Microsoft dicht misbruikte Internet Explorer-lekken

Microsoft heeft op patch Tuesday een tweetal beveiligingsproblemen opgelost die al 'in het wild' werden misbruikt, waaronder een kwetsbaarheid waarvan alle details openbaar waren. Een van de twee kwetsbaarheden is gepatcht met behulp van een Nederlander.

Microsoft Internet Explorer 9 logo (90 pix) In totaal lost de patch Tuesday-update van Microsoft, die elke tweede dinsdag van de maand plaatsvindt, tien beveiligingsproblemen op. Daarvan werden er twee misbruikt, heeft Microsoft dinsdag bekendgemaakt. Een van die twee problemen kwam vorige week beschikbaar als Metasploit-module, waardoor iedereen de kwetsbaarheid kon misbruiken. Er was toen wel al een tijdelijke patch beschikbaar, maar die moest handmatig worden geïnstalleerd.

Alle Internet Explorer-versies sinds IE6 zijn kwetsbaar, hoewel de bug onder nieuwere Windows-versies enkel te misbruiken lijkt wanneer Office 2007 of 2010 was geïnstalleerd. Als Office op de computer staat, kan een bepaalde dll kon worden aangeroepen die nodig is om beveiligingsmechanismen van nieuwe Windows-versies te omzeilen. Microsoft drukt gebruikers op het hart om de update voor het probleem te installeren, hoewel het geen aanwijzingen zegt te hebben dat de bug op grote schaal word misbruikt.

Een tweede 'zero day'-kwetsbaarheid die is gedicht, werkt alleen met Internet Explorer 8. Dat beveiligingsprobleem is opgelost met behulp van 'Hoodie22', die het probleem meldde bij het Nederlandse Nationaal Cyber Security Centrum. Ook dit probleem wordt volgens Microsoft al misbruikt, maar eveneens niet op grote schaal.

Reacties (24)

LopendeVogel 9 oktober 2013 08:29

Ik heb inderdaad een hele ''lading'' updates zojuist geïnstalleerd, maar wat ik me afvraag is zoals altijd: Als je de patch klaar hebt, als de bug al misbruikt word, waarom dan wachtten om de update vrij te geven via automatische updates?
Ik vind het goed van MS dat ze aangeven dat de bug misbruikt word (op kleine of grote schaal), maar dat ze de update niet gelijk uitbrengen dat begrijp ik niet.

frankwopereis @LopendeVogel • 9 oktober 2013 09:12

Dat ging om een tijdelijke patch, misschien was die "anders" dan de uiteindelijke patch.

SuperDre @LopendeVogel • 9 oktober 2013 09:41

tja, dat krijg je als er strakke 'lijnen' in een bedrijf zijn, van de ene kant goed, maar van de andere kant kan het ook veel ophouden.. Maar als er een kwetsbaarheid is die erg extreem is, dan doen ze dus wel een update buiten de dinsdagpatchronde..

eL-Prova @LopendeVogel • 9 oktober 2013 09:48

Door een update direct te publiceren houdt je geen controle. Om gefaseerd uit te leveren voorkom je overmatig support bij problemen. Daarnaast kunnen problemen die eventueel aan het licht komen een update intrekken om eerst te fixen.

MAX3400 9 oktober 2013 08:31

Het is sowieso een drukke dinsdag; op mijn Server 2008 (met IE9) en Office 2010 krijg ik 26 patches/fixes/updates binnen en op de laptop met 8.1 Enterprise (met IE11) en Office 2013 krijg ik 31 patches/fixes/updates binnen.

Het valt me sowieso al op dat de hoeveelheid patches de laatste paar jaar lijkt toe te nemen; je zou kunnen beargumenteren dat Microsoft dus slecht zijn huiswerk heeft gedaan bij de initiele release van hun software maar aan de andere kant lijkt nu het beloningsbeleid voor het melden van vulnerabilities ook zijn vruchten af te werpen.

xFeverr @MAX3400 • 9 oktober 2013 08:34

of omdat ze meer mensen daarvoor in dienst hebben
of omdat het kleine fixes zijn
of omdat ze meer fixes kunnen vinden dan eerst
of omdat ...

het hoeft niet direct "slecht huiswerk" te zijn, dat is wel heel kort door de bocht imo

Verwijderd @xFeverr • 9 oktober 2013 09:24

Ik ben het daarmee eens. Maar MS heeft (volgens Wikipedia) in 1999 meer dat 1000 man aan IE bezig gezet. Hoe kan je dan verwachten dat dit ooit veilig wordt? En daarbij, het is geschreven in C++, dat mijns inziens te veel vrijheid geeft mbt directe geheugentoegang. En het is ook Closed Source, zodat het debuggen voor externe partijen lastig is. Ik geloof niet dat software van deze omvang, dat met zoveel manjaar is ontwikkeld in een softwaretaal die niet bekend staat om zijn veiligheid, zeker niet eind jaren 90, ooit helemaal gepatcht gaat worden.

Maar ik kan het mis hebben natuurlijk.

SuperDre @Verwijderd • 9 oktober 2013 09:47

tja, liever in c++ en fatsoenlijke snelheid/resource gebruik dan al die logge 'interpreters' met hun logge snelheid/resource gebruik (heb je een nieuwe PC, loopt die nog bijna net zo traag met de nieuwste in .NET geschreven applicatie als een 8 jaar oude PC met een in c(++) geschreven applicatie, Nou, dat noem ik dan geen vooruitgang, maar enorme achteruitgang en inefficient gebruik van mn computer..

En tja, closed source en (zogenaamd) niet kunnen debuggen zou je ook juist kunnen zien als een pluspunt, want jij gaat er van uit dat met opensource en de exploits die men zou vinden deze wel netjes meld, think again...

Met c++ is helemaal niets mis als het gaat om veiligheid, dat ligt meer aan de developer zelf..
Zoals ik al zei, liever dat het supersnel draait en wat minder veilig is, dan dat het draait als dikke stront maar de schijn van veiligheid heeft (want denk nou niet dat bv ontwikkelen in .NET zo veel veiliger is)..

Glashelder

@SuperDre • 9 oktober 2013 13:15

Zoals ik al zei, liever dat het supersnel draait en wat minder veilig is, dan dat het draait als dikke stront maar de schijn van veiligheid heeft (want denk nou niet dat bv ontwikkelen in .NET zo veel veiliger is)..

Leuk dat je zo'n bewerking doet, maar onderbouw dat eens? Natuurlijk heeft het .NET framework ook geregeld beveiligingsupdates, maar volgens mij wordt het risico op fouten flink minder door gebruik te maken van een framework als .NET.

Voor wat extra veiligheid lever ik wel wat snelheid in..

MClaeys @Glashelder • 9 oktober 2013 16:01

Tot er benchmarks komen die tonen dat de browser trager is dan de andere en dan is het weer een slechte browser

tegenwoordig draait men op elke browser benchmarks voor snelheid en ondersteuning van de standaarden, dus bij elke browser ontwikkelaar zit daar de prioriteit.

Verwijderd @SuperDre • 9 oktober 2013 10:00

tja, liever in c++ en fatsoenlijke snelheid/resource gebruik dan al die logge 'interpreters' met hun logge snelheid/resource gebruik (heb je een nieuwe PC, loopt die nog bijna net zo traag met de nieuwste in .NET geschreven applicatie als een 8 jaar oude PC met een in c(++) geschreven applicatie, Nou, dat noem ik dan geen vooruitgang, maar enorme achteruitgang en inefficient gebruik van mn computer..

Als je een browser in python of zoiets gaat schrijven, tja, dan heb je een uitdaging inderdaad. En vergelijk C aub niet met C++.

En tja, closed source en (zogenaamd) niet kunnen debuggen zou je ook juist kunnen zien als een pluspunt, want jij gaat er van uit dat met opensource en de exploits die men zou vinden deze wel netjes meld, think again...

Waarom denk jij dat Google begonnen is met het uitkeren van serieuze geldbedragen om bugs te vinden? Dit heeft niets met Closed of Open Source te maken, maar met motivatie. Maar in Open Source is het makkelijker om bugs te ontdekken, je hebt namelijk de source.

Met c++ is helemaal niets mis als het gaat om veiligheid, dat ligt meer aan de developer zelf..

Zoals ik al zei werkten er in 1999 meer dan 1000 mensen aan. Zou je dan niet liever een goede vangnet willen hebben? Niet iedere programmeur is even bekwaam in een taal (of heeft even zijn dag niet).

Zoals ik al zei, liever dat het supersnel draait en wat minder veilig is, dan dat het draait als dikke stront maar de schijn van veiligheid heeft (want denk nou niet dat bv ontwikkelen in .NET zo veel veiliger is)..

Ik ben het volledig oneens met deze stellingen. Zowel veiligheid als snelheid zou prio nr1 moeten zijn. Daarom vind ik Go ook zo leuk. Ik heb niets met .NET, maar C# is wel een heel goede taal, en veel productiever ook dan C++.

seth007 @Verwijderd • 9 oktober 2013 09:35

En welke browser is er niet geschreven in c/c++ ?

Eloy @seth007 • 9 oktober 2013 11:44

Chrome: Assembly, C, C++, Java, JavaScript, Python
Firefox: C/C++, JavaScript, Cascading Style Sheet, XUL, XBL
Opera: C++
Safari: C++, Objective-C

Misschien is er nog ergens een 100% Java browser, lekker veilig

Verwijderd @seth007 • 9 oktober 2013 09:48

Er is een levensgroot verschil tussen C en C++.

Men dient echter in te zien dat C++ een taal is die is begonnen met C, en daardoor een mengelmoesje is geworden. Dit zal nooit uit C++ kunnen worden verbannen, simpelweg vanwege de heritage. Dit is ook het probleem met C++ 11. Alhoewel er leuke nieuwe features bij komen dient een programmeur nog altijd oude libraries aan te kunnen passen. Dus naast de nieuwe features moet deze persoon ook de oude kennen. Oftewel nog meer boeken doornemen ipv lekker kunnen programmeren.

Ik denk dat veel C# en Java programmeurs het hiermee eens zijn. Ikzelf preferreer Go.

JerX @MAX3400 • 9 oktober 2013 09:21

Het neemt hier ook toe, maar eerder door het gebruik van meerdere OSen (XP/W7/W8, Server 2003/2008/2012), Office 2010 en Lync 2010/2013. Gelukkig is het niet mijn job, maar mijn collega heeft het wel druk op dinsdag...

xFeverr 9 oktober 2013 08:28

Update 1 van 10, schakel uw pc niet uit...

achja, ben wel blij dat ze er wat aan doen, zelfs nog voor ie8... Dat zie je niet veel bij software fabrikanten dat eigenlijk alle versies van een bepaald programma LTS is

Yggdrasil

9 oktober 2013 09:59

Het security bulletin is MS13-080: Cumulative Security Update for Internet Explorer: October 8, 2013

De bijbehorende patch is onder nummer KB2879017 te vinden in je updates-lijst. Deze was automatisch geselecteerd in mijn WSUS installatie.

[Reactie gewijzigd door Yggdrasil op 26 juli 2024 14:29]

Dragunov @Yggdrasil • 9 oktober 2013 12:27

En onder Windows 8.1 moet je deze zelf installeren, wordt niet weergegeven in Windows Update

batjes

Browsers

@Dragunov • 9 oktober 2013 12:54

of verder lezen

If you are running Internet Explorer 11 in Windows 8.1 and Windows Server 2012 R2, you should install security update 2884101

shrvs 9 oktober 2013 10:02

Na deze lading updates - waaronder ook weer de nodige updates op .net - krijg ik op een paar systemen de melding dat KB951847 (Microsoft .NET 3.5 SP1 + family update) van oktober 2009 nog geïnstalleerd moet worden. Kennelijk is de detectie voor deze update door de afgelopen 'patch Tueseday' om zeep geholpen

Een korte zoektocht op internet wijst uit dat meer personen hier last van te hebben. Zie de website van Microsoft.

xleeuwx @eddieveenstra • 9 oktober 2013 09:49

heb je dan een 25 GB schijf ?? tevens hoef je niet de update's te installeren het word alleen aangeraden om het te doen

Verwijderd @xleeuwx • 9 oktober 2013 10:50

Hoe meer programmatuur er is, hoe meer kans op fouten.

En omgekeerd natuurlijk ook, kijk alleen maar naar het succes van de VMware baremetals die op een heel klein beetje software draaien.

Daarnaast is het zonde dat zo veel ruimte eigenlijk onnodig gebruikt wordt.
Waarom kan het niet 'lean & mean'?

batjes

Browsers

@Verwijderd • 9 oktober 2013 12:53

Als jij wilt dat Win7/8 onder de 15gb ruimte blijft gebruiken. Dan kan dat.
Maar ga dan niet huilen als je systeem zo instabiel als de nete word.

En als je wilt weten waarom Windows 7 en 8 zo veel ruimte gebruiken. Heeft voornamelijk te maken met recovery mogelijkheden en snelheid van het OS.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (24)

Sorteer op:

Weergave: