelis op 22 juli 2024 14:56]

roy-t @C0rnelis • 29 januari 2011 14:11

Zover ik kan vinden ondersteunen alleen IE en Opera MHTML bestanden, Chrome is er meer dan een jaar geleden al mee opgehouden. Het is wel een officiele standaard, maar het is gewoon niet een feature die erg veel gebruikt wordt.

SMGGM @roy-t • 29 januari 2011 14:30

Op Opera gebruikt ik het al een tijdje en vind het een gemis op Firefox. Een handige functie, perfect om websites te bewaren voor moesten ze ooit verdwijnen (of om niet alle website als bookmark bij te houden). Nuja je kan moeilijk van heel het internet een backup gaan nemen, maar pakweg een recept dat je gevonden hebt kan je zo simpel bijhouden voor moest die ene blog plots verdwijnen.
Ook het handige hieraan is dat het ook flash enz mee bij gaat houden en alles in 1 bestand zet (ipv al mapjes samen met hun html bestand).

grizzler @SMGGM • 29 januari 2011 14:58

De UnMHT add-on doet het anders prima in Firefox.

Verwijderd @SMGGM • 29 januari 2011 15:58

http://maf.mozdev.org/ - Mozilla Archive Format. Eigenlijk gewoon een ZIP bestandje met daarin de pagina, verwijzingen, etc.

freaky @SMGGM • 30 januari 2011 09:44

httrack is ook een alternatief, alhoewel niet browser specifiek.

Verwijderd @freaky • 30 januari 2011 13:15

Beetje moeilijk in te stellen, ik had het eens ingesteld en na 2 dagen stond dat ding nog te verzamelen en vele gigabytes verder bleek dat ik het dieplinken niet goed had staan, zodat ik rijkelijk beloond werd met tientallen websites die niets te maken met wat ik wilde opslaan. Oftewel 10% wat ik nodig had en 90% junk

Als ik tegenwoordig wat wil hebben zoals hier bovenaan het voorbleed van een recept, doe ik maar alles selecteren en alles in Word 2007 dumpen, dan wat wissen en alles wat ik wil hebben staat er. Of met Printfriendly en Printwhatyoulike.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:56]

Raventhorn @SMGGM • 1 februari 2011 23:23

Een eventueel recept of een (stuk van een) artikel kan je natuurlijk ook opslaan in een tekstbestandje, zowel Office als Kladblok, dus ik zie persoonlijk het hele punt niet echt.
Dan heb je de informatie die je zocht ook op je schijf staan, en heb je van dit soort lekken geen last.

Persoonlijk gebruik ik het "offline opslaan" van webpagina's ook niet, en mocht een site verdwijnen, dan is er vast wel een andere site die dezelfde informatie bevat...

Wat dat betreft is Google (of Bing als daar je voorkeur naar uit gaat) je beste vriend.

mae-t.net @roy-t • 30 januari 2011 04:18

Ik gebruik het zeer regelmatig. Het is vaak erg handig om enkele pagina's op te slaan, vooral als de content niet zo handig te wgetten is en als een enkel bestand wel zo makkelijk is..

Overigens verbaast het me niks dat er een lek in blijkt te zitten. MS en mime-types heeft in het verleden wel meer vodden gegeven.

Gelukkig zal Opera het wel goed doen.

Op dit item kan niet meer gereageerd worden.

Microsoft waarschuwt voor ernstig lek in mhtml

Lees meer

Reacties (71)

Sorteer op:

Weergave: