Microsoft dicht misbruikte Internet Explorer-lekken

Microsoft heeft op patch Tuesday een tweetal beveiligingsproblemen opgelost die al 'in het wild' werden misbruikt, waaronder een kwetsbaarheid waarvan alle details openbaar waren. Een van de twee kwetsbaarheden is gepatcht met behulp van een Nederlander.

Microsoft Internet Explorer 9 logo (90 pix)In totaal lost de patch Tuesday-update van Microsoft, die elke tweede dinsdag van de maand plaatsvindt, tien beveiligingsproblemen op. Daarvan werden er twee misbruikt, heeft Microsoft dinsdag bekendgemaakt. Een van die twee problemen kwam vorige week beschikbaar als Metasploit-module, waardoor iedereen de kwetsbaarheid kon misbruiken. Er was toen wel al een tijdelijke patch beschikbaar, maar die moest handmatig worden geïnstalleerd.

Alle Internet Explorer-versies sinds IE6 zijn kwetsbaar, hoewel de bug onder nieuwere Windows-versies enkel te misbruiken lijkt wanneer Office 2007 of 2010 was geïnstalleerd. Als Office op de computer staat, kan een bepaalde dll kon worden aangeroepen die nodig is om beveiligingsmechanismen van nieuwe Windows-versies te omzeilen. Microsoft drukt gebruikers op het hart om de update voor het probleem te installeren, hoewel het geen aanwijzingen zegt te hebben dat de bug op grote schaal word misbruikt.

Een tweede 'zero day'-kwetsbaarheid die is gedicht, werkt alleen met Internet Explorer 8. Dat beveiligingsprobleem is opgelost met behulp van 'Hoodie22', die het probleem meldde bij het Nederlandse Nationaal Cyber Security Centrum. Ook dit probleem wordt volgens Microsoft al misbruikt, maar eveneens niet op grote schaal.

Door Joost Schellevis

Redacteur

Feedback • 09-10-2013 08:18 24

09-10-2013 • 08:18

24

Lees meer

Internet Explorer

geen prijs bekend

3.5 van 5 sterren
Microsoft dicht kritiek lek in http.sys
Microsoft dicht kritiek lek in http.sys Nieuws van 15 april 2015
Microsoft stopt met details geven over gedichte lekken in Windows
Microsoft stopt met details geven over gedichte lekken in Windows Nieuws van 9 januari 2015
Microsoft trekt update voor Exchange Server 2010 SP3 terug wegens bugs
Microsoft trekt update voor Exchange Server 2010 SP3 terug wegens bugs Nieuws van 11 december 2014
'Russen bespioneerden jarenlang Westerse overheden via PowerPoint-lek'
'Russen bespioneerden jarenlang Westerse overheden via PowerPoint-lek' Nieuws van 14 oktober 2014
Microsoft gaat ernstig lek in Internet Explorer 8 patchen
Microsoft gaat ernstig lek in Internet Explorer 8 patchen Nieuws van 23 mei 2014
Microsoft laat ernstig lek in Internet Explorer 8 maanden ongepatcht
Microsoft laat ernstig lek in Internet Explorer 8 maanden ongepatcht Nieuws van 22 mei 2014
Microsoft waarschuwt voor zero-day exploit Word
Microsoft waarschuwt voor zero-day exploit Word Nieuws van 25 maart 2014
Zero day in Internet Explorer 9 en 10 wordt actief misbruikt
Zero day in Internet Explorer 9 en 10 wordt actief misbruikt Nieuws van 14 februari 2014
Update Windows 8.1 geeft browser compatibiliteitsmodus voor oude IE-versies
Update Windows 8.1 geeft browser compatibiliteitsmodus voor oude IE-versies Nieuws van 1 februari 2014
Microsoft gaat zero day in XP dit jaar niet meer patchen
Microsoft gaat zero day in XP dit jaar niet meer patchen Nieuws van 6 december 2013
Microsoft waarschuwt voor zero day-aanval via tiff-afbeeldingen
Microsoft waarschuwt voor zero day-aanval via tiff-afbeeldingen Nieuws van 6 november 2013
Europol: overheid moet eisen stellen aan beveiliging software
Europol: overheid moet eisen stellen aan beveiliging software Nieuws van 10 oktober 2013
Microsoft keert 28.000 dollar uit aan ontdekkers IE-lekken
Microsoft keert 28.000 dollar uit aan ontdekkers IE-lekken Nieuws van 8 oktober 2013
Ongepatcht Internet Explorer-lek verschijnt in de openbaarheid
Ongepatcht Internet Explorer-lek verschijnt in de openbaarheid Nieuws van 2 oktober 2013
'NSA koopt voor 25 miljoen dollar software-kwetsbaarheden'
'NSA koopt voor 25 miljoen dollar software-kwetsbaarheden' Nieuws van 31 augustus 2013
Beveiligingslek in de vorm van achterdeuraccount gevonden in backupservers HP
Beveiligingslek in de vorm van achterdeuraccount gevonden in backupservers HP Nieuws van 25 juni 2013
Microsoft werkt aan patch voor zero day in Internet Explorer 8
Microsoft werkt aan patch voor zero day in Internet Explorer 8 Nieuws van 6 mei 2013
Meer producten en artikelen
Browsers Netwerk en systeembeheer

Reacties (24)

-Moderatie-faq
24
23
19
0
0
0
Wijzig sortering
LopendeVogel 9 oktober 2013 08:29
Ik heb inderdaad een hele ''lading'' updates zojuist geïnstalleerd, maar wat ik me afvraag is zoals altijd: Als je de patch klaar hebt, als de bug al misbruikt word, waarom dan wachtten om de update vrij te geven via automatische updates?
Ik vind het goed van MS dat ze aangeven dat de bug misbruikt word (op kleine of grote schaal), maar dat ze de update niet gelijk uitbrengen dat begrijp ik niet.
frankwopereis @LopendeVogel9 oktober 2013 09:12
Dat ging om een tijdelijke patch, misschien was die "anders" dan de uiteindelijke patch.
SuperDre @LopendeVogel9 oktober 2013 09:41
tja, dat krijg je als er strakke 'lijnen' in een bedrijf zijn, van de ene kant goed, maar van de andere kant kan het ook veel ophouden.. Maar als er een kwetsbaarheid is die erg extreem is, dan doen ze dus wel een update buiten de dinsdagpatchronde..
eL-Prova @LopendeVogel9 oktober 2013 09:48
Door een update direct te publiceren houdt je geen controle. Om gefaseerd uit te leveren voorkom je overmatig support bij problemen. Daarnaast kunnen problemen die eventueel aan het licht komen een update intrekken om eerst te fixen.
MAX3400 9 oktober 2013 08:31
Het is sowieso een drukke dinsdag; op mijn Server 2008 (met IE9) en Office 2010 krijg ik 26 patches/fixes/updates binnen en op de laptop met 8.1 Enterprise (met IE11) en Office 2013 krijg ik 31 patches/fixes/updates binnen.

Het valt me sowieso al op dat de hoeveelheid patches de laatste paar jaar lijkt toe te nemen; je zou kunnen beargumenteren dat Microsoft dus slecht zijn huiswerk heeft gedaan bij de initiele release van hun software maar aan de andere kant lijkt nu het beloningsbeleid voor het melden van vulnerabilities ook zijn vruchten af te werpen.
xFeverr @MAX34009 oktober 2013 08:34
of omdat ze meer mensen daarvoor in dienst hebben
of omdat het kleine fixes zijn
of omdat ze meer fixes kunnen vinden dan eerst
of omdat ...

het hoeft niet direct "slecht huiswerk" te zijn, dat is wel heel kort door de bocht imo
Verwijderd @xFeverr9 oktober 2013 09:24
Ik ben het daarmee eens. Maar MS heeft (volgens Wikipedia) in 1999 meer dat 1000 man aan IE bezig gezet. Hoe kan je dan verwachten dat dit ooit veilig wordt? En daarbij, het is geschreven in C++, dat mijns inziens te veel vrijheid geeft mbt directe geheugentoegang. En het is ook Closed Source, zodat het debuggen voor externe partijen lastig is. Ik geloof niet dat software van deze omvang, dat met zoveel manjaar is ontwikkeld in een softwaretaal die niet bekend staat om zijn veiligheid, zeker niet eind jaren 90, ooit helemaal gepatcht gaat worden.

Maar ik kan het mis hebben natuurlijk.
SuperDre @Verwijderd9 oktober 2013 09:47
tja, liever in c++ en fatsoenlijke snelheid/resource gebruik dan al die logge 'interpreters' met hun logge snelheid/resource gebruik (heb je een nieuwe PC, loopt die nog bijna net zo traag met de nieuwste in .NET geschreven applicatie als een 8 jaar oude PC met een in c(++) geschreven applicatie, Nou, dat noem ik dan geen vooruitgang, maar enorme achteruitgang en inefficient gebruik van mn computer..

En tja, closed source en (zogenaamd) niet kunnen debuggen zou je ook juist kunnen zien als een pluspunt, want jij gaat er van uit dat met opensource en de exploits die men zou vinden deze wel netjes meld, think again...

Met c++ is helemaal niets mis als het gaat om veiligheid, dat ligt meer aan de developer zelf..
Zoals ik al zei, liever dat het supersnel draait en wat minder veilig is, dan dat het draait als dikke stront maar de schijn van veiligheid heeft (want denk nou niet dat bv ontwikkelen in .NET zo veel veiliger is)..
Glashelder @SuperDre9 oktober 2013 13:15
Zoals ik al zei, liever dat het supersnel draait en wat minder veilig is, dan dat het draait als dikke stront maar de schijn van veiligheid heeft (want denk nou niet dat bv ontwikkelen in .NET zo veel veiliger is)..
Leuk dat je zo'n bewerking doet, maar onderbouw dat eens? Natuurlijk heeft het .NET framework ook geregeld beveiligingsupdates, maar volgens mij wordt het risico op fouten flink minder door gebruik te maken van een framework als .NET.

Voor wat extra veiligheid lever ik wel wat snelheid in..
MClaeys @Glashelder9 oktober 2013 16:01
Tot er benchmarks komen die tonen dat de browser trager is dan de andere en dan is het weer een slechte browser :) tegenwoordig draait men op elke browser benchmarks voor snelheid en ondersteuning van de standaarden, dus bij elke browser ontwikkelaar zit daar de prioriteit.
Verwijderd @SuperDre9 oktober 2013 10:00
tja, liever in c++ en fatsoenlijke snelheid/resource gebruik dan al die logge 'interpreters' met hun logge snelheid/resource gebruik (heb je een nieuwe PC, loopt die nog bijna net zo traag met de nieuwste in .NET geschreven applicatie als een 8 jaar oude PC met een in c(++) geschreven applicatie, Nou, dat noem ik dan geen vooruitgang, maar enorme achteruitgang en inefficient gebruik van mn computer..
Als je een browser in python of zoiets gaat schrijven, tja, dan heb je een uitdaging inderdaad. En vergelijk C aub niet met C++.
En tja, closed source en (zogenaamd) niet kunnen debuggen zou je ook juist kunnen zien als een pluspunt, want jij gaat er van uit dat met opensource en de exploits die men zou vinden deze wel netjes meld, think again...
Waarom denk jij dat Google begonnen is met het uitkeren van serieuze geldbedragen om bugs te vinden? Dit heeft niets met Closed of Open Source te maken, maar met motivatie. Maar in Open Source is het makkelijker om bugs te ontdekken, je hebt namelijk de source.
Met c++ is helemaal niets mis als het gaat om veiligheid, dat ligt meer aan de developer zelf..
Zoals ik al zei werkten er in 1999 meer dan 1000 mensen aan. Zou je dan niet liever een goede vangnet willen hebben? Niet iedere programmeur is even bekwaam in een taal (of heeft even zijn dag niet).
Zoals ik al zei, liever dat het supersnel draait en wat minder veilig is, dan dat het draait als dikke stront maar de schijn van veiligheid heeft (want denk nou niet dat bv ontwikkelen in .NET zo veel veiliger is)..
Ik ben het volledig oneens met deze stellingen. Zowel veiligheid als snelheid zou prio nr1 moeten zijn. Daarom vind ik Go ook zo leuk. Ik heb niets met .NET, maar C# is wel een heel goede taal, en veel productiever ook dan C++.
seth007 @Verwijderd9 oktober 2013 09:35
En welke browser is er niet geschreven in c/c++ ?
Eloy @seth0079 oktober 2013 11:44
Chrome: Assembly, C, C++, Java, JavaScript, Python
Firefox: C/C++, JavaScript, Cascading Style Sheet, XUL, XBL
Opera: C++
Safari: C++, Objective-C

Misschien is er nog ergens een 100% Java browser, lekker veilig :+
Verwijderd @seth0079 oktober 2013 09:48
Er is een levensgroot verschil tussen C en C++.

Men dient echter in te zien dat C++ een taal is die is begonnen met C, en daardoor een mengelmoesje is geworden. Dit zal nooit uit C++ kunnen worden verbannen, simpelweg vanwege de heritage. Dit is ook het probleem met C++ 11. Alhoewel er leuke nieuwe features bij komen dient een programmeur nog altijd oude libraries aan te kunnen passen. Dus naast de nieuwe features moet deze persoon ook de oude kennen. Oftewel nog meer boeken doornemen ipv lekker kunnen programmeren.

Ik denk dat veel C# en Java programmeurs het hiermee eens zijn. Ikzelf preferreer Go.
JerX @MAX34009 oktober 2013 09:21
Het neemt hier ook toe, maar eerder door het gebruik van meerdere OSen (XP/W7/W8, Server 2003/2008/2012), Office 2010 en Lync 2010/2013. Gelukkig is het niet mijn job, maar mijn collega heeft het wel druk op dinsdag...
xFeverr 9 oktober 2013 08:28
Update 1 van 10, schakel uw pc niet uit...

achja, ben wel blij dat ze er wat aan doen, zelfs nog voor ie8... Dat zie je niet veel bij software fabrikanten dat eigenlijk alle versies van een bepaald programma LTS is
Yggdrasil 9 oktober 2013 09:59
Het security bulletin is MS13-080: Cumulative Security Update for Internet Explorer: October 8, 2013

De bijbehorende patch is onder nummer KB2879017 te vinden in je updates-lijst. Deze was automatisch geselecteerd in mijn WSUS installatie.

[Reactie gewijzigd door Yggdrasil op 26 juli 2024 14:29]

Dragunov @Yggdrasil9 oktober 2013 12:27
En onder Windows 8.1 moet je deze zelf installeren, wordt niet weergegeven in Windows Update
batjes
@Dragunov9 oktober 2013 12:54
of verder lezen
If you are running Internet Explorer 11 in Windows 8.1 and Windows Server 2012 R2, you should install security update 2884101
shrvs 9 oktober 2013 10:02
Na deze lading updates - waaronder ook weer de nodige updates op .net - krijg ik op een paar systemen de melding dat KB951847 (Microsoft .NET 3.5 SP1 + family update) van oktober 2009 nog geïnstalleerd moet worden. Kennelijk is de detectie voor deze update door de afgelopen 'patch Tueseday' om zeep geholpen :?
Een korte zoektocht op internet wijst uit dat meer personen hier last van te hebben. Zie de website van Microsoft.
xleeuwx @eddieveenstra9 oktober 2013 09:49
heb je dan een 25 GB schijf ?? tevens hoef je niet de update's te installeren het word alleen aangeraden om het te doen :).
Verwijderd @xleeuwx9 oktober 2013 10:50
Hoe meer programmatuur er is, hoe meer kans op fouten.

En omgekeerd natuurlijk ook, kijk alleen maar naar het succes van de VMware baremetals die op een heel klein beetje software draaien.

Daarnaast is het zonde dat zo veel ruimte eigenlijk onnodig gebruikt wordt.
Waarom kan het niet 'lean & mean'?
batjes
@Verwijderd9 oktober 2013 12:53
Als jij wilt dat Win7/8 onder de 15gb ruimte blijft gebruiken. Dan kan dat.
Maar ga dan niet huilen als je systeem zo instabiel als de nete word.

En als je wilt weten waarom Windows 7 en 8 zo veel ruimte gebruiken. Heeft voornamelijk te maken met recovery mogelijkheden en snelheid van het OS.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq