Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 24 reacties
Submitter: Hoodie22

Microsoft heeft op patch Tuesday een tweetal beveiligingsproblemen opgelost die al 'in het wild' werden misbruikt, waaronder een kwetsbaarheid waarvan alle details openbaar waren. Een van de twee kwetsbaarheden is gepatcht met behulp van een Nederlander.

Microsoft Internet Explorer 9 logo (90 pix)In totaal lost de patch Tuesday-update van Microsoft, die elke tweede dinsdag van de maand plaatsvindt, tien beveiligingsproblemen op. Daarvan werden er twee misbruikt, heeft Microsoft dinsdag bekendgemaakt. Een van die twee problemen kwam vorige week beschikbaar als Metasploit-module, waardoor iedereen de kwetsbaarheid kon misbruiken. Er was toen wel al een tijdelijke patch beschikbaar, maar die moest handmatig worden geïnstalleerd.

Alle Internet Explorer-versies sinds IE6 zijn kwetsbaar, hoewel de bug onder nieuwere Windows-versies enkel te misbruiken lijkt wanneer Office 2007 of 2010 was geïnstalleerd. Als Office op de computer staat, kan een bepaalde dll kon worden aangeroepen die nodig is om beveiligingsmechanismen van nieuwe Windows-versies te omzeilen. Microsoft drukt gebruikers op het hart om de update voor het probleem te installeren, hoewel het geen aanwijzingen zegt te hebben dat de bug op grote schaal word misbruikt.

Een tweede 'zero day'-kwetsbaarheid die is gedicht, werkt alleen met Internet Explorer 8. Dat beveiligingsprobleem is opgelost met behulp van 'Hoodie22', die het probleem meldde bij het Nederlandse Nationaal Cyber Security Centrum. Ook dit probleem wordt volgens Microsoft al misbruikt, maar eveneens niet op grote schaal.

Moderatie-faq Wijzig weergave

Reacties (24)

Ik heb inderdaad een hele ''lading'' updates zojuist ge´nstalleerd, maar wat ik me afvraag is zoals altijd: Als je de patch klaar hebt, als de bug al misbruikt word, waarom dan wachtten om de update vrij te geven via automatische updates?
Ik vind het goed van MS dat ze aangeven dat de bug misbruikt word (op kleine of grote schaal), maar dat ze de update niet gelijk uitbrengen dat begrijp ik niet.
Dat ging om een tijdelijke patch, misschien was die "anders" dan de uiteindelijke patch.
tja, dat krijg je als er strakke 'lijnen' in een bedrijf zijn, van de ene kant goed, maar van de andere kant kan het ook veel ophouden.. Maar als er een kwetsbaarheid is die erg extreem is, dan doen ze dus wel een update buiten de dinsdagpatchronde..
Door een update direct te publiceren houdt je geen controle. Om gefaseerd uit te leveren voorkom je overmatig support bij problemen. Daarnaast kunnen problemen die eventueel aan het licht komen een update intrekken om eerst te fixen.
Het is sowieso een drukke dinsdag; op mijn Server 2008 (met IE9) en Office 2010 krijg ik 26 patches/fixes/updates binnen en op de laptop met 8.1 Enterprise (met IE11) en Office 2013 krijg ik 31 patches/fixes/updates binnen.

Het valt me sowieso al op dat de hoeveelheid patches de laatste paar jaar lijkt toe te nemen; je zou kunnen beargumenteren dat Microsoft dus slecht zijn huiswerk heeft gedaan bij de initiele release van hun software maar aan de andere kant lijkt nu het beloningsbeleid voor het melden van vulnerabilities ook zijn vruchten af te werpen.
of omdat ze meer mensen daarvoor in dienst hebben
of omdat het kleine fixes zijn
of omdat ze meer fixes kunnen vinden dan eerst
of omdat ...

het hoeft niet direct "slecht huiswerk" te zijn, dat is wel heel kort door de bocht imo
Ik ben het daarmee eens. Maar MS heeft (volgens Wikipedia) in 1999 meer dat 1000 man aan IE bezig gezet. Hoe kan je dan verwachten dat dit ooit veilig wordt? En daarbij, het is geschreven in C++, dat mijns inziens te veel vrijheid geeft mbt directe geheugentoegang. En het is ook Closed Source, zodat het debuggen voor externe partijen lastig is. Ik geloof niet dat software van deze omvang, dat met zoveel manjaar is ontwikkeld in een softwaretaal die niet bekend staat om zijn veiligheid, zeker niet eind jaren 90, ooit helemaal gepatcht gaat worden.

Maar ik kan het mis hebben natuurlijk.
tja, liever in c++ en fatsoenlijke snelheid/resource gebruik dan al die logge 'interpreters' met hun logge snelheid/resource gebruik (heb je een nieuwe PC, loopt die nog bijna net zo traag met de nieuwste in .NET geschreven applicatie als een 8 jaar oude PC met een in c(++) geschreven applicatie, Nou, dat noem ik dan geen vooruitgang, maar enorme achteruitgang en inefficient gebruik van mn computer..

En tja, closed source en (zogenaamd) niet kunnen debuggen zou je ook juist kunnen zien als een pluspunt, want jij gaat er van uit dat met opensource en de exploits die men zou vinden deze wel netjes meld, think again...

Met c++ is helemaal niets mis als het gaat om veiligheid, dat ligt meer aan de developer zelf..
Zoals ik al zei, liever dat het supersnel draait en wat minder veilig is, dan dat het draait als dikke stront maar de schijn van veiligheid heeft (want denk nou niet dat bv ontwikkelen in .NET zo veel veiliger is)..
Zoals ik al zei, liever dat het supersnel draait en wat minder veilig is, dan dat het draait als dikke stront maar de schijn van veiligheid heeft (want denk nou niet dat bv ontwikkelen in .NET zo veel veiliger is)..
Leuk dat je zo'n bewerking doet, maar onderbouw dat eens? Natuurlijk heeft het .NET framework ook geregeld beveiligingsupdates, maar volgens mij wordt het risico op fouten flink minder door gebruik te maken van een framework als .NET.

Voor wat extra veiligheid lever ik wel wat snelheid in..
Tot er benchmarks komen die tonen dat de browser trager is dan de andere en dan is het weer een slechte browser :) tegenwoordig draait men op elke browser benchmarks voor snelheid en ondersteuning van de standaarden, dus bij elke browser ontwikkelaar zit daar de prioriteit.
tja, liever in c++ en fatsoenlijke snelheid/resource gebruik dan al die logge 'interpreters' met hun logge snelheid/resource gebruik (heb je een nieuwe PC, loopt die nog bijna net zo traag met de nieuwste in .NET geschreven applicatie als een 8 jaar oude PC met een in c(++) geschreven applicatie, Nou, dat noem ik dan geen vooruitgang, maar enorme achteruitgang en inefficient gebruik van mn computer..
Als je een browser in python of zoiets gaat schrijven, tja, dan heb je een uitdaging inderdaad. En vergelijk C aub niet met C++.
En tja, closed source en (zogenaamd) niet kunnen debuggen zou je ook juist kunnen zien als een pluspunt, want jij gaat er van uit dat met opensource en de exploits die men zou vinden deze wel netjes meld, think again...
Waarom denk jij dat Google begonnen is met het uitkeren van serieuze geldbedragen om bugs te vinden? Dit heeft niets met Closed of Open Source te maken, maar met motivatie. Maar in Open Source is het makkelijker om bugs te ontdekken, je hebt namelijk de source.
Met c++ is helemaal niets mis als het gaat om veiligheid, dat ligt meer aan de developer zelf..
Zoals ik al zei werkten er in 1999 meer dan 1000 mensen aan. Zou je dan niet liever een goede vangnet willen hebben? Niet iedere programmeur is even bekwaam in een taal (of heeft even zijn dag niet).
Zoals ik al zei, liever dat het supersnel draait en wat minder veilig is, dan dat het draait als dikke stront maar de schijn van veiligheid heeft (want denk nou niet dat bv ontwikkelen in .NET zo veel veiliger is)..
Ik ben het volledig oneens met deze stellingen. Zowel veiligheid als snelheid zou prio nr1 moeten zijn. Daarom vind ik Go ook zo leuk. Ik heb niets met .NET, maar C# is wel een heel goede taal, en veel productiever ook dan C++.
En welke browser is er niet geschreven in c/c++ ?
Chrome: Assembly, C, C++, Java, JavaScript, Python
Firefox: C/C++, JavaScript, Cascading Style Sheet, XUL, XBL
Opera: C++
Safari: C++, Objective-C

Misschien is er nog ergens een 100% Java browser, lekker veilig :+
Er is een levensgroot verschil tussen C en C++.

Men dient echter in te zien dat C++ een taal is die is begonnen met C, en daardoor een mengelmoesje is geworden. Dit zal nooit uit C++ kunnen worden verbannen, simpelweg vanwege de heritage. Dit is ook het probleem met C++ 11. Alhoewel er leuke nieuwe features bij komen dient een programmeur nog altijd oude libraries aan te kunnen passen. Dus naast de nieuwe features moet deze persoon ook de oude kennen. Oftewel nog meer boeken doornemen ipv lekker kunnen programmeren.

Ik denk dat veel C# en Java programmeurs het hiermee eens zijn. Ikzelf preferreer Go.
Het neemt hier ook toe, maar eerder door het gebruik van meerdere OSen (XP/W7/W8, Server 2003/2008/2012), Office 2010 en Lync 2010/2013. Gelukkig is het niet mijn job, maar mijn collega heeft het wel druk op dinsdag...
Update 1 van 10, schakel uw pc niet uit...

achja, ben wel blij dat ze er wat aan doen, zelfs nog voor ie8... Dat zie je niet veel bij software fabrikanten dat eigenlijk alle versies van een bepaald programma LTS is
Het security bulletin is MS13-080: Cumulative Security Update for Internet Explorer: October 8, 2013

De bijbehorende patch is onder nummer KB2879017 te vinden in je updates-lijst. Deze was automatisch geselecteerd in mijn WSUS installatie.

[Reactie gewijzigd door Yggdrasil op 9 oktober 2013 10:08]

En onder Windows 8.1 moet je deze zelf installeren, wordt niet weergegeven in Windows Update
of verder lezen
If you are running Internet Explorer 11 in Windows 8.1 and Windows Server 2012 R2, you should install security update 2884101
Na deze lading updates - waaronder ook weer de nodige updates op .net - krijg ik op een paar systemen de melding dat KB951847 (Microsoft .NET 3.5 SP1 + family update) van oktober 2009 nog ge´nstalleerd moet worden. Kennelijk is de detectie voor deze update door de afgelopen 'patch Tueseday' om zeep geholpen :?
Een korte zoektocht op internet wijst uit dat meer personen hier last van te hebben. Zie de website van Microsoft.
heb je dan een 25 GB schijf ?? tevens hoef je niet de update's te installeren het word alleen aangeraden om het te doen :).
Hoe meer programmatuur er is, hoe meer kans op fouten.

En omgekeerd natuurlijk ook, kijk alleen maar naar het succes van de VMware baremetals die op een heel klein beetje software draaien.

Daarnaast is het zonde dat zo veel ruimte eigenlijk onnodig gebruikt wordt.
Waarom kan het niet 'lean & mean'?
Als jij wilt dat Win7/8 onder de 15gb ruimte blijft gebruiken. Dan kan dat.
Maar ga dan niet huilen als je systeem zo instabiel als de nete word.

En als je wilt weten waarom Windows 7 en 8 zo veel ruimte gebruiken. Heeft voornamelijk te maken met recovery mogelijkheden en snelheid van het OS.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True