Ongepatcht Internet Explorer-lek verschijnt in de openbaarheid

Een beveiligingsprobleem in Internet Explorer dat nog niet is gepatcht, maar al sinds halverwege de zomer wordt misbruikt, is verschenen als Metasploit-module. Daardoor is de kans groot dat het misbruik van het beveiligingsprobleem fors toeneemt.

Microsoft Internet Explorer 9 logo (90 pix)

Het beveiligingsprobleem maakt het mogelijk voor aanvallers om eigen machinecode te injecteren via JavaScript en treft alle Internet Explorer-versies sinds versie 6. Onder nieuwere Windows-versies lijkt de bug alleen te werken als Office 2007 of 2010 is geïnstalleerd, omdat dan een bepaalde dll kan worden aangeroepen die nodig is om beveiligingsmechanismen van nieuwe Windows-versies te omzeilen.

De kwetsbaarheid wordt al sinds juli of augustus misbruikt en lijkt zich tot nu toe te richten op organisaties in Japan en Taiwan. Op dit moment richten de misbruikers van het beveiligingsprobleem zich nog niet op Nederlandse Windows-installaties, maar dat kan veranderen nu er een Metasploit-module is vrijgegeven.

Metasploit is een framework voor beveiligingsonderzoekers waarmee bijvoorbeeld de beveiliging van een netwerk kan worden getest. Nu de kwetsbaarheid echter als Metasploit-module beschikbaar is en de code die het probleem aanroept, is vrijgegeven, kunnen kwaadwillenden de code gebruiken om er een exploit van te maken. Daarmee kunnen internetgebruikers worden aangevallen.

Wat de kwetsbaarheid ernstig maakt, is dat Microsoft nog geen patch voor het beveiligingsprobleem heeft vrijgegeven. Microsoft heeft wel een tijdelijke fix vrijgegeven, maar die moet handmatig worden geïnstalleerd, waardoor het grootste deel van de gebruikers op dit moment nog kwetsbaar is.

Reacties (74)

himlims_ 2 oktober 2013 10:34

mooi he; die gesloten software

triest dat al in de zomer bekend is, en nog niet verholpen is. Daar gaat een firefox/chromium toch anders mee om

geenstijl

@himlims_ • 2 oktober 2013 10:39

Er staat nergens dat Microsoft al bekend was met het probleem.
De workaround dateert van 17 september.
Het kan goed zijn dat het halverwege de zomer (wanneer is dat? begin augustus?) het lek misbruikt werd, maar dat Microsoft niet op de hoogte was?

Kortom, je conclusie gaat iets te kort door de bocht.

DeTeraarist @himlims_ • 2 oktober 2013 10:55

Wat heeft dit met gesloten software te maken? Noem het luiheid, nalatigheid of wat dan ook, maar ga het niet op gesloten software gooien. Als ik een patch voor een lek schrijf in Firefox/Chromium dan wordt die ook niet 1,2,3 opgenomen in hun code, zeker als je geen vaste developer bent voor projecten kan het soms maanden duren voordat iets er doorheen komt. Uiteraard kunnen gebruikers de boel dan zelf compileren, maar hoeveel mensen compileren Firefox/Chromium zelf?

DaanHetEendje @himlims_ • 2 oktober 2013 10:37

Maar firefox/chromium is geen browser die compleet is ingebouwd in een heel OS.
Het gaat met IE even wat anders.

strompf @DaanHetEendje • 2 oktober 2013 10:41

Dus nog erger: gesloten software + tightly coupled

bogy @strompf • 2 oktober 2013 10:53

om te testen effe gechecked of ik die metasploit kon openen...

kreeg meteen netjes de melding van m'n GData dat er een exploit was gevonden....
zo hoort het dus ..

zou de MS 'security' essentials dit ook detecteren ??? ik denk het niet hé, want die hebben geen echte realtime webscanner enzo. da's eigenlijk maar een filescanner die naar hashtables kijkt bij hun.. (bij zowat elke gratis antivirus is dat zo)

Fabbie @bogy • 2 oktober 2013 11:52

Ik moest hier toch even op reageren. Wat je nu zegt over alle gratis virusscanners is complete onzin. Een hoop mensen denken dat inderdaad en de anti virus software makers hopen ook dat de mensen dat denken (dat gratis virus scanners minder goed scannen dan de betaalde versie want dan verkopen ze tenminste).
Dat jij je veiliger voelt bij een betaalde versie is prima en ook je goed recht maar om dan meteen alle gratis virus scanners slecht te noemen is onzin.
Als voorbeeld. Als je AVG free hebt, scant de betaalde versie met dezelfde virus database als de gratis versie (of dit een goede scanner is staat daar los van). Hetzelfde geldt voor Avast. Je krijgt alleen extra functionaliteit (die ik nooit nodig heb) en geen reclame pop-ups die je aansporen om de betaalde versie te kopen.

Maar goed. Ik dwaal weer te ver af van het onderwerp

Ik heb de patch maar even geïnstalleerd. Je weet nooit waar het goed voor is.

BLACKfm @Fabbie • 2 oktober 2013 13:24

Of ik negeer het altijd, maar bij AVG zie ik nooit reclame. Soms zie ik bij mensen die AVG draaien dat er constant gevraagd wordt om te upgraden of te scannen of iets, maar zonder dat ik iets instel heb ik daar nergens last van.

Nu weet ik niet hoe dat bij andere virusscanners is, maar bij AVG heb ik in ieder geval nergens last van. Gewoon na de installatie even de update draaien en een eerste scan uitvoeren en je hebt er nooit meer last van.
Enkel nuttige meldingen als dat er een update komt of dat ik weer beschermt ben tegen een x aantal (meestal niks) bedreigingen.

En tot nu toe staat al mijn geld nog op de rekening en krijg ik geen vage software op mijn pc, dus die gratis scanners (en in mijn geval AVG) doen het prima.

Naar mijn idee heb je meer last van die betaalde software doe lopen te ouwehoeren dat je licentie verloopt. Of bloatware die 90 dagen werkt en je vervolgens niet meer beschermt bent...

Verwijderd @bogy • 2 oktober 2013 12:39

zou de MS 'security' essentials dit ook detecteren ??? ik denk het niet hé, want die hebben geen echte realtime webscanner enzo. da's eigenlijk maar een filescanner die naar hashtables kijkt bij hun.. (bij zowat elke gratis antivirus is dat zo)

Security Essentials herkent de malware, en onderneemt actie. Zojuist getest.
Bovendien krijgt de eindgebruiker (voor mij helaas) het advies om opnieuw op te starten na het cleanen.

fireglide @bogy • 2 oktober 2013 13:32

GRappige van dit alles is, dat vaak de gratis virusscanner nog beter uit de verf komen met tests dan de betaalde.

offtopic:
Zoals je het neerzet vind ik het wel een beetje tr**St, maar dat is persoonlijk.

bogy @fireglide • 7 oktober 2013 00:31

dat zou ik zo niet zeggen hoor...

in veel tests komen de gratis versies (en dan doel ik vooral op microsoft security essentials) er als slechtste uit...

avg daarentegen is maar een middelmatig pakket...

Wil je de beste? ga dan voor gdata (= allerbeste volgens zeer veel tests, ook consumentenbond en av-comparatives), of Kaspersky

bij panda is er bv een groot verschil tussen de gratis en de betaalde versie; daar is de gratis versie niet meer dan een online databasechecker voor filehashes, terwijl de volwaardige versie ook echt intern scant en je systeem in't oog houdt.
avg free is inderdaad hetzelfde als de betaalde maar zonder support en een aantal functies die worden uitgeschakeld/niet aanpasbaar zijn in de settings

Verwijderd @bogy • 2 oktober 2013 13:54

Nou ik denk het dus echt van wel hè? Hier net even op de Virtual machine in het kantoor geprobeerd. Windows Defender van die Windows 8 installatie begon gelijk te steigeren.

Verwijderd @DaanHetEendje • 2 oktober 2013 10:46

Dat in het OS inbouwen/verankeren is al even niet meer van toepassing.

En zoals je zelf kunt lezen, op de nieuwere versies werkt het niet eens meer tenzij je office geïnstalleerd hebt staan. Dus de dependencies hangen niet eens meer van het OS af, maar van andere zaken.

IE6 was vanuit het oogpunt van beveiliging een ramp, maar MS heeft daar zelf ook van geleerd.

Maar je weet zelf ook aan welke versie we nu zitten, dus geen oude koeien meer aub.

Croga

@Verwijderd • 2 oktober 2013 11:14

Ja, laten we het bagatelliseren!

Ga voor de grap eens even na:
- Hoeveel mensen nog "oudere" windows versies gebruiken
- Hoeveel van de mensen die nieuwere windows versies gebruiken, ook Office 2007 of 2010 geïnstalleerd hebben staan.

Je kunt wel zeggen "oude koeien" maar deze "oude koeien" zijn zeker nog volledig courant. Daarmee is het gevaar wel degelijk realistisch!

itsRay @Croga • 2 oktober 2013 13:30

Dat er oudere versies van Windows nog steeds gebruikt worden, wie is daar schuldig aan? Niet Microsoft in mijn ogen maar de gebruiker/onderneming. Iedereen weet dat als je je draaiende OS niet redelijkerwijs bij de tijd houdt je vanzelf een onveilige werkplek krijgt. Dat geldt niet alleen voor Windows maar voor elk willekeurig OS.

Croga

@itsRay • 2 oktober 2013 13:39

Dat er oudere versies van Windows nog steeds gebruikt worden, wie is daar schuldig aan? Niet Microsoft in mijn ogen maar de gebruiker/onderneming. Iedereen weet dat als je je draaiende OS niet redelijkerwijs bij de tijd houdt je vanzelf een onveilige werkplek krijgt. Dat geldt niet alleen voor Windows maar voor elk willekeurig OS.

Zolang als Microsoft zegt en beloofd om iets te ondersteunen is Microsoft ook verantwoordelijk.

Maar het belangrijkste deel mis je nog: Ook mensen met een wél up-to-date OS en modern Office pakket zijn kwetsbaar. Zelfs als iedereen overgestapt zou zijn naar een moderne Windows versie is nogsteeds een overgroot deel van de zakelijke gebruikers kwetsbaar....

JAVE @Croga • 2 oktober 2013 14:17

... En zakelijke gebruikers zijn nog steeds de grootste groep.
Maar ook als ze W7 gebruiken zijn ze kwetsbaar, want als een bedrijf windows gebruikt, dan gebruiken ze ook Office.

stunrock @Verwijderd • 2 oktober 2013 12:01

O ja? draait IE dan niet nog steeds alleen op windwows?

sliekens @DaanHetEendje • 2 oktober 2013 13:00

Maar firefox/chromium is geen browser die compleet is ingebouwd in een heel OS.
Het gaat met IE even wat anders.

*kuch* Chrome OS *kuch* Firefox OS *kuch*

Loller1

Internet Explorer
Browsers

@sliekens • 2 oktober 2013 13:58

Nog Chrome OS, nog Firefox OS zijn browsers, maar zijn een OS, Internet Explorer is geen OS.

sliekens @Loller1 • 2 oktober 2013 14:48

Neen, maar de integratie van de browsers gaat zo diep dat beide besturingssystemen geen alleenstaande producten (kunnen) zijn. Het argument dat firefox/chrome gemakkelijker of sneller te testen zouden zijn omdat ze loosely coupled zijn gaat niet op. Just my two cents.

Loller1

Internet Explorer
Browsers

@sliekens • 2 oktober 2013 15:40

Het argument gaat wel op, Chrome OS en Firefox OS zijn gebaseerd op Chrome en Firefox, beide browsers zijn niet geïntegreerd in deze twee besturingssystemen. (Delen van) IE is dat wel.

alienfruit @DaanHetEendje • 2 oktober 2013 20:39

Jawel hoor, Safari is ook ingebouwd in MacOS X of iig WebKit.Framework.

Triblade_8472 @himlims_ • 2 oktober 2013 10:48

mooi he; die gesloten software

Nu ga ik tegen de tweakers mainstream in, maar toch zit er wel wat in gesloten software!

Opensource is (relatief) gemakkelijk te lezen en lekken in te ontdekken. Hierna hoef je er geen melding van te maken en wel te misbruiken. Misschien is dit al gaande op grote schaal? Geen idee, want het is een onbekend lek...

Closed source moet men gaan hacken, testen, proberen, proben. Dus het zijn ondertussen best veel lekken, maar wellicht minder dan wanneer het opensource was?

Verwijderd @Triblade_8472 • 2 oktober 2013 11:14

Ik denk dat je dat verkeerd ziet. Technisch gezien is het enigste verschil tussen Open Source en Closed Source dat je bij het ene de source kan inzien en bij de andere niet (uitzonderingen daargelaten). Dus het ontdekken van fouten is per definitie eenvoudiger in Open Source.

Waar je echter de fout in gaat is het meld systeem. Dit is voor zowel OS als CS hetzelfde. Dus een bug kan zowel in OS als in CS gemeld worden OF ongemeld misbruikt worden.

En ook bugs in OS kunnen diep verscholen zitten. Bij een serieus project is het meeste low hanging fruit echt wel ontdekt. Nadeel is dat veel software in C of (veel erger) C++ ontwikkeld wordt, dat beide qua veiligheid, nou ja, niet echt uitblinkt. De meeste bugs zijn nog steeds de buffer overflows.

Verwijderd @Verwijderd • 2 oktober 2013 12:07

Ik kan me wel vinden in wat Triblade stelt. Voorbeeldje (niet OS maar Web gerelateerd):

Stel je bent een ondernemer met een winkeltje en je denkt "Hé, Joomla, kost niks, commerce module erin en hoppa, voor nog geen 150 euri een webwinkeltje".

Vervolgens komt Joomla met een nieuwe versie inclusief de nodige patches... maar, oeps, je commerce moduletje draait niet op die nieuwe versie want de partij die daar aan werkt loopt nog een beetje achter. Dan kun je kiezen: op een oudere Joomla versie blijven (inclusief ongepatchte security lekken) met een werkende commerce module en de vrij grote kans dat je binnen no-time aan de beurt bent dat je site gehackt wordt omdat hack-groeperingen op de hoogte zijn (fijn open source!) van lekken in verschillende versies en systematisch het web afstruinen op zoek naar deze specifieke hackmogelijkheden. Of wél naar de nieuwe Joomla versie... zonder je bedrijfskritische commerce module.

Daar sta je dan!

Closed source heeft een mate van 'security through obscurity' in zich wat in dit soort scenario's een welkome extra beveiligingslaag is. Het is aanzienlijk minder gevoelig voor het afstruinen van bekende exploits.

arendjr @Verwijderd • 2 oktober 2013 12:53

Een leuk voorbeeld, maar wel heel erg hypothetisch. De meeste open-source projecten (ik weet niet specifiek hoe het bij Joomla zit), mergen security fixes terug naar hun stable branch. Deze branch kun je dus gebruiken als je niet de nieuwe features wilt (die meestal de incompatibilities introduceren), maar wel de fixes wilt. Zo omzeil je simpelweg het hele scenario wat je schetst.

Daarbij heeft open-source altijd een derde mogelijkheid: Je kunt de fixes zelf backporten. Dat zal voor de ondernemer met het winkeltje zelf waarschijnlijk geen optie zijn, maar stel dat het probleem zich toch voordoet, dan kan hij wel iemand inhuren om dat voor hem te doen. Bij een closed source vendor die een oude versie niet meer ondersteunt heb je deze optie per definitie niet.

Ten slotte, de security through obscurity waar je het over hebt is een wassen neus. Afstruinen naar bekende exploits gebeurt daar net zo vaak. Hang voor de grap eens een webserver aan het internet die zichzelf identificeert als IIS, je zal versteld staan hoeveel bots zich in no-time helemaal proberen uit te leven op het ding.

Verwijderd @arendjr • 2 oktober 2013 13:12

Alles kan arendjr, leg jij het die ondernemer even uit die dacht dat hij een goedkoop webwinkeltje had?

En het is zeker geen hypothetisch voorbeeld! Ik kom het in de praktijk bij zeker 80% van de joomla gebruikers tegen (die joomla gebruiken in combinatie met bedrijfskritische plugins).

Security by obscurity is slechts één van de vele maatregelen die je kan nemen. Uiteindelijk speelt tijd bij hacken ook vaak een belangrijke rol en het kan net voldoende vertragen in bepaalde scenario's. Er is veel discussie over deze vorm, sommigen lachen er om maar vergeet niet dat er veel scriptkiddies zijn die tools voor exploits gebruiken die ze niet zelf bedacht hebben en die maar een klein extra hobbeltje nodig hebben om vast te lopen. Niets is 100% safe maar het is een kwestie van "de kans verkleinen dat...".
Zeker niet per definitie een wassen neus, mits je voldoende andere maatregelen treft uiteraard.

En met wat je als laatste stelt, ontkracht je nou net je eigen stelling van die wassen neus!

Want wat als je je identificeert als IIS maar je bent het niet... of andersom, je bent het wel maar je identificeert je niet zo? Een aantal van die botjes die je noemt, zullen daar over struikelen en dan gaat de kans van gehackt worden al weer omlaag.

Maar let wel: ik heb niet gesteld dat het een voldoende maatregel is op zichzelf.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 12:35]

Verwijderd @Verwijderd • 2 oktober 2013 16:16

Mijn persoonlijke mening is dat als je bedrijfskritische software gebruikt, dat je dan op z'n minst hier kennis van dient te hebben. Net als een timmerman zijn gereedschap kent. Of, als dat niet het geval is, dat je dan terug kan vallen op een partij die dat wel heeft.

Verwijderd @Verwijderd • 3 oktober 2013 17:41

Helemaal mee eens!

Maar of closed source (even terug naar waar de discussie begon) versus open source daar onderdeel van moet zijn... zelfs techneuten zijn het daar niet over eens dus lastig om van een klant/gebruiker te verwachten dat deze daar een goede keuze in kan maken.

Ik denk dat het belangrijkste onderdeel van de uiteindelijke keuze toch zal neerkomen op functionele en kostentechnische aspecten van de webwinkel.

arendjr @Verwijderd • 2 oktober 2013 11:37

Kleine aantekening als C++-programmeur: C++ is juist veel beter voor security dan C aangezien de standaard data types (std::string e.d.) al beschermen tegen buffer overflows en het RAII-systeem het jongleren met pointers grotendeels overbodig maakt.

Verwijderd @arendjr • 2 oktober 2013 17:25

Om de een of andere reden heb ik nog steeds die Linus Torvalds quote in m'n hoofd zitten. Maar dat heeft natuurlijk niets met security te maken, meer met C++ in het algemeen.

SCS2 @Verwijderd • 2 oktober 2013 19:45

Welke dan?

Bij C denk ik altijd aan deze:

If it wasn't for C, we would be using Basi,Pasal and Obol.

Verwijderd @SCS2 • 2 oktober 2013 19:55

Die quote is deze.

Ik heb trouwens ook nog een oud interview met Bjarne Strousstrup weten op te vissen.

Maar op die site staan nog meer quotes over C++, sommige serieus, sommige grappig.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 12:35]

SuperDre @himlims_ • 2 oktober 2013 13:26

Onzin, ook firefox en chrome/chromium patches duren nog wel eens even voordat ze werkelijk doorgevoerd worden. En denk nou niet dat er geen exploits in de opensource browsers zitten, die zijn net zo lek als veel mensen denken dat IE is..

Loller1

Internet Explorer
Browsers

@SuperDre • 2 oktober 2013 13:59

Om niet te zeggen dat er meer beveiligingslekken in Chrome en Firefox worden gevonden, dan in IE.

Loller1

Internet Explorer
Browsers

@himlims_ • 2 oktober 2013 14:07

mooi he; die gesloten software triest dat al in de zomer bekend is, en nog niet verholpen is. Daar gaat een firefox/chromium toch anders mee om

Closed source software is wondermooi: bugs vinden is veel moeilijker dan in open source. Open source is leuk, maar voor de voordele en nadelen kan je net zo goed gaan voor closed source software en visa versa. Kap toch gewoon met het afkraken van closed source software, er is niks mis mee, en dat zeg ik als medewerker van verschillende open source projecten. Anyway: dat Firefox en Chromium er anders mee omgaan moet ik ook nog zien: hoelang duurt het wel niet voordat je patch is doorgevoerd als je vaste ontwikkelaar bent? Nog langer dan bij IE.

Mr_gadget 2 oktober 2013 10:38

Waarom wacht Microsoft zo extreem lang met het automatisch patchen? De meeste mensen hebben ook wel Office 2007 of 2010 geïnstalleerd dus veel zijn kwetsbaar...Of willen ze graag dat IE als browser straks wordt afgeraden?

Of wil de NSA het lek nog graag een tijdje misbruiken (een deel is misschien overgestapt op versleuteling dus dan is het wel zo makkelijk als ze gewoon je systeem kunnen hacken)?

Loller1

Internet Explorer
Browsers

@Mr_gadget • 2 oktober 2013 14:00

Denk je nu echt dat het zo makkelijk is een patch voor zo'n lek te schrijven. Microsoft moet zoiets ook kunnen testen, en op hoeveel manieren zou zoiets mis kunnen gaan? Hoeveel verschillende configuraties van Windows zijn er wel niet?

Mr_gadget @Loller1 • 2 oktober 2013 14:08

We zijn 3 maanden verder en dit is een lek wat heel veel computers treft. Ik zou niet willen dat mijn bank of dokter drie maanden een virus op hun computers hebben staan die van alles doet.

Een lek is meestal ook een stuk wat fout geprogrammeerd is dus dat zou met wat mankracht op te lossen moeten zijn.

CMD-Snake @Mr_gadget • 2 oktober 2013 10:56

Windows Updates moeten getest worden, deze ook. Microsoft test deze heel uitgebreid tegen heel veel systemen en in combinatie met heel veel pakketten die je op de markt kan kopen om te zien of er geen negatieve gevolgen zijn. Zoiets neemt ook tijd. Als een patch morgen ervoor zorgt dat pakket A of B niet meer werkt schreeuwt iedereen moord en brand.

arendjr @CMD-Snake • 2 oktober 2013 11:46

Maar iedereen schreeuwt nu al moord en brand, want nu is bijna elke Internet Explorer-gebruiker kwetsbaar. Wat mij betreft zou Microsoft zo snel mogelijk moeten releasen (zolang alle basic test suites groen zijn), en organisaties die veel waarde hechten aan specifieke koppelingen met andere software testen intern maar even voordat ze de patch daadwerkelijk uitrollen (dat doen ze als het goed is sowieso al). Maar iedereen kwetsbaar laten blijven met het excuus dat het nog getest moet worden in combinatie met Lotus Notes en Norton Anti-Virus (ik noem maar even wat pakketten die voor mij niet relevant zijn), vind ik geen acceptabele trade-off.

Verwijderd @arendjr • 2 oktober 2013 12:05

Microsoft monitort altijd actief het internet en kan vrij accuraat inschatten hoe ernstig het risico is op besmetting. Zij releasen alleen uit hun maandelijkse schedule als het risico op besmetting in het wild ook echt toeneemt. Door de opname in metaexploit zal en binnen enkele weken zeker meer malware op de markt komen en dus een groter risico ontstaan.
Aan de andere kant is het over een week al weer patchdinsdag.

Overigesn is de exploit die nu is opgenomen alleen werkend is IE8 op XP en ie8/9 op W7. Dus voorlopig lopen W8 en IE10/11 gebruikers ook weinig risico.

[Reactie gewijzigd door Verwijderd op 26 juli 2024 12:35]

arendjr @Verwijderd • 2 oktober 2013 12:18

Microsoft monitort altijd actief het internet en kan vrij accuraat inschatten hoe ernstig het risico is op besmetting.

Sorry, maar als je dat gelooft dan zou ik je liever niet mijn IT laten beheren. Het lek werd al maanden actief misbruikt in Japan en Taiwan (dat zijn in elk geval de landen waarvan we het weten). Dus op basis daarvan zou Microsoft inschatten dat voor ons het risico wel acceptabel is. En als je toevallig wel in Japan woont, nou ja, jammer dan.

Dat in combinatie met het recente nieuws dat de NSA wel altijd direct op de hoogte wordt gebracht van de laatste lekken geeft mij een sterke overtuiging dat je niet moet vertrouwen op organisaties zoals Microsoft om te bepalen wat goed is voor jou en jouw security. Hun patchbeleid is daar wat mij betreft een sterk voorbeeld van.

Game_overrr @arendjr • 2 oktober 2013 16:04

Wat jij voor het gemak vergeet is dat in het artikel niets staat over hoeveel mensen er warden gemonitord. Het kan dus zo maar zijn dat dit maar bij 3 bedrijven voorkomt en daar maar bij 4 mensen. Dan is dit artikel wereld nieuws maar er is alleen bijna niets aan de hand. Dat is natuurlijk het meest positieve wat er aan de hand kan zijn. Het kan ook zo zijn dat er al miljoenen mensen besmet zijn maar dat lijkt vooralsnog niet zo te zijn.

Ik denk ook dat Microsoft echt wel oppast met dit soort lekken. Ze hebben een reputatie hoog te houden en bij een lek dat lang aanhoud krijgen ze direct de EU op hun kop en zullen ze nog meer boetes krijgen.

Magnum1982 2 oktober 2013 10:44

Binnenkort staat "Windows XP" niet meer in die lijst van supported OSes voor dergelijke Fix-Its. Gezien de grote aantallen XP PC's die nog in omloop zijn, is dat wel verontrustwekkend :-)

vali @Magnum1982 • 2 oktober 2013 10:51

Ook niet raar omdat de support 8 april 2014 afloopt. Bedrijven die na die tijd nog niet over zijn gestapt naar een nieuw OS vragen er dan zelf om in een onbeveiligde netwerk te werken...

Verwijderd @Magnum1982 • 2 oktober 2013 11:59

Je AV reageert dan hopelijk nog op dit soort ongein. En je firewall indien er een comnnectie gekaapt wordt.

SuperDre @Magnum1982 • 2 oktober 2013 13:35

tja je gebruikt toch ook geen Debian 3.0 (of ubuntu 1) meer, die had ook maar een ondersteuning tot 2006, inmiddels draai je toch ook een nieuwere versie daarvan (zou ik in iedergeval toch maar wel eens doen als je dat niet deed, aangezien die zo lek zijn als een mandje)..
Dus als je dan geen officiele support meer krijgt vindt ik het nog niet zo vreemd, maar meestal kun je dan nog wel onofficieel het lek (laten) patchen..

Loller1

Internet Explorer
Browsers

@Magnum1982 • 2 oktober 2013 14:04

Mensen die dan nog op XP zitten, verdienen alles wat er kan gebeuren na die datum. Nu ja, nu zelfs al. Het heeft totaal geen nut om nog op XP te blijven hangen. Het feit dat XP eruit gaat zal het ook makkelijker maken voor Microsoft om patches te schrijven voor alle andere versies die ze ondersteunen. Sinds Vista is Windows helemaal omgegooid, de kans dat patches voor Vista werken op 7, 8 en 8.1 is veel groter dan dat die van XP dat doen. XP niet meer ondersteunen, verbeterd de veiligheid van de rest alleen maar. En natuurlijk: IE6 gaat er ook uit.

Alex3 @Loller1 • 2 oktober 2013 23:09

De meeste updates die ik op Windows XP krijg zijn ook van toepassing op nieuwere versies. De code is dus kennelijk grotendeels gemeenschappelijk.
De ondersteuning van IE6 is gestopt met die van Windows 2000.

Loller1

Internet Explorer
Browsers

@Alex3 • 3 oktober 2013 16:50

Internet Explorer 6 wordt nog steeds ondersteund, de ondersteuning voor IE6 gaat er pas uit zodra die van Windows XP stopt, net als die van IE7 welke pas zal stoppen als Windows Vista EOL gaat. De ondersteuning van zowel Internet Explorer 8 als Internet Explorer 9 is ook gedaan zodra Windows 7 eruit gaat. Internet Explorer versies volgen altijd de cyclus van het nieuwste OS waar ze voor draaien. IE8 op XP en Vista zal natuurlijk geen updates meer krijgen nadat die besturingssystemen EOL gaan. Ter bewijs trouwens: http://blogs.msdn.com/b/i...net-explorer-updates.aspx, IE6 wordt nog steeds vernoemd.

Vele van de patches voor Windows Vista en hoger zijn ook geldig voor Windows XP, maar dat wil niet zeggen dat ze ook zomaar compatible zijn. De codebase van XP is totaal anders dan die van Windows 6.x.

Nulnulnix 2 oktober 2013 10:39

De fix-it oplossing is alleen voor de 32 bit versie van de Internet Explorer.. Strakke actie om de 64 bit gebruikers in de kou te laten staan..

Verwijderd @Nulnulnix • 2 oktober 2013 10:54

Hebben die er uberhaupt last van dan? Office is alleen 32-bit, dus ik neem aan dat Office plugins ook alleen in de 32-bit versie van IE werken.

Yggdrasil

@Verwijderd • 2 oktober 2013 11:11

Office alleen 32-bits? Ik heb hier toch echt een 64-bits versie van Office 2010 geïnstalleerd staan. Taakbeheer geeft ook aan dat bijv. winword.exe als 64-bit proces draait.

Verwijderd @Yggdrasil • 2 oktober 2013 12:11

Ja, blijkbaar is er van Office 2010 een 64-bit versie (al installeert ie default toch de 32-bit versie).
Maar dan nog, zitten daar dan ook 64-bit plugins voor IE bij?

[Reactie gewijzigd door Verwijderd op 26 juli 2024 12:35]

SirBlade @Verwijderd • 2 oktober 2013 11:00

Er zijn een 64-bits versies van office, alleen zijn veel plugins daar niet mee compatible en is het nut redelijk beperkt. Alleen als je met extreem grote spreadsheets werk kan 64-bit voor verbeteringen zorgen.

WoutervOorschot

2 oktober 2013 14:25

Dus als ik win8 met office 2013 heb loop ik geen risico?

Loller1

Internet Explorer
Browsers

@WoutervOorschot • 2 oktober 2013 18:27

Nop, volledig veilig.

Alphyraz

2 oktober 2013 12:07

Ik krijg in Firefox 24.0 ook een melding van Windows Defender met als naam Exploit:JS/Mult.CR.
Edit: dit is omdat het bestand gelijk gescand wordt door Windows Defender. Firefox lijkt de bug niet te hebben.

[Reactie gewijzigd door Alphyraz op 26 juli 2024 12:35]

Martijn_1998 2 oktober 2013 10:39

Wat me wel opvalt is dat bijna alle browserlekken altijd gebruik maken van javascript, dit zegt toch ook iets?
Edit: foutje, ik bedoelde javacript

[Reactie gewijzigd door Martijn_1998 op 26 juli 2024 12:35]

DenHippie @Martijn_1998 • 2 oktober 2013 10:43

Dit lek betreft JavaScript, dat heeft ondanks de naam niets met Java te maken.

BeerenburgCola @Martijn_1998 • 2 oktober 2013 10:41

JavaScript != Java !

Memori @Martijn_1998 • 2 oktober 2013 10:42

Deze exploit maakt gebruik van JavaScript. Dat is iets anders dan Java. Maar je hebt gelijk: het permanent actief hebben van Java in je browser is best gevaarlijk.

Remi1115 @Martijn_1998 • 2 oktober 2013 10:45

Wat me wel opvalt is dat bijna alle browserlekken altijd gebruik maken van java, dit zegt toch ook iets?

Dit gaat over JavaScript, of bedoel je dat? Eventuele verwarring door de namen is te begrijpen.

Edit: Ik had beter de pagina kunnen refreshen voordat ik deze post maakte. Excuses.

[Reactie gewijzigd door Remi1115 op 26 juli 2024 12:35]

Tarabass 2 oktober 2013 17:36

En weer is het ActiveX die misbruikt kan worden. Kwalijke zaak dat ze zolang wachten met patchen. Zeker als je browser zo onder vuur ligt, en andere browsers redelijk wat terrein winnen, zou ik direct patchen. Blijkbaar denkt MS dat een fix die je zelf moet downloaden genoeg is..

Loller1

Internet Explorer
Browsers

@Tarabass • 2 oktober 2013 18:26

Wel ja, het is een goed idee om een fix die niet volledig getest is niet automatisch uit te rollen. Lees je het artikel eigenlijk wel?

Alex3 @Loller1 • 2 oktober 2013 23:13

Maar ze zouden wel de tijdelijke fix, die de betreffende dll niet repareert maar gewoon uitschakelt, automatisch kunnen uitrollen. Dat hoef je niet langdurig te testen.

Loller1

Internet Explorer
Browsers

@Alex3 • 3 oktober 2013 16:47

Maar een dll uitschakelen is helemaal niet gewenst. Daarbij moet ook dat getest worden, misschien zelfs nog langer dan een echte fix. Die dll is er niet voor niks.

Jorgen Moderator Beeld & Geluid 2 oktober 2013 17:07

Heeft iemand een link naar de 64-bits Windows 7-patch?

Verwijderd 2 oktober 2013 22:03

De ActiveX is erg kwetsbaar gebleken. Het wordt tijd dat dat eens verdwijnt.
Patchen moet altijd zo snel mogelijk. Microsoft moet al vanaf april/mei weten dat dit lek bestaat. Toen werd al gemeld dat het in Japan al werd misbruikt en als Microsoft Japan gewoon het nieuws leest moeten ze toch weten dat het lek bestaat. Dan moet ook direct actie worden ondernomen. Verhaaltjes die ons moeten laten geloven dat alleen een niet veel voorkomende combinatie van OS, IE en Office versies kwetsbaar zijn is lariekoek. Daar trapt niemand in.
Een patch moet wel uitgebreid getest worden. Het zou de eerste keer niet zijn dat een patch meer problemen geeft als oplost. Dat kost tijd, waardoor het wel eens een paar dagen tot weken kan duren voordat een patch kan worden uitgebracht. Dat is bij andere browsers niet anders. Een aantal maanden is niet acceptabel. Microsoft geeft duidelijk niet de voorrang aan de veiligheid van hun producten die je zou mogen verwachten.
Inmiddels wordt de exlpoit door alle virus scanners herkend (ook door MS eigen essentials). Dat maakt het gevaar al wat kleiner, maar het is niet de juiste oplossing!

De discussie open of closed software is weinig relevant. Allebij hebben ze voor en nadelen. Per toepassing en gebruikersgroep zal de voorkeur anders liggen. Wat wel gevaarlijk is, is de verregaande integratie van IE in Windows zelf. Het is een kwestie van tijd voordat ook een kwetsbaarheid in IE gevonden wordt die ook vanuit andere browsers gebruikt kan worden.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (74)

Sorteer op:

Weergave: