Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 168 reacties

Het Amerikaanse Departement van Binnenlandse Veiligheid raadt Amerikanen maandag af om nog langer Internet Explorer te gebruiken. Aanleiding is een kritiek beveiligingslek dat afgelopen weekend in IE-versie 6 tot en met 11 werd gevonden. Vooral XP-gebruikers zijn daardoor kwetsbaar.

Het lek stelt hackers in staat om door middel van een kwetsbaarheid in Flash geheugenobjecten in de browser te manipuleren. Zij kunnen daarmee dep en aslr omzeilen, zo ontdekte beveiligingsbedrijf FireEye. Hoewel het lek in een groot aantal IE-versies is te vinden, zouden aanvallers de pijlen vooral richten op IE9, IE10 en IE11.

Hackers zouden de kwetsbaarheid inmiddels misbruiken. Een groep zou onder de naam Operation Clandestine Fox een campagne zijn gestart om bedrijven aan te vallen, zo schrijft Reuters. Met name Amerikaanse bedrijven die actief zijn in defensie en de financiële sector zouden daarbij het doelwit zijn.

Microsoft bevestigt de kwetsbaarheid in Internet Explorer en zegt te werken aan een oplossing. Die zal alleen niet beschikbaar komen voor het leeuwendeel van de Windows XP-gebruikers. Microsoft eindigde namelijk begin deze maand de ondersteuning voor het besturingssysteem uit 2001. Alleen betalende klanten, zoals de overheid, krijgen nog ondersteuning.

XP-gebruikers die geen updates ontvangen kunnen gebruikmaken van de gratis Enhanced Mitigation Experience Toolkit van Microsoft, waarmee de beveiliging moet worden aangescherpt. Daarnaast adviseren behalve de Amerikaanse overheid ook beveiligingsbedrijven als Symantec en F-Secure om als aanvullende maatregel een andere browser te gebruiken.

Alleen al in Nederland zijn er nog een miljoen Windows XP-systemen; zelfs bij de overheid worden nog tienduizenden pc's met de verouderde software gebruikt. In de afgelopen maanden probeerde Microsoft gebruikers op diverse manieren bewust te maken van de noodzaak over te stappen, onder andere via pop-ups en Windows XP-servicepunten bij elektronicawinkels. Ook het ministerie van Veiligheid en Justitie waarschuwde gebruikers over te stappen.

Moderatie-faq Wijzig weergave

Reacties (168)

Simpele oplossing voor XP gebruikers: Flash uitschakelen. Is tegenwoordig ook minder ernstig dan 5 jaar geleden en voor de meeste pc's waar het schade kan doen is Flash toch niet nodig.
Flash uitzetten is inderdaad een uitstekende oplossing. Via 'tools -> Manage Add-ons' kan dat vrij snel voor die paar websites die het echt nog nodig hebben. Maar YouTube zelf werkt al uistekend met HTML5 bijvoorbeeld.

En wie dat nog te moeilijk vindt kan via ActiveX filtering het nog sneller doen (tools ->ActiveX filtering on/off)

Tweaker rapporteerde vorig jaar dat 95% van alle malware via het bekende trio Flash/AcrobatReader/Java kwam. Zet je die 3 plugins (enkel de plugins is genoeg) uit, ben je dus al meteen het overweldigende meerderheid van de malware meteen kwijt. En tegenwoordig steeds vaker zonder nauwlijks verlies aan funtionaliteit.
Dat is ook het eerste waar ik aan dacht.

Flash heeft in het verleden teveel opties gekregen/toegeëigend. Iedereen viel over Apple heen toen ze het blokkeerde, maar het is en blijft helaas een gedrocht.
Hoezo wordt Microsoft/Explorer verantwoordelijk gehouden i.p.v. Adobe/Flash? Ik bedoel: wat maakt het, technisch gezien, zo dat het lek zich in Explorer bevindt en niet in Flash? Dat zijn twee heel verschillende producten van heel verschillende bedrijven.

[Reactie gewijzigd door CoreIT op 28 april 2014 21:11]

wat maakt het, technisch gezien, zo dat het lek zich in Explorer bevindt en niet in Flash

Malware heeft een aantal stappen nodig om te installeren. In dit geval zijn twee van die stappen respectievelijke en lek in Flash én een lek in IE. Beide zijn nodig.

Oplossing is dan bijvoorbeeld geen IE te gebruiken, maar een even goede oplossing is geen Flash te gebruiken. Die laatste is meestal makkelijker.
Techneuten of sysadmins kunnen ook via een simpel commando het specifieke kwetsbare deel van IE (VGX.dll) uitschakelen. Aangezien het een onderdeel is dat enkel gebruikt wordt voor een ouderwets protocol (VML) merken de meeste gebruikers dat meestal niet eens.

Maar ook verder in de keten is de malware nog te stoppen. EMET installeren of enhanced protected mode (IE10 en hoger) aanzetten zijn twee andere opties.
Je kan hier wel blijven roepen dat mensen zeker en vast IE moeten gebruiken en allerlei omwegen moeten volgen omdat IE zo fantastisch is. Neemt niet weg dat de makkelijkste oplossing nog altijd is om andere browsers te installeren. Wat voor een brak product Flash ook moge zijn, er zijn spijtig genoeg veel websites die niet zonder kunnen. Het is belachelijk om voor te stellen dat mensen maar moeten inleveren op hun surfervaring om toch maar met IE te blijven werken. Dan is het makkelijk op op een moment als dit te switchen naar een andere browser zolang MS/Adobe dit niet in orde gebracht hebben. En als morgen Firefox een lek heeft, kan je naar Chrome, of terug naar IE.
Neemt niet weg dat de makkelijkste oplossing nog altijd is om andere browsers te installeren

Ga jij dan morgen als er een 0-day Chome lek is ook meteen Firefox installeren?
En wat als morgen Chrome en Firefox tegelijk een 0-day hebben :)

Neemt niet weg dat de makkelijkste oplossing nog altijd is om andere browsers te installeren

En dan is makkelijker dan een paar kliktjes in Tools -> Settings? :?


Gebruik gewoon de browser die jij fijn vindt. Veel van de adviezen die ik hier gaf, zijn overigens universeel handig. Zaken als enhanced protected mode, flash uitzetten, EMET etc zijn dingen die je beschermen tegen de overweldigde meerderheid van malware.

Als je dan eens een nieuwsberichtje mist over een 0-day, of het eens een keer niet door Reuters voorpagina nieuws wordt (wat bij >99% van de 0-days is), ben je nog steeds veilig.
Ik heb Chrome, FF & IE geinstalleerd ja. Dus als er een probleem is met de ene, gebruik ik een andere.

Iets installeren kunnen de meeste mensen wel (Next, Next, Next, Finish). Van het settings menu hebben computeranalfabeten meestal schrik.
Tja, maar laat nou net met dat zomaar next, next, next alle andere bloatware, malware en eventueel ook beveiligingslekken meekomen.
Dat staat in de eerste link in het artikel.
Het komt in het artikel niet zo goed uit de verf, maar wat er bedoelt wordt is dat er met behulp van flash precies die omstandigheden gecreëerd worden waar IE dan verkeert op reageert. In dit geval gaat IE niet goed om met de geheugenobjecten waardoor het flash programma zich toegang tot geheugen kan verschaffen waar deze niet bij zou moeten kunnen komen.

In principe kan het net zo goed met andere plugins.
In principe kan het net zo goed met andere plugins.

Nee, want niet elke plugin kan even makkelijk die omstandigheden maken.

De reden waarom Java, Flash en Acrobat Reader zo vaak gebruikt worden voor malware is omdat die 3 in feite een eigen 'platform in een platform' zijn met eigen script of andere executie omgevingen.
Ach ja, ik zie het nu. Niet dat ik zulke exploits goedkeur, maar het blijft toch indrukwekkend om te zien hoe men er steeds toe komt.

[Reactie gewijzigd door CoreIT op 28 april 2014 22:14]

Waarom zou het aan Adobe liggen als het trucje niet werkt in Chrome/Firefox/Opera/... , maar wel in IE6-11 ?
Er al eens aan gedacht dat de Adobe Flash plugin in IE6-9 en Adobe Flash implementatie in IE10 en 11 een andere is dan in Chrome, Firefox en iedere andere browser? Waarom zou Adobe een fix voor die bug vrijgeven als het een probleem is in IE zelf?
Ik insinueerde helemaal niet dat het aan wie dan ook zou liggen; ik vroeg simpelweg enkel wat. En sowieso: aangezien het verschillende implementaties voor verschillende hosts en met verschillende APIs betreft zegt dat net helemaal niets over waar de precieze zwakheden zich zouden kunnen bevinden. Hoe dan ook: het is me inmiddels duidelijk, zie ook het commentaar van locke960 hieronder.

[Reactie gewijzigd door CoreIT op 28 april 2014 22:51]

Met EMET ingeschakelt is de kwetsbaarheid volledig onbruikbaar. De aanval die tot nu toe bekend zijn, zijn trouwens gerichten aanvallen en als gewone gebruiker heb je voor nu niet veel te vrezen, een FixIt zal weldra uitkomen, en IE 7, 8, 9.0.27, 10.0.16 en 11.0.8 sluiten dit lek definitief af op 13 mei.

Ook weer geweldig hoe IE wordt aangewezen voor een bug in Flash. Flash uitschakelen of EMET inschakelen (wat in Windows Server al default aan staat en sommige Windows 8.1 installatie hebben dat ook standaard aan staan) maakt de kwetsbaarheid onbruikbaar. Ook staat er een IE update klaar in Windows Update, zoals jobvr al zegt, voor Flash, maakt de exploit mogelijk ook al onbruikbaar.

[Reactie gewijzigd door Loller1 op 28 april 2014 21:35]

Ik heb al een 9,9 MB update voor flash met IE klaar staan....
Inderdaad, maar ik betwijfel of deze update al iets met dit lek te maken heeft, zou wel erg snel zijn. Dan zou er amper getest zijn geweest en dat is nogal risicovol.
Het is ook geen update die het probleem verhelpt. Die moet er uiteindelijk komen, maar voorlopig is er alleen nog maar die workaround als je per se IE wil blijven gebruiken. Ik ben vergeten waar het gezegd werd of waar ik het gelezen heb (het was dan ook zo vaak in het nieuws) maar de komende dagen zou je nog geen update hoeven te verwachten die het probleem oplost.
Daarnet update geïnstalleerd, kwam vlot via Windows Update binnen.

Update for vulnerabilities in Adobe Flash Player in Internet Explorer: April 28, 2014

http://support.microsoft.com/kb/2961887

[Reactie gewijzigd door juFo op 28 april 2014 22:38]

Wat ik niet snap zijn teksten als: "ik heb ....updates klaarstaan" of "daarnet update geïnstalleerd" ???
Doe je dat zelf dan?

Misschien is het handig om updates automatisch te laten installeren?
Bij mij stond hij gewoon in de lijst van geïnstalleerde updates, heb ik niets voor hoeven doen (ook niet gemerkt)......of toch wel, ik heb ooit automatische updates toegestaan natuurlijk.

Wel zo handig en wel zo veilig.

[Reactie gewijzigd door Teijgetje op 29 april 2014 01:05]

Omdat Windows update de vervelende gewoonte heeft automatisch te rebooten bepaal ik liever zelf wanneer updates geïnstalleerd worden

Hoe is dit nou weer een ongewenste bijdrage? Ik geef alleen antwoord op de vraag?

Update ter verduidelijking: Ik wil nog wel eens mijn computer aan laten staan met documenten en websites open en dan wil ik niet dat Windows vanzelf reboot. Verder ben ik best wel fan van Windows dus het was geen troll ofzo.

[Reactie gewijzigd door Streup op 29 april 2014 09:08]

Je zit er iets naast.
Windows geeft je de keuze als het herstart moet worden.
Automatisch herstarten doet het niet.
Je krijgt een melding of je nu direct wil herstarten of later.
Je kan de herstart maximaal drie dagen uitstellen, waarna , na meldingen, Windows zichzelf herstart.
Wel herstart Windows als de pc aan staat en hele lange tijd idle is.
Ik denk met de achterliggende gedachte dat je geen ongesaved werk open laat staan en dan naar huis gaat.

Saven moet een automatisme zijn, er is niets frustrerender dan een halve dag of langer werk kwijt te raken omdat je te nonchalant (of dom) was om even op dat save-knopje te klikken.
Beter te vaak als te weinig, je weet nooit wat er gebeurd.

En ik meen dat na een herstart zelfs de browser weer geopend wordt met alle open tabbladen terug.
Maar dat is juist mijn punt. Ik zorg er natuurlijk wel voor dat ik regelmatig save, maar Ik wil gewoon niet dat Windows uit zichzelf mijn computer reboot. Als ik mijn computer op idle laat staan komt er ook geen malware binnen (mag ik toch hopen :D). Hoe lang het ook duurt, ik wil gewoon als ik mijn computer aan laat staan dat hij nog in dezelfde situatie is als ik hem achtergelaten heb. Bv het uploaden van tig GB foto's kan nog weleens wat dagen duren bv.

[Reactie gewijzigd door Streup op 29 april 2014 22:56]

idle is helemaal niets doen, als je upload is hij bezig en onderneemt het geen actie, ofwel jouwe dan : niet opnieuw opstarten.
Ik had het eigenlijk over een beveiligingsupdate van Internet Explorer. Ondanks dat men vermoedt dat het lek via flash gebruikt wordt, zit het lek zelf wel in IE. Althans, dat is wat zowel microsoft als degenen die het lek ontdekten, beweren. O.a. zie hier.
Ja, maar als de overheid IE gaat afraden, moet je snel reageren om niet heel veel marktaandeel te verliezen.. Ook past deze update niet in hun update cyclus, dus toeval lijkt me sterk...
Ja, maar als de overheid IE gaat afraden

Homeland security geeft wel vaker dit soort waarschuwingen af, en niet alleen voor IE. Alleen Reuters pakte het op en toen opeens was het wereldnieuws omdat alle nieuwsbedrijven in de hele wereld de Reuters perberichten in hun inbox krijgen of zelfs via een automatische newsfeeds. Zeg maar zoals elk ANP bericht ook binnen een uur in alle krantenwebsites staat.

De reden voor het Homeland Security was ook niet zozeer het lek zelf, maar dat het actief gebruikt wordt om Amerikaanse doelen aan te vallen door profesionele instanties (niet onwaarschijnlijk in dienst van vreemde mogendheden).
Ik heb zojuist een update gekregen van flash dus het lijkt erop dat Adobe het lek zelf heeft gedicht.

http://get.adobe.com/nl/flashplayer/

Natuurlijk wel het vinkje van McAfee Security Scan Plus uitvinken.

De version log:

April 28th, 2014
In today's release we are updating Flash Player with an important security update. We recommend users upgrade to this release.

[Reactie gewijzigd door gangsta_playa op 28 april 2014 21:46]

Als ze nou eens die optionele aanbieding om macafee steeds te downloaden eens uit zette,. zou ik er een stuk positiever over zijn.
Jah, niets is gratis natuurlijk maar het is idd wel vervelend. Maar bij Adobe is het nog duidelijk aangegeven

[Reactie gewijzigd door Fredi op 29 april 2014 03:02]

----Never mind... Het is nooit goed----

[Reactie gewijzigd door SilentDecode op 29 april 2014 00:09]

Ik raad standaard IE af bij iedereen

Want?

En nee, X (= vul in jouw favouriete browser) is net zo veilig/onveilig.

Sterker nog, afhankelijk van je favourite veiligheids feature is IE zelfs de meeste veilige browser! Op gebied van SSL certificaat controle is IE bijvoorbeeld de meest veilige van de grote 4 en op gebied van process-afscherming is sinds IE10 men daar ook het meest veilig. Op andere gebieden wint weer een andere browser.

Mensen die denken dat overschakelen naar een andere browser je inherent veiliger maakt, vergissen zich, Die andere browsers krijgen ook maandelijks soortgelijke lekken voor hun kiezen, en moeten permanent geupdate worden.
Vind het altijd wel grappig dit soort berichten. Neem ze altijd maar met een korrel zout. Waarom zou je de consument zo erg op bang maken terwijl het echt heel simpel is op te lossen, namelijk het updaten van je Windows machine.

Het is allang mosterd na de maaltijd dit bericht en ik snap niet waarom hier geen update geplaatst is. Daarnaast moeten deze security medewerkers eens achter hun oren krabben, want niet zo gek lang gelezen kwam op een pwn2own al naar buiten dat Internet explorer 11 met EMET4 de veiligste browser is. Alle andere browsers waren namelijk hackbaar. Gek genoeg kwam dat niet op tweakers.net voorbij :)

Misschien zet dit wat meer mensen aan het denken dat Microsoft tegenwoordig hun browser wel op orde heeft qua security vlakte en op standaarden.

Wil hierbij niet zeggen dat Internet Explorer helemaal heilig is, maar wel dat andere browsers ook exploits bevatten waar criminelen gretig gebruik van maken. Vooral de personen die nu heel bang naar een andere browser gaan en daarmee denken dat ze veilig zijn.

[Reactie gewijzigd door vali op 29 april 2014 01:07]

"Neem ze altijd maar met een korrel zout. Waarom zou je de consument zo erg op bang maken terwijl het echt heel simpel is op te lossen, namelijk het updaten van je Windows machine."

Nou, 1 puntje van kritiek is alvast dat je je OS moet updaten om een lek in je web-browse applicatie te verhelpen.
Het gevaarlijkste aan dit soort lekken in IE is dat IE ernstig met het OS is verweven. Hierdoor heeft elk potentieel securityprobleem standaard al meer kans op impact op het gehele OS.
De intergratie met vanalles en nogwat (remember VB in IE? ActiveX?) is altijd de zwakste schakel geweest in IE.
Fout, je update je OS niet, maar het stukje Adobe flash gedeelte van Internet Explorer.

Daarnaast moet je niet te ver naar het verleden kijken met security problemen. Tegenwoordig is de browser net zo veilig(en op meerdere vlakken veiliger) dan vele andere.

Als je tevens pwn2own had gevolgd had je kunnen zien dat de hackers admin rechten kregen na het succesvol hacken van chrome en firefox.
Wel zeer naïef, zeker als je weet dat Chrome in zijn leven al meer kwetsbaarheden op zijn naam heeft staan dan Internet Explorer, en IE is 13 jaar ouder dan Chrome!

http://www.cvedetails.com...hrome.html?vendor_id=1224 (935 in Chrome)
http://www.cvedetails.com...xplorer.html?vendor_id=26 (270 in IE)
Zijn statestieken van een website, als je op andere website's gaat kijken zie je het tegendeel (waarschijnlijk). Daarbij meegenomen dat Microsoft niet bepaald open is over het aantal bugs dat ze al geplet hebben en Chrome wel.

Dus de vlieger gaat niet helemaal op. Vast staat wel dat er waarschijnlijk meer Chrome bugs bekend zijn als in IE maar dit betekend zeker niet dat IE veiliger of minder kwetsbaarheden op zijn naam heeft.

Zou betekenen dat firefox ook onveiliger is:
http://www.cvedetails.com...irefox.html?vendor_id=452 (1053 in FF)

En dan zullen we dus massaal aan Pale moon moeten:
http://www.cvedetails.com...Moon.html?vendor_id=12592 (1 in PM)

[Reactie gewijzigd door xleeuwx op 28 april 2014 22:09]

----Never mind.... Het is nooit goed-----

[Reactie gewijzigd door SilentDecode op 29 april 2014 00:09]

Adblock is een van de programmas die juist slecht zijn voor het internet hierdoor verdienen websites als tweakers steeds minder wat financiele problemen veroorzaakt..... en ookal heb je je favo sites in de whitelist krijgen de non favos alsnog geen inkomsten ookal gebruik je hun site

[Reactie gewijzigd door fantafriday op 28 april 2014 21:53]

Een probleem is dat veel reclames op websites van externe bronnen afkomstig zijn en dat die met enige regelmaat malware serveren, zolang websites die dergelijke adnetwerken gebruiken geen verantwoordelijkheid nemen voor de gevolgen daarvan moeten ze niet zeuren.
Ik gebruik geen adblock, ik block alleen trackers, flash (en java) en heb op mn werkpc ook nog noscript draaien (om externe scripts te beperken), toch zie ik geen reclames terwijl ik die niet specifiek blokkeer: misschien weer tijd voor websites om zelf hun banners te regelen? Ik heb geen probleem met reclames maar wel met de enorm a-sociale wijze waarop deze met mijn privacy omgaan.

[Reactie gewijzigd door blouweKip op 28 april 2014 23:38]

Gebruik zelf gewoon een aantal goede virusscanners die dagelijks draaien ;) maar snap wel wat je bedoeld. Maar velen gebruiken adblockers voor youtube terwijl die ads gewoo "goed" zijn en youtubers moeten ook ergens van leven
Gebruik zelf gewoon een aantal goede virusscanners die dagelijks draaien ;)
Belachelijk eigenlijk: Dagelijks een aantal goede virusscanners draaien. Dat is toch van den zotte, eigenlijk. Is dit nu waar we na 30 jaar PC's beland zijn? |:(
Adblock is een van de programmas die juist slecht zijn voor het internet hierdoor verdienen websites als tweakers steeds minder wat financiele problemen veroorzaakt.....
Schrödingers kat ...

Waarom zijn mensen massaal Adblock gaan gebruiken? Omdat het internet overspoeld was met overdreven & indringende advertentie. "Punch the monkey", dom ding zit nog altijd in men kop.

Omdat mensen het beu werden, heeft men de irriterende advertenties verminderd. Maar is men intussen ook heel privacy gevoel beginnen te worden. Cookie tracking advertenties ... Mensen nemen maatregelen daartegen. Dan gaan ze maar proberen te anti tracking maatregelen te omzeilen.

Stel dat we allemaal geen adblock meer gebruiken. Hoelang denk je het zal duren, eer men weeral bepaalde irriterende ( maar opvallende ) advertenties gaan pushen? En wat men intussen de alom gekende privacy invasie? Gaat dat dan ook ineens weg?

En sorry als ik het zeg, als Tweakers in financiële problemen komt, dan zal dit eerder liggen aan de bedrijf structuur van Tweakers dan van de adblock "klanten". Wat men intussen vergeet is, dat servers in de afgelopen jaren, exponentieel krachtiger geworden zijn, voor een pak goedkopere huur kosten / data verbindingskosten, dan pak 10 jaar geleden.

Het probleem bij heel wat firma's, is dat men van hobby / kleine project site's naar volledige firma's gegaan zijn, etc, met enorme personeel kosten, bureau kosten enz.

En mag ik perfect eerlijk zijn? Buiten de layout, en zaken zoals de prijs vergelijking enz is er eigenlijk niet zoveel veranderd op tweakers, dat een ganse bedrijf structuur erachter rechtvaardigt.

Voor up to date nieuws, moeten we tegenwoordig niet meer bij tweakers zijn, want vaak loopt men soms dagen, of zelf weken! achter. Maar dit is een beetje off-topic, maar het geeft even aan, dat een site zoals tweakers, wat als een "hobby" site ontstaan is, eigenlijk te groot voor zijn eigen goed geworden is.

Als men wilt klagen over gebruikers dat adblock gebruiken, zou men eerder eens de pijlen moeten richten naar de advertentie bedrijven, dat zo een rommel advertenties doorgaven, dat mensen op x, y, z site de boel kwijt wilde, en voila. Adblock maakt geen verschil tussen x, y, z, of a, b, c site. Iedereen verliest. Moest er een beetje meer zelf regulatie geweest zijn, en als mensen geïrriteerd waren door advertentie's, en site eigenaars traden op tegen de advertentie bedrijven ( ze luisterde zeker niet naar de gebruikers van de websites ), dan zou er geen nood geweest zijn voor adblock.

Wilt men advertenties ... doe zoals Google... Hou ze simpel, tot tekst advertenties, en voila. Maar zodra men begint met blinkende, flashende, interactieve advertenties dat constant in je gvd zicht staan, en dat je afleiden van de content, ... Maar ja ... dat past niet in advertentie bedrijven hun profiel he. Als het mensen niet afleid dan doet een advertentie zijn job niet. En dan spreken we nog niet, over het feit dat veel websites zich niet eens kunnen beperken tot 1 advertentie, nee, ze moeten boven een, links of recht 2 of 3 onder elkaar, en liefste nog een paar van de site zelf en voila ...

Ja, laten we nog een beetje meer spreken over hoe slecht adblock is voor het internet, maar laten we dan volop ook "vergeten" waarom zoveel mensen adblock installeren in de eerste plaats.
Het probleem was niet alleen irritante reclames, maar ook slecht geschreven reclame banners die je quad core omtoverden naar een slak. Of gehoor/hart schade omdat er opeens keihard geluid uit je headset komt door een reclame banner. Of virus/trojan gevaar omdat website eigenaren niet verantwoordelijk zijn voor de flash banners waarmee ze je bombarderen...
Adblock heeft, vermoedelijk na gesprekken met adverteerders, standaard de optie om non-intruse advertenties toe te staan aan staan.
Meestal laat ik die staan. Maar die animated gifs en dergelijke? Uit!
Daar schaar ik Google (als niet Google gebruiker) ook onder.
Gelukkig is er tegenwoordig standaard filtering (in IE11) waardoor adblock eigenlijk niet meer nodig is.
Daar heb je wel gelijk in.

Ik gebruik de addblocker alleen op sites waar de reclame heel erg opdringerig is of zo veel aanwezig dat ik door de reclame niet meer normaal in staat ben om hetgeen waarvoor ik die site bezoek te kunnen lezen/bekijken....
Ik gebruik een adblocker omdat ik anders al meerdere keren malware te slikken had gekregen via vervuilde ads.

Achteraf zie je dan de sites (zoals diii.net indertijd) een knieval doen en zich duizend maal verontschuldigen voor het feit dat hun advertentienetwerk geen kwaliteitscontrole deed. Ja, ja, het zal allemaal wel.

De adblocker gaat uit wanneer een site écht te vertrouwen is. Spijtig voor de andere sites, maar als zij niet kunnen instaan voor de veiligheid van hun eigen ads dan wil ik die ads niet.
Adblocker is er ook gewoon voor IE, je hebt het er niet eens echt voor nodig, TPL is handiger, ingebouwd en vertraagt je browser niet daar het niet apart moet worden ingeladen. Daarbij, zie ik niet wat dat te maken heeft met mijn reactie op de jouwe.
Open ILO hier gewoon met Opera 12 zonder problemen, alleen HP iLo zeurt even tijdens het inloggen met een bericht dat de browser niet ondersteunt wordt, maar alles werkt prima, en de console/virtual media zijn in Java en werken dus cross-browser net zo goed.
Gebruik al jaren zo Opera om de combinatie Java + Internet Explorer te vermijden, aangezien die zo vaak 'slecht' in het nieuws komen.

Overigens weet ik ook wel dat Opera niet 100% veilig is, het zal net zo goed lekken hebben, maar de combo van IE, Java en Flash zijn de afgelopen jaren al zo vaak, misbruikt...
Niet dat ik nu een grote fan ben van IE, maar in de nasleep van deze exploit is er een nieuwe die op dit moment firefox op windows treft:

http://arstechnica.com/se...threatens-os-x-linux-too/

De fout zit natuurlijk ook in de linux en osx versie van flash maar het is nog niet duidelijk of deze daar ook gexploit kan worden.
Interesant is ook, dat als je verder leest de aanval gericht is op heel specifieke doelen.

Zoals ik al opmerkte is het vooral nieuws geworden omdat Reuters het rapporteerde. Helaas snapten de journalisten van Reuters het zelf niet, en misten waarom Homeland Security het bericht uitbracht.

Immers de kwestie heir was niet zozeer de ernst van het lek, maar dat er aanwijzingen waren dat het actief misbruikt werd om semi-overheidsinstellingen en personen aan te vallen.

Ik ben eigenlijk wel een beetje geschrokken van de reacties van onze politie en veiligheidscoordinators. Dat een niet-tech journalist het niet snapt, is gebruikelijk en het is een sensatiebericht. Dat is leuk. Maar ik had de illustie dat professionele organisaties experts in dienst hadden die wél eerst even de details uitzochten.

Goed, die organsiaties zijn dus ook ernstig van hun voetstuk gevallen ... :(
Ben ik nu de enige die het opvallend vind dat dit net uit komt nadat XP support is beëindigt?
Had ik ook al gedacht. Misschien is het wel een reclame stunt van Microsoft om zo meer mensen van hun oude Windows XP af te helpen :-)
Ik vrees dat IE nu voornamelijk meer tegen een serieuze drop in marktaandeel zal aankijken, dan dat het hun ook maar iets zou opleveren. En zo groot was het verschil met firefox al niet meer...
>facepalm<

Nadat MS aankondigt dat beveiligingslekken niet langer gedicht worden, begint men beveiligingslekken te misbruiken! Wie had dat nu gedacht.
Het was maar aftellen he. Elke maand wordt er wel iets gepatcht... het is 3 weken ondertussen, dus...
En sowieso is dit eerder een IE bug dan een XP bug
Ik vind het niet echt opvallend. Er gingen al geluiden dat lekken gevonden door hackers mogelijk opgespaard werden tot dit moment, zodat Microsoft deze niet meer kon patchen voor de einddatum.

Alhoewel ik het niet kan aantonen, is er een goede kans dat er momenteel diverse lekken zijn die niet algemeen bekend zijn en actief misbruikt worden. Daarom is iedere XP computer die aan het internet hangt per definitie onveilig wat mij betreft.
Of heeft MS deze op de kast laten liggen?
Mensen die anno 2014 nog XP en IE8 gebruiken hebben sowieso geen recht van spreken meer als het over beveiliging gaat. Dan vraag je er zelf om wat mij betreft.
IE11 is net zo kwetsbaar, dus die opmerking is wat offtopic? Vooral ook omdat het ook speelt op Windows 8.1. Alle OSen, en vanaf IE 6.
Ik heb vanochtend al mensen gewaarschuwd om in ieder geval even over te gaan op PM of FF.
Ik heb vanochtend al mensen gewaarschuwd om in ieder geval even over te gaan op PM of FF.
Een compleet nodeloze waarschuwing, Firefox krijgt heeft net zo goed dit soort lekken, en als je voor ieder lek gaat switchen van browser...
Dus omdat browser A een grote veiligheids issue heeft moeten we browser B, C en D ook maar niet gebruiken want misschien heeft die ook wel een issue? Hele aparte redenering.
Nu, het probleem is dat veel mensen denken dat Internet Explorer inherent onveiliger is. Veel adviezen suggereren al dan niet bedoeld, dat over stappen zorgt dat je 'nooit' meer last van dit soort zaken hebt.

Beter is even rustig kijken wat er precies aan de hand is. Dan blijkt dat dit lek helemaal niet zo bijzonder is. Niet anders dan de soort lekken die aan de lopende band (in zowel IE als concurerende producten) aangetroffen worden.

Verschil is dat er nu aanwijzingen zijn dat er semi-overheids instellingen van landen nu actief bezig zijn Amerikaanse doelen aan te vallen. Vandaar deze waarschuwing.

Maar de aanval is extreem makkelijk te verhelpen:
1) flash uitzetten gebruiken (Tools -> Manage add-ons)
2) flash in 'ask mode' zetten (Tools -> ActiveX filtering)
3) in IE10/11 enhanced protected mode aanzetten (Tools -> Settings -> Advanced)
4) EMET installeren met default instellingen
5) The VML plugin deregistreren (link naar technet geeft aan hoe)

Eén van deze maatregelen is al genoeg, laat staan dat er meteen andere browser geinstalleerd moeten worden of andere paniek-acties.

Anders mag je morgen bij het eerste de beste Chrome lek weer in blinde paniek Firefiox gaan installeren. Etc.
Nuttige informatie maar die 5 stappen noem jij eenvoudig? Voor de mensen hier wellicht maar welke huis, tuin en keukengebruiker gaat dat nu utivoeren? Dat ga ik als IT-er niet eens doen (als ik al IE zou gebruiken).

Er wordt ook helemaal nergens gezegd dat je permanent van browser moet switchen hoewel veel reacties die suggestie wekken. Het gaat om tijdelijk switchen totdat Microsoft het lek heeft gepatched, daarna kun je gewoon weer terug en dat zal binnen een paar dagen zijn.

Er is dus helemaal niks mis mee om meerdere browsers geinstalleerd te hebben staan, voor mij part download je een portable versie als je bang bent voor vervuiling van je systeem puur voor dit soort gevallen.

Edit: Ik las het verkeerd je zegt dat één van die maatregelen al voldoende was en dat is inderdaad nog wel te doen alleen tast je dan wel de functionaliteit aan wat je bij een tijdelijke browser switch niet hebt.

[Reactie gewijzigd door mkools24 op 29 april 2014 00:34]

Nuttige informatie maar die 5 stappen noem jij eenvoudig

Voor de duidelijkheid: één van die 5 is inderdaad al genoeg.

Maar ook los hiervan zelf kan ik iedereen altijd aanraden Enhanced Protected mode aan te zetten. Meestal merk je er helemaal niets van. De reden waarom het standaard uit staat is omdat bepaalde oudere browser plugins het soms niet doen (immers de plugin draait dan in 64bit en op Windows 8.x ook nog in een sandbox), maar juist de niet-techneut die geen custom plugins installeert heeft daar niet zo heel veel last van.

(In IE touch-modus en op servers staat de optie standaard reeds aan.)

Daarnaast EMET installeren, is op zich niet moeilijker dan Chrome of Firefox installeren. Veel next -> next klikken :)

[Reactie gewijzigd door Armin op 29 april 2014 01:47]

Een niet it-er installeert gewoon de update die nu al beschikbaar is. Is het probleem opgelost :)
Hèhè, eindelijk een tweaker die fijntjes opmerkt dat het IE is in combinatie met Flash, en dat flash simpel uit te zetten is.

Volgens mij zijn er al jaren problemen met exploits specifiek gericht op Flash (maar ja, waar niet op :Y) ), ik krijg zelf het idee dat flash de kant van (client side) Java opgaat: steeds meer voor malware gebruikt, en steeds minder voor serieuze toepassingen. Tijd voor een nieuwe generatie, die weer veiliger en flexibeler is dan de vorige.

Edit: Credits voor de flash opmerking zijn volgens mij voor Martinspire :) en dat binnen 10 minuten van het bericht posten. Prima!

[Reactie gewijzigd door Nystran op 28 april 2014 23:07]

Het probleem is alleen dat IE populair blijft onder hackers om naar gaten te zoeken (nog steeds veel gebruikte browser) en dat Microsoft niet het beste track-record heeft qua snelheid om patches uit te brengen. Dan ben je beter af met FF of Chrome. Deze browsers updaten (ook) automatisch en wat soepeler dan Windows-updates...
Inderdaad gewoon flash disable, die is trouwens vaak de oorzaak van lekken.
Dan blijkt dat dit lek helemaal niet zo bijzonder is. Niet anders dan de soort lekken die aan de lopende band (in zowel IE als concurerende producten) aangetroffen worden.
Precies. De kreten dat XP niet gepatched gaat worden, terwijl er voor de overige besturingssystemen ook nog geen patches beschikbaar zijn doen mij dan ook vermoeden dat dit niet meer dan een vooropgezet plan van Microsoft is om mensen nog eens te wijzen op het feit dat XP niet meer gebruikt zou moeten worden en mensen maar over moeten stappen op 7 of 8.1...

(maar misschien lees ik te veel boeken en kijk ik te veel films over complotten ;) )
Elke keer wanneer een 0-day opduikt, installeer jij je computer opnieuw?
Ik hoop dat je daar een scriptje voor hebt...
Ja, bovendien tegenwoordig wordt het internet dagelijks door duizenden botnets afgestruind op exploits. Dan is de kans vrij groot dat je (misschien wel ongemerkt) besmet wordt. (Dit artikel gaat over een exploit waarbij de gebruiker zelf iets moet doen, toegegeven, maar dat verandert het principe niet).
Zoals het technet artikel aangaf, zal dit niet automatisch zo zijn. De gebruiker moet nog steeds ergens zelf op klikken.

Dus als je zo hyper doet, zal je waarschijnlijk ook nergens op klikken dat er maar een beetje verdacht uit ziet. Je zal dan waarschijnlijk ook een degelijk AV systeem hebben draaien en op z'n minst de bescherming van een firewall (via een routertje bv). Je zal dan dus "safe" zijn in zoverre dat dit nog mogelijk is.
alsof die andere browsers wel zo veilig zijn.........
En toch kom ik telkens weer terug naar IE nadat ik weer een tijdje Chrome heb moeten gebruiken.. Ik zeg niet dat IE de beste browser is, verre van, maar er is eigenlijk geen 1 browser die de beste is, allemaal hebben ze hun lekken, allemaal hebben ze hun problemen...
Het is gewoon heel triest dat er genoeg sites zijn die ook niet goed werken met IE, probleem is gewoon dat er nog steeds (ook niet met HTML5 welke nog steeds zelfs in ontwikkeling is en toch al gebruikt wordt) geen fatsoenlijke specificaties zijn, het meeste is toch nog steeds voor verschillende interpretaties vatbaar waardoor je problemen krijgt.. En genoeg snobs die denken dat alleen hun gebruikte browser de beste is..
Firefox gebruik ik al helemaal niet, telkens als ik het weer eens probeer blijkt het toch weer een trage bagger browser te zijn.. maargoed ieder zo zijn/haar voorkeur voor browser..
Gebruik Pale Moon, 't is Firefox maar dan sneller.
Laat je niet zo opnaaien door hem ;) Overschakelen naar een andere browser is in dit geval toch echt wel het beste. Op dit moment blijkt dat er vanalles scheelt met IE, dat er nog geen structurele oplossing voor is en dat het lek misbruikt wordt. Natuurlijk ben je dan beter af met een andere browser. En moest iemand zodanig gecharmeerd zijn door IE, dan moet die de waarschuwing maar negeren. Niet dat die kwetsbaarheid daardoor ineens verdwijnt, maarja...
Want er zijn geen zero-day gaten in Firefox en Chrome die we nog niet ontdekt hebben maar wel al misbruikt worden?
Het verschil is dat IE tonnen rotte legacy code meesleept uit de tijd van IE6 en IE7. Firefox heeft nooit een "slechte" versie gekend (alleen maar een groot aantal trage versies) dus speelt dit probleem een stuk minder.
Firefox heeft nooit een "slechte" versie gekend (alleen maar een groot aantal trage versies) dus speelt dit probleem een stuk minder.
Yeah right, Firefox heeft ook genoeg legacy troep in zich zitten hoor, net zoals alle andere browsers..
Ik heb vanochtend al mensen gewaarschuwd om in ieder geval even over te gaan op PM of FF.
Wat is PM?
Ik doe een gok op Pale Moon. Maar pin me er niet op vast.
Pale Moon. Gebruik ik ook.

Edit: pff Loller1's reactie stond er nog niet toen ik dit postte :z

[Reactie gewijzigd door AzzKickah op 28 april 2014 21:42]

Reactie van RoccoS is niet offtopic. Mensen die nu nog Windows XP draaien vragen er idd zelf om want die gaan geen patch krijgen van MS om dit lek in IE te dichten door de wegvallende ondersteuning van XP.

[Reactie gewijzigd door Fredi op 29 april 2014 02:25]

In dat geval ga je dus lekker over op FF of Chrome, omdat die wel updates krijgen voor lekken (ook op XP). Maar natuurlijk blijft het advies, ga zo snel mogelijk van XP af als je er mee op internet zit, want de nieuwere OS-en hebben ook gewoon een betere ingebouwde beveiliging. En dat gold al voor 8 april.
Tuurlijk zijn veel meer dan alleen WinXP gebruikers hiermee kwetsbaar, maar als je niet de moeite hebt genomen (of niet kan overgaan) om op een modern OS over te gaan waar wel ondersteuning en beveiligingsupdates voor uitkomen laat je zien dat beveiliging niet je prioriteit heeft.
Of dit nou om legacy ondersteuning gaat, onwetendheid of gemak, als je een groot beveiligingslek bewust laat zitten heb je weinig recht van spreken als het over beveiliging gaat :P

Wel jammer dat bijna alle IE versies zo kwetsbaar zijn en blijkbaar al misbruikt worden, de reputatie van IE gaat zo met een grote stap naar achteren, dat hoewel de laatste IE versies steeds minder 'slecht' worden, developers hoeven nu eindelijk niet meer 2x hun code te schrijven voor IE, en alle andere browsers...
Vooral daarom (en de zeer brakke CSS engine) ben ik al jaren geleden overgestapt, maar ik ken nog zat mensen die IE gebruiken voor hun dagelijkse computerwerk...
Dat is overigens bijzonder jammer voor MS. Want IE6 was wel bagger maar MS heeft hard aan de weg getimmerd om van IE terug een "serieus" product te maken. IE11 is gewoon goed: even snel als de andere browsers, compliant en gebruiksvriendelijk.

En dan gebeurt onvermijdelijk dit weer en wordt al hun werk van de voorbije jaren in een klap weggevaagd. Opnieuw gaat MS af als een gieter en het enige dat de mensheid zal onthouden is dat "je virussen krijgt van IE".

Ik denk dat de goede naam van MS op de browsermarkt nu voorgoed de prullenbak in mag. Het beste dat ze nu nog kunnen doen is de ontwikkeling van alternatieve browsers toelaten voor WP8 en W8RT, want anders kan dit alles nog een negatieve weerslag hebben op het imago van het OS zelf - als de default browser rommel is en je geen betere browser mag installeren dan is het OS ook prut natuurlijk.

Edit: bagger ipv gabber...

[Reactie gewijzigd door Enai op 29 april 2014 09:47]

Dus omdat ze een verouderd systeem fijner vinden hebben ze geen recht van spreken?
Nee niet daarom maar wel omdat microsoft zelf al geen security patches meer uitbrengt voor XP, daarom dus wel. Betekend dus dat je eigelijk (wil je veilig browsen) je naar vista of hoger zult moeten !
Waar lees ik dat het een XP probleem is? Het is een IE probleem welke gek genoeg in V6 t/m V11 voor komt. Waar zijn de waarscchuwingen om geen Win98, ME en/of 2000 meer te gebruiken? Dit is gewoon 1 grote marketing. Ja, natuurlijk ben je zonder patches kwetsbaar maar hoeveel gaten zijn er nog voor het stopzetten van de patches niet gedicht? Nu wordt er 1 gat gevonden en men moet stoppen met het gebruiken van IE, die andere 1000 gaten gaan we later nog wel horen met de reden om een vers Microsoft product aan te schaffen.
Het is straks voor XP een probleem als er een patch uitkomt die enkel nog toegepast kan worden op Vista en nieuwer. En die teller loopt alleen maar op. Over een jaar zit XP nog steeds met honderden kwetsbaarheden die dan al in de nieuwere Windows-versies gepatcht zijn.
Je mag blijven denken dat het allemaal een marketingtruc is maar daar wordt je computer met XP echt niet veiliger door. Wees geen dwarse ezel en stap over op iets recenters, al dan niet Windows.
Klopt zeker weten, maar vergeet niet dat er nog een hoop XP gebruikers zijn en deze geen updates meer krijgen. Dus is XP wel degelijk een probleem.
Dit is precies wat ik ook dacht, laatste tijd wordt er overal wel erg de nadruk op gelegd dat iedereen zo snel mogelijk van XP af moet! Kan geen toeval zijn dat hier ook een marketing dingetje van MS achter zit. Elk lek moet uitvergroot worden en benadrukt worden dat vooral XP gevaar loopt en gebruikers beter zo snel mogelijk updaten!
Laatste 5 jaar bedoel je. En nu word het helemaal niet meer geupdate, dus wordt men er nu echt op aangedrongen over te stappen.
Het is geen ie problem. Het grootste problem zit in flash.
Het was moodier geweest ALS de amerikaanse overhead Flash zou afraden
Vista of hoger?

Was de einddatum voor Vista support niet toevallig in april 2012?

Edit: my bad.. we zitten nu inderdaad tot 2017 in de extended support dus..

[Reactie gewijzigd door Trashed op 30 april 2014 00:00]

Maak daar maar april 2017 van
MS heeft niet echt een reden om Vista te laten vallen want de code is voor het overgrote deel hetzelfde als Win7.
Tja, als je prioriteit bij ervaring ligt (zeer begrijpelijk, en ook mee eens dat dat prioriteit moet hebben voor gebruikers) en niet bij beveiliging is het wel 'apart' om bij een lek ineens van alles te roepen over beveiliging.
Tuurlijk mag een XP gebruiker roepen dat hij overgaat op een andere browser, maar het komt al gauw een beetje 'hypocriet' over (no offense :P)
Maar ik vind dat voor de normale gebruiker de ervaring voorop moet staan, en dat bijv. Microsoft de beveiliging regelt, iets wat bij XP dus niet meer gedaan wordt bij de meesten.
Hoewel het lek dus zit in flash, is IE hiermee slecht omgegaan,.

Maar zullen we niet gewoon eens een keer van Flash afstappen?
Traag, crashed veel, hoog memory gebruik, lek als een mandje.

HTML5 kan veel meer toch?
Waarom constant doorborduren op die oude zooi...?

[Reactie gewijzigd door bbr op 28 april 2014 23:00]

Van flash afstappen is prima als dan alles is een keer goed native werkt. Bijvoorbeeld een webcam is native niet mogelijk met IE, ook niet met Safari trouwens. Kijk voor de effectjes en dergelijke heb je niet meer zo nodig maar video en audio nog wel want dat werkt nog niet even lekker overal. Over traag gesproken enzo, al eens eerder gezegd, het ligt vaak ook aan diegene die het maakt. 32bits plaatjes met transparantie over elkaar laten bewegen bijvoorbeeld, daar gaat je CPU/GPU wel van loeien. Vaak wordt het even snel in elkaar geflanst Niets tegen designers hoor maar deze groep kan het meestal niet zo effecient opzetten, is ook niet hun doel.Dan wordt het ontwikkeld op een puik systeem maar de bezoeker heeft niet zo'n puik systeem en ja, dan kan het traag worden.
Die haat richting IE, het is gewoon een lek in Adobe Flash waar IE vatbaar voor is, wederom dus een probleem is het al zo lekke Adobe Flash, in plaats van mensen waarschuwen geen IE te gebruiken zouden ze moeten waarschuwen om Adobe Flash niet te gebruiken, niet dat IE goed is, maar Adobe is nog lakser als Microsoft wat betreft lekken.
Er zijn nu eenmaal nog altijd veel sites die niet goed werken zonder Flash. En dat zijn vaak ook sites die vooral bezocht worden door mensen die denken dat IE gelijk is aan 'het internet'. Zo'n mensen kan je echt niet vragen om plugins uit te gaan schakelen omdat ze dat a) niet kunnen en b) ze hun favoriete sites niet meer kunnen bezoeken.
En diezelfde mensen moeten een alternatieve browser installeren?
Als je dat kan, kan je ook een plugin uitschakelen.
mensen die denken dat IE gelijk is aan 'het internet'.
Zo zijn er bij mij op het werk meerdere mensen die consequent om een 'internetkabel' vragen als ze een netwerkkabel nodig hebben ...
Zit het probleem niet meer in flash als in IE? aangezien het gaat om een lek in flashobjecten die bewerkingen uitvoeren

Dan zou het volledig verwijderen van flash (en gewoon geen flash gebruiken in IE) gewoon de oplossing zijn, en wordt dus de "verkeerde" schuldige aangewezen

[Reactie gewijzigd door mschol op 28 april 2014 22:14]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True