Microsoft geeft tijdelijke fix vrij voor lek in IE6, -7 en -8

Microsoft heeft een tijdelijke 'Fix it'-patch vrijgegeven voor het lek dat eind december ontdekt werd in Internet Explorer 6, 7 en 8. Het bedrijf denkt bovendien binnen een paar dagen een definitieve oplossing voor het lek te hebben, die vooral gebruikers van Windows XP treft.

Microsoft biedt op het support-gedeelte van zijn website een Fix it-patch aan waarmee Internet Explorer 6, 7 en 8 te repareren zijn. De tijdelijke pleister verhelpt het lek dat eind december gevonden werd in de oude versies van de browser. Volgens website The Next Web houdt Microsoft ondertussen in de gaten of het lek in de oude browsers misbruikt wordt. Als dat het geval is, dan zal het met spoed een definitieve patch vrijgeven. Als er verder geen misbruik geconstateerd wordt, dan verschijnt de patch tijdens de Patch Tuesday van deze maand, zodat er meer tijd is om te testen. Tot nu toe heeft Microsoft 'slechts enkele pogingen waargenomen om het lek uit te buiten', maar het bedrijf raadt toch aan om de Fix it-patch te gebruiken.

Het lek in de oude browsers maakt het mogelijk code een systeem binnen te smokkelen en op afstand uit te voeren. De kwetsbaarheid betreft de manier die de oude browsers gebruiken om objecten in het geheugen te benaderen die verwijderd of niet goed gealloceerd zijn. Via een speciaal vervaardige site kunnen kwaadwillenden het geheugen van een IE-gebruiker corrupt maken en de code uitvoeren. Het lek kwam aan het licht via misbruik van de site van de Amerikaanse denktank Council on Foreign Relations. De exploit zou daar al sinds in ieder geval 21 december gehost worden. De code zou Microsofts beveiligingstechnologieën data execution prevention en address space layout randomization omzeilen.

Alleen IE6, -7 en -8 bevatten het lek, Internet Explorer 9 en 10 niet. Dat maakt vooral systemen met Windows XP kwetsbaar, omdat daarop geen nieuwere versie van de browser geïnstalleerd kan worden.

Door Paul Hulsebosch

Redacteur

Feedback • 01-01-2013 11:36 23

01-01-2013 • 11:36

23

Lees meer

YouTube-devs plaatsten in 2009 stiekem banner om IE6-marktaandeel te drukken
YouTube-devs plaatsten in 2009 stiekem banner om IE6-marktaandeel te drukken .Geek van 5 mei 2019
Microsoft dicht kritiek lek in http.sys
Microsoft dicht kritiek lek in http.sys Nieuws van 15 april 2015
Microsoft beëindigt mainstream support-periode voor Windows 7
Microsoft beëindigt mainstream support-periode voor Windows 7 Nieuws van 13 januari 2015
Microsoft stopt met details geven over gedichte lekken in Windows
Microsoft stopt met details geven over gedichte lekken in Windows Nieuws van 9 januari 2015
Google-engineers achter ruim helft bugmeldingen bij laatste patchronde Microsoft
Google-engineers achter ruim helft bugmeldingen bij laatste patchronde Microsoft Nieuws van 13 februari 2013
Microsoft brengt 'modern.ie'-browsertools uit
Microsoft brengt 'modern.ie'-browsertools uit Nieuws van 31 januari 2013
'Microsoft heeft IE10 voor Windows 7 bijna gereed'
'Microsoft heeft IE10 voor Windows 7 bijna gereed' Nieuws van 20 januari 2013
Microsoft waarschuwt voor lek in IE6, -7 en -8
Microsoft waarschuwt voor lek in IE6, -7 en -8 Nieuws van 30 december 2012
Nederlandse overheid gaat gebruik IE niet afraden
Nederlandse overheid gaat gebruik IE niet afraden Nieuws van 4 oktober 2012
Microsoft komt vrijdag met tussentijdse update voor IE-lek
Microsoft komt vrijdag met tussentijdse update voor IE-lek Nieuws van 20 september 2012
'Nieuw lek in oude Internet Explorer-versies wordt actief misbruikt'
'Nieuw lek in oude Internet Explorer-versies wordt actief misbruikt' Nieuws van 17 september 2012
Meer producten en artikelen
Browsers Microsoft

Reacties (23)

-Moderatie-faq
23
23
13
2
0
2
Wijzig sortering
Luuk58 1 januari 2013 11:40
Waarom wachten met uitbrengen van de patch tot ná er misbruik gemaakt wordt? Meteen uitbrengen toch?
wildhagen @Luuk581 januari 2013 11:42
Nee, want hij moet eerst grondig getest worden, of hij geen andere problemen veroorzaakt.

Wat er gebeurt als een patch te snel wordt gereleased, zagen we laatst. Die patch veroorzaakte dus weer andere problemen...

Dus liever grondig testen en dan maar wat later releasen, dan versneld releasen en later grote problemen krijgen met andere zaken...
locke960 @wildhagen1 januari 2013 14:23
Dat is waar maar je kunt hier toch wel wat vraagtekens bij plaatsen.
- Het lek wordt actief misbruikt. (staat in de MS advisory)
- Microsoft heeft een 'fixit' als tijdelijke oplossing uitgebracht.
- Microsoft adviseert iedereen die tijdelijke fix te installeren.
- Die fix is echter niet verkrijgbaar via WSUS.
- ook de tijdelijke fix zou problemen kunnen geven.

Het komt mij vooral voor dat ze hinken op twee gedachten. Aan de ene kant een fix voor een security probleem uitbrengen, aan de ander kant het risico zoveel mogelijk downplayen.
Dat lijkt er op dat ze eerst en vooral de belangen van Microsoft willen beschermen, en het oplossen van het probleem voor de klant pas op de tweede plaatst komt.

@Blokker_1999: Het punt is dat MS aan de ene kant een fix heeft (de workaround) EN iedereen adviseert hem te installeren, maar tegelijkertijd dat ding niet via Windows update verspreid. Dat is met elkaar in tegenspraak en er kan maar 1 reden zijn om het zo te doen: De verantwoordelijkheid voor eventuele gevolgen van de bug, hetzij gehackt worden omdat je de workaround niet geinstalleerd hebt, hetzij problemen met je machine omdat je hem juist wel geinstalleerd hebt, zoveel mogelijk bij de klant te leggen ipv. bij Microsoft.

[Reactie gewijzigd door locke960 op 23 juli 2024 09:23]

Blokker_1999
@locke9601 januari 2013 14:30
Stel ze zijn te snel met een patch die ze via windows update verspreiden en die lijkt ineens veel schade aan te richten zowel bij consumenten als binnen bedrijven met miljoenen of miljarden claims als gevolg. Hoe denk je dat het bedrijf daar dan op zal reageren? Hoe denk je dat jij daarop zal reageren?

Ja er is op dit moment misbruik, maar dat misbruik is voorlopig nog zeer beperkt. Ik denk dat MS een veel beter beeld heeft over de ernst dan jij of ik.
Novermars @Luuk581 januari 2013 11:44
Wat nou als er een bug in zit? Of dat er een nieuwe kwetsbaarheid wordt geïntroduceerd? Dit is een kleine update om het bloeden te stoppen. Later komt de definitieve, goed geteste, fix.
Blokker_1999
@Luuk581 januari 2013 11:46
haast en spoed is zelden goed.

Het klopt dat een patch in wezen zo snel mogelijk moet uitgebracht worden, maar deze moet ook grondig getest zijn. Zoals in het artikel ook word aangegeven wenst MS de patch eerst zelf nog grondiger te testen. Indien achteraf zou blijken dat er nog een bug in zit die een nieuw en ernstiger probleem veroorzaakt zal het MS ook op zware kritiek komen te staan.
Dennisb1 @Luuk581 januari 2013 13:14
Je zal toch eerst aan de slag moeten met een stuk code die dit probleem kan verhelpen..
Dat kost tijd natuurlijk
Alex3 1 januari 2013 13:17
IE 6 en 7 worden toch allang niet meer ondersteund?
wildhagen @Alex31 januari 2013 13:28
IE 6 en IE 7 worden nog steeds ondersteund, zolang het platform waar ze op draaien nog in support zit, dus in het geval van Windows XP tot 8 april 2014, als de support voor XP stopt. Wel kan het zijn dat je een minimum servicepack van het OS nodig hebt voor de officiele support (SP2 in dit geval).

Zie http://blogs.technet.com/...or-internet-explorer.aspx

Datzelfde geld voor IE 8 ook overigens.

Draai je bijvoorbeeld IE 7 of 8 op Windows Vista ipv op XP, blijft die ook na 8-4-2014 nog supporterd, tot de support van Vista stopt.

[Reactie gewijzigd door wildhagen op 23 juli 2024 09:23]

Mizgala28 @Alex31 januari 2013 13:19
Klopt, en sommige sites zoals die van Google ondersteunen officieel ook geen IE8.
gfgw @Mizgala282 januari 2013 08:26
Websites horen geen IE8, of welke browser dan ook., te ondersteunen, maar de open internationale standaarden (W3C?).
Anoniem: 80466 @gfgw2 januari 2013 16:10
Zelfs als je alleen standaarden ondersteunt dan nog zullen browsers verschillen in de mate waarin ze ondersteuning bieden voor bepaalde features. Features die in nieuwere browser aanwezig zijn zitten niet in oudere browsers.
Door zelfs een 100% W3C compatiblele site kan nog steeds meerdere browserversies afzonderlijk ondersteunen.
Een goede methode daarvoor is bijvoorbeeld feature detectie.
dj.verhulst 1 januari 2013 11:53
had liever dat ze IE 9 vrijgaven voor XP en W2k3
triflip @dj.verhulst1 januari 2013 14:37
Onmogelijk, vanaf vista en het driver en security model veranderd. IE maakt gebruikt van dat nieuwe security model en IE9 of hoger zal dus niet gaan werken.
Alfa1970 @triflip1 januari 2013 16:03
Het is onmogelijk dat het onmogelijk is. Windos vista/7 onderstrepen het punt dat het expliciet mogelijk is, en je ondergraaft je eigen stelling dat het onmogelijk is door te stellen dat het security model veranderd is. Als dat kan met het ene stuk software, dan kan dat dus met alle software en dus ook in windows xp.

Microsoft wíl gewoonweg niet backporten omdat dat hun verdien model schade toebrengt, en dat is de enige reden waarom het niet wordt gedaan.

Microsoft "leeft" vrijwel uitsluitend van de opbrengsten van verkoop van windows en office.
Als ze oude versies die goed zijn zoals windows xp alsmaar blijven bijwerken dan verkopen ze niks meer en houden ze gewoon op met te bestaan op een gegeven moment.
SuperDre @Alfa19701 januari 2013 19:28
uh, als een programma gebruik maakt van security api's die niet in xp zitten, dan wordt het lastig backporten, of je moet die security api's ook gaan backporten..
En waarom zou MS zo'n oud OS nog steeds moeten ondersteunen? het is niet alsof Apple nog steeds de versie van mac osx van 11jaar geleden ondersteund, of ubuntu hun versie van 11 jaar geleden.. Genoeg softwareleveranciers die na 1 a 2 jaar al totaal geen ondersteuning meer geven.
Mizgala28 @dj.verhulst1 januari 2013 12:37
Niet noodzakelijk, Microsoft wil van Windows Xp af en ze hebben gelijk, tegen de tijd dat de support van XP voorbij is zou al de beta van Windows 9 uit moeten zijn, dat is doodleuk een systeem van (momenteel) 3 generaties terug.

Trouwens, je hebt nog altijd de keuze om een recente Chrome, Firefox of Opera te gebruiken, keuze zat dus.
Sjah @Mizgala281 januari 2013 14:18
zou al de beta van Windows 9 uit moeten zijn [quote]

Jouw gevoel, of heb je dit ergens vandaan?
Blokker_1999
@dj.verhulst1 januari 2013 14:31
Ja, laat heb XP maar eens volledig gaan herschrijven; Er duizenden manuren tegenaangooien, miljoenen investeren voor een OS dat ondertussen al 11 jaar oud is en in de extended support fase zit. Misschien zouden ze dan ook ineens IE8 nog naar Win98 kunnen porten?
Anoniem: 304539 @Blokker_19991 januari 2013 19:00
En Win 95 OSR 2 ?
Wolfos 1 januari 2013 19:10
Alsof de mensen die nog met IE6 werken die patch gaan downloaden...
Argantonis @Wolfos1 januari 2013 19:58
Vaak wel ja. Soms zitten bedrijven nog vast aan IE6 (of 7, of 8 ) in verband met legacy webapplicaties die ze niet helemaal opnieuw willen gaan testen. Inderdaad niet echt een gewenste situatie maar het komt nog behoorlijk veel voor, juist op kantoor-pc's. En dan is het wel aannemelijk dat in ieder geval een deel van deze bedrijven de security patches wel doen.

[Reactie gewijzigd door Argantonis op 23 juli 2024 09:23]

Anoniem: 465642 2 januari 2013 11:29
Die goede oude Win3.1 met MSIE1...

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq