Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 245 reacties

Het Team High Tech Crime van de Nederlandse politie raadt gebruikers af om Microsofts browser Internet Explorer te gebruiken. Dat doet de politie-eenheid naar aanleiding van een recent ontdekt lek in de Adobe Flash Player in de browser.

Het Team High Tech Crime zegt via zijn Twitter-account dat gebruikers 'voorlopig geen IE moeten gebruiken' vanwege het lek. "Gebruik IE alleen als het niet anders kan en in uitgebreide beveiligde modus", aldus het politie-onderdeel. Volgens het THTC kunnen gebruikers tijdelijk beter 'veiliger alternatieven' gebruiken als Opera, Firefox, Safari of Chrome.

Het Nederlandse politie-onderdeel geeft daarmee hetzelfde advies af als de Amerikaanse overheid, die maandag hetzelfde zei. Microsoft bevestigt de kwetsbaarheid in Internet Explorer en zegt te werken aan een oplossing. Die zal alleen niet beschikbaar komen voor het leeuwendeel van de Windows XP-gebruikers. Microsoft eindigde namelijk begin deze maand de ondersteuning voor het besturingssysteem uit 2001. Alleen betalende klanten, zoals de overheid, krijgen nog ondersteuning.

Het lek stelt hackers in staat om door middel van een kwetsbaarheid in Flash geheugenobjecten in de browser te manipuleren. Zij kunnen daarmee beveiligingsmechanismes als dep en aslr omzeilen, zo ontdekte beveiligingsbedrijf FireEye. Hoewel het lek in een groot aantal IE-versies is te vinden, zouden aanvallers de pijlen vooral richten op IE9, IE10 en IE11.

Moderatie-faq Wijzig weergave

Reacties (245)

1 2 3 ... 6
Waarom wordt er in dit bericht niet duidelijk erin gezet hoe het opgelost kan worden?? Het ergste van alles vind ik dat er staat dat je een andere browser moet downloaden. Niet meer dan een maand geleden werd Firefox uitgeroepen tot de slechts beveiligde browser, het is mijn ogen echt dom om deze dan als advies neer te zetten. Safari wordt al tijden niet meer ondersteund op Windows, dus daarom vraag mij serieus af of we ze nog serieus moeten nemen :?

Daarnaast kan je dit probleem zeer gemakkelijk op te lossen en hiermee weet je 100% dat je veilig bent, naar een andere browser overstappen, weet je dit niet. Er is nog niet bewezen dat andere browsers niet vatbaar zijn (sinds elk stuk software exploits kan bevatten.)

Ik zie dit soort berichten eerder een bash naar een bepaald bedrijf toe (dit geval Microsoft), dan een informerend. Bedoel, als we op dit niveau gaan informeren kunnen ze net zo goed de consument afraden om oudere versies van android te kopen bij de aankoop van hun tablet of smartphone. Als er iets onveilig is, is dat het wel.

Als laatste ben ik van mening dat de politie hier helemaal niet mee bezig moet houden. Hun taak is het vangen van criminelen. Laat ze de taak eerder over aan de Nationaal Cyber Security Centrum (NCSC).

[Reactie gewijzigd door vali op 29 april 2014 12:31]

Mijn vorige post krijgt een Downmod, zeer verontwaardigd. Er is namelijk nog een zero-day aangetroffen in Flash, die de zero-day in IE kracht bijzet (Lees: nog lastiger maakt)

Zie hier over de flash exploit incl shellcode:
http://www.fireeye.com/bl...-in-targeted-attacks.html

En dan hebben we nog de Apache struts 2 zero-day, waarvoor een patch is uitgekomen die het lek niet eens dicht! hihihi :) zie CVE-2014-0050, 0094 (sorry linkje toegevoegd:
http://www.cvedetails.com...&cve_id=CVE-2014-0050 )

Waar gaat het heen met de mods van Tweakers. o.m.g.

[Reactie gewijzigd door Dr.Root op 29 april 2014 10:53]

Ik vind deze uitspraken wel erg gericht. Er zijn veel security lekken aan het licht gekomen in verschillende software pakketten (Java...) en daarbij is nooit afgeraden om Java te gebruiken door een overheidsinstantie.
In het artikel van FireEye staan zelfs al adviezen wat je kan doen als je IE blijft gebruiken. De exploit is namelijk te voorkomen.

1) Flash plugin uitzetten
2) Enhanced Protection Mode stopt de exploit in de test van FireEye
3) EMET 4.1 en 5.0 detecteren en stoppen de exploit volgens FireEye in hun tests

Volgens FireEye moet een van bovenstaande dus al voldoende zijn om de exploit onklaar te maken in je browser.

Verder in het artikel van gisteren had iemand anders ook nog de tips om Flash in "Ask" modus te zetten of middels een Technet handleiding de VML plugin uit te zetten.

Het is goed dat men waarschuwt, maar ze moeten dan ook oplossingen geven. Dit is paniek zaaien. Ik kreeg vanochtend al genoeg vragen ineens van mensen over hun browser. Echter noemt men in de adviezen dus niet of zelden dat je een exploit soms redelijk eenvoudig onklaar kan maken.
Ze geven toch een oplossing: een andere browser gebruiken.
Maar is Chrome/Firefox etc. ook vrij van zero-days? Ik weet het niet.

Je komt dan in een situatie dat je constant zodra er een exploit is van browser moet wisselen. Echter kan je meeste exploits voorkomen voordat er patches zijn. Bijvoorbeeld door een plugin uit te zetten.

Je kan gewoon IE blijven gebruiken als je dat wil of moet. Je moet alleen iets installeren of een vinkje zetten en herstarten. EMET is sowieso een aanrader om je systeem te beveiligen imho.
Maar is Chrome/Firefox etc. ook vrij van zero-days? Ik weet het niet.
Natuurlijk niet. Maar als ze aan het licht komen, worden ze sneller opgelost.

Internet Explorer in Windows blijft onderdeel van een besturingssysteem en wordt daarom (met uitzondering van handmatig te installeren hotfixes) meegenomen in de maandelijkse updates. En enkele weken met een onveilige browser werken is best wel lang.
Dat is een schijn oplossing, de bug zit nog steeds in IE, IE staat op de PC, IE wordt ook door X andere componenten gebruikt (en lang niet alleen van Microsoft zelf) waar je als gebruiker niet direct weet van hebt.

Dus je PC beveiligen met de in de security alert reeds aangegeven middelen en verder gewoon door werken, dit is inderdaad paniek zaaien. Het regent hier meldingen van gebruikers met de vraag of hun omgeving nog veilig is met IE, die dat wel degelijk reeds is.
Java is standaard uitgeschakeld in browsers een poosje terug om die reden.

En Internet Explorer wordt door veel mensen gebruikt, ook voor bankzaken etc. Dus het is wel netjes dat ze daar voor waarschuwen aangezien de gemiddelde internetgebruiker waarschijnlijk niet zo op de hoogte is als de gemiddelde Tweaker. :)

[Reactie gewijzigd door Naxiz op 29 april 2014 10:14]

Zo netjes vindt ik het niet. Nu wordt de detachering overspoeld met klanten die vandaag nog een alternatief voor IE willen op complexe omgevingen waar je niet ff een heel server park in install mode schiet om een browser te installeren.
Voortaan dus gewoon altijd vantevoren 2 of meer browsers installeren. Dan heb je dat hele probleem niet.
Dat, en bovendien is dat niet de schuld van de "whistleblowers" maar van de softwaremakers zelf.
Inderdaad. Browsers zijn een commodity en heel goedkoop om te installeren. Zoiets moet je dus redundant uitvoeren.
2 browsers installeren betekent:
2 browsers ondersteunen, servicedesk opleiden voor 2 browsers, 2x risico op kwetsbaarheden, alle software die browser-gerelateerd is 2x testen, voor 2 browsers taalmodules toevoegen, 2x distribueren, 2x plugins ondersteunen, enz.
Los daarvan de gebruikers nog eens uitleggen dat pakket X alleen op browser A werkt.
Dat bepaalde software geen licentie vereist wil niet zeggen dat standaard een extra browser aanbieden in een zakelijke omgeving niets kost.
Ach, software die in een browser draait hoort sowieso al niet browserafhankelijk te zijn, zo wel dan is het crap gebouwd.
Daar heb je op zich gelijk in; het zou mooi zijn als alle web-based applicaties OS- en browseronafhankelijk zouden werken. De dagelijkse praktijk is echter een stuk weerbarstiger.
Maar het lek wordt al misbruikt. Dus of vandaag alle klanten die een alternatief voor IE willen, of de volgende dag nog veel grotere problemen.

Veel sites gebruiken nog flash. Een gehackte webserver, adserver, man-in-the-middle attack enz, 1 iemand in het netwerk hoeft maar geïnfecteerd te raken en het kan zich heel snel verspreiden.

Overigens kan Flash ook (tijdelijk) uitgeschakeld worden om het lek te dichten.
Ik kan me wel degelijk herinneren dat er een tijdje geleden aan werd geraden Java te disablen in de browser, ongeacht welke browser, omdat er een belangrijk lek in zat. Bovendien gaat het hier om een lek dat niet meer gepatched gaat worden in een deel van de browsers (het XP-deel) omdat de support afgelopen is. Browsers zoals Firefox en Chrome worden op ieder ondersteund platform gepatched, en meestal een stuk sneller.
Ik vind het dus niet geheel onterecht.

Ze hadden inderdaad ook kunnen zeggen, als het inderdaad om de combinatie IE en Flash gaat, om Flash te verwijderen. Maar goed, allebei de pakketten hebben altijd al vol gezeten met problemen. Persoonlijk zou ik iedereen die flash niet perse nodig heeft aanraden om zowel Flash te verwijderen als IE te vermijden.
Chrome en Firefox zijn voor XP ook een aflopende zaak lijkt me nu ondersteuning voor XP is gestopt dor MS
Bovendien gaat het hier om een lek dat niet meer gepatched gaat worden in een deel van de browsers (het XP-deel) omdat de support afgelopen is. Browsers zoals Firefox en Chrome worden op ieder ondersteund platform gepatched, en meestal een stuk sneller.
Bij Microsoft dus ook op de gesupporte platformen, net als de concurrenten. Op de site van FF staat zelfs bij de Windows XP support, dat je kunt switchen naar Opera als je je windowsversie niet wilt upgraden.

En IE is inderdaad niet perfect, maar ik kan niet zeggen dat ik al een perfecte browser gevonden heb. Die zal er helaas ook nooit zijn.

Zelf heb ik meerdere browsers (waaronder IE), omdat voor sommige webapplicaties je gewoon afhankelijk bent van wat de programmeur heft verzonnen.
idd, net alsof er geen bugs zitten in andere browsers...
OK, op dit moment is er een issue met IE/Flash, maar om er ineens zo'n aandacht aan te besteden, ruikt toch wat naar MS bashing
Er zijn heel veel issues geweest met IE de laatste tijd. En de lekken zijn ook vaak kritiek binnen IE.

Je kunt zeggen wat je wilt: er zijn gewoon minder KRITIEKE lekken binnen de andere browsers.
IE bestaat ook al een stukje langer.
Daarbij zie ik graag een bron daarvan.
IE bestaat langer? Sinds wanneer dan?

Firefox heeft zijn roots in Netscape Navigator welke in '94 uitkwam. Internet Explorer kwam pas in '95 uit.

Wat je wel kan zeggen is dat de de versies van Internet Explorer die mensen nu gebruiken ouder zijn (IE6-IE11) en dat chrome/firefox veel beter up-to-date zijn. Maar dat is volledig te danken aan Microsoft zelf om hun oude versies zo lang te ondersteunen wat dit soort bugs enorm helpt uiteraard.
IE bestaat langer? Sinds wanneer dan?

Firefox heeft zijn roots in Netscape Navigator welke in '94 uitkwam. Internet Explorer kwam pas in '95 uit.
Je vergelijkt appeltjes met peertjes.

IE heeft zijn roots in Mosaic en die voor het eerst uitkwam in 1993, dus dat is voor de root van FireFox die uit 1994 stamt.
IE zelf is ouder dan Firefox want IE komt uit 1995 en Firefox verscheen pas in 2002.
Maar Firefox is gewoon een rename van Mozilla Navigator welke weer een rename is van Netscape Navigator welke weer van Mosaic Navigator afkomt. Nu zal het weinig uitmaken welke browser ouder is, want van de originele code zal helemaal niets meer over zijn.

Wat je wel kan zeggen is dat de code van Internet Explorer die gebruikt word ouder is. Men gebruikt nog regelmatig IE6 waarvan het merendeel van de code van voor 2001 is, net als IE7 (2006), IE8 (2009), IE9 (2011), IE10 (2012), IE11 (2013).

Als je dat vergelijkt met Chrome en Firefox waar meer dan 90% altijd de laatste browser heeft (en die dus hooguit een paar maanden oud is) dan vraag je je toch af wat microsoft aan het doen is..
Persoonlijk vind ik het updaten van Chrome ook een stuk makkelijker en sneller dan het updaten van IE...
Firefox heeft zijn roots in Netscape Navigator welke in '94 uitkwam. Internet Explorer kwam pas in '95 uit.
Firefox is gebaseerd op de broncode van Netscape in 1998, dat betekent nog niet dat Firefox dus net zo oud is als Netscape.
Ik heb mijn roots van mijn ouders, ik deel dna met ze, ben ik dan ook 68?
Maar goed, details.
Wat je wel kan zeggen is dat de de versies van Internet Explorer die mensen nu gebruiken ouder zijn (IE6-IE11) en dat chrome/firefox veel beter up-to-date zijn. Maar dat is volledig te danken aan Microsoft zelf om hun oude versies zo lang te ondersteunen wat dit soort bugs enorm helpt uiteraard.
Hier ben ik het volledig mee eens. Ik snap ook nog steeds niet dat MS hier niets/weinig aan doet.

[Reactie gewijzigd door Vexxon op 29 april 2014 12:08]

Ik reken ook niet over de hele levensduur van IE, maar over een tijdsperiode van zeg één jaar.

En de bron staat hierboven:
link.

:P

Maar serieus: ik werk als IT-er. Als ik kijk hoe vaak ik kritieke patches uitrol voor IE (ook waar je niets over hoort in het nieuws) dan is dat echt gewoon absurd. We gebruiken ook Firefox en zelfs Chrome voor test doeleinden, maar daar komen gewoon veel minder kritieke bugs voorbij.

En dan kun je zeggen: "daar wordt ook minder naar gezocht", maar dat is natuurlijk onzin.

[Reactie gewijzigd door Mecallie op 29 april 2014 11:22]

En de bron staat hierboven:
link.
Je hebt dus geen bron begrijp ik?

Nee, je hebt nog niets bewezen, behalve dat er in IE inderdaad lekken zitten. Maar heb jij een bron waaruit blijkt dat er minder kritieke lekken zitten in andere browsers? Alvast bedankt.
Maar serieus: ik werk als IT-er. Als ik kijk hoe vaak ik kritieke patches uitrol voor IE (ook waar je niets over hoort in het nieuws) dan is dat echt gewoon absurd. We gebruiken ook Firefox en zelfs Chrome voor test doeleinden, maar daar komen gewoon veel minder kritieke bugs voorbij.
Ik ook, ben vooral webdeveloper en werk met alle browsers. Ik krijg meer updates voor Firefox dan voor IE.
Kijk je even op website van Mozilla dan staan daar ook behoorlijk wat patches bij. En dan heb ik het nog niets eens over het bizaare geheugengebruik van Firefox.
En als je overigens ergens weinig over hoort in het nieuws dan zijn het wel de andere browsers. IE is de grote bekende bij het publiek, dus dat scoort nou eenmaal. Ik vraag me serieus af of dit nieuws zo breeduitgemeten was als het Firefox zou betreffen. Hier op tweakers zeker, maar in het mainstream nieuws? Zeker niet.

Als ik kijk naar updates en kritieke patches dan zijn het vooral Java en Flash waar ik helemaal gek wordt van het aantal. Die hebben nog meer updates dan Windows.

[Reactie gewijzigd door Vexxon op 29 april 2014 11:52]

Vexxon:
Ik zeg niet voor niets KRITIEKE lekken. Qua overige bugs zitten er in Firefox en Chrome minimaal net zo veel. Maar het aantal lekken dat het mogelijk maakt om je besturingsysteem te compromiteren is, uit eigen ervaring, gewoon hoger.

Voor een vergelijking tussen browsers:
http://www.pcmag.com/article2/0,2817,2365692,00.asp (nee, daar staat niet dat FF veiliger is dan IE).

De meeste bronnen op internet zijn oud, blijkbaar wordt er niet echt onafhankelijk onderzoek gedaan naar de beveiliging van browsers.

En voor wat betreft Java en Flash: als IT-er zie ik liever dat ze die technologieën meteen de prullenbak in gooien. Waardeloos is het, zo lek als een mandje. Wat dat betreft: het bijna niet gebruikte silverlight doet het qua beveiliging wel redelijk. .Net is dan qua beveiliging ook weer wat minder, maar ook veel minder compatabiliteitsissues dan Java.
Maar het aantal lekken dat het mogelijk maakt om je besturingsysteem te compromiteren is, uit eigen ervaring, gewoon hoger.
Ik vraag me af waar die ervaring dan precies op gebaseerd is.
In de link die ik postte staan ook patches voor kritieke lekken in Firefox. Op basis waarvan zeg jij dat IE meer kritieke lekken bevat dan andere browsers.
En voor wat betreft Java en Flash: als IT-er zie ik liever dat ze die technologieën meteen de prullenbak in gooien. Waardeloos is het, zo lek als een mandje.
Absoluut mee eens.
.Net is dan qua beveiliging ook weer wat minder,
Sorry wat? Je bent me steeds meer bronnen verschuldigd, want het lijkt erop dat je maar wat uitspraken doet en niets kan onderbouwen met bronnen.
Ik ontwikkel al 10 jaar in .Net, zowel web, desktop, win 8 apps als WP apps. Ik ben heel erg benieuwd waar je die uitspraak op baseert.
Sorry wat? Je bent me steeds meer bronnen verschuldigd, want het lijkt erop dat je maar wat uitspraken doet en niets kan onderbouwen met bronnen.
Ik ontwikkel al 10 jaar in .Net, zowel web, desktop, win 8 apps als WP apps. Ik ben heel erg benieuwd waar je die uitspraak op baseert.
Ik denk dat ik die uitspraak iets anders moet neerzetten. Ik bedoel dat .Net ook beveiligingslekken bevat en dus, als zijnde een tussenstap, minder veilig dan gewoon een programma welke geen dependencies heeft. Vergelijk je .Net met java dan is het echt een no brainer, vele malen veiliger en ook gewoon een betere architectuur (op Windows dan).
Hier kun je zien hoeveel heel enstige lekken en in firefox zijn gevonden en gepatched
En dat zijn er ook niet weinig:
http://web.nvd.nist.gov/v...rt_vn=&oval_query=&cve_id=

In 2014 dus al 5 vunerabilities in Firefox met max rating 10.
De meeste onderzoeken vinden dat Windows software (op client of op server) gevoeliger is voor malware, ook relatief t.o.v. het gebruik.

Een reden kan liggen in de complexiteit. Je kent misschien onderstaande plaatjes (systemcalls voor een zelfde taak, Windows webserver versus LAMP). Windows is meer ' spaghetti' achtig dan de LAMP stack.
http://mattiasgeniar.be/2...che-linux-vs-iis-windows/

Zou me niks verbazen als dat ook geldt voor IE versus andere browsers, omdat MS zeg maar gebruikersgemak van beheerders voorop zet, ten koste van meer complexiteit en dus kwetsbaarheid....
Sinds wanneer doet de Amerikaanse overheid aan MS bashing? Ik denk dat ze vooral bang zijn dat hun eigen overheid gevaar loopt en daarom de media opzoeken. Op deze manier kunnen ze snel een grote groep gebruikers waarschuwen. De NSA was ongetwijfeld al op de hoogte van het lek maar als hackers (lees: terroristen) het lek ook hebben gevonden en gebruiken dan kan de staatsveiligheid wel eens in gevaar komen. Welke browser zouden ze in het witte huis gebruiken denk je?
idd, net alsof er geen bugs zitten in andere browsers...
OK, op dit moment is er een issue met IE/Flash, maar om er ineens zo'n aandacht aan te besteden, ruikt toch wat naar MS bashing
Niet helemaal. Het probleem is dat op dit moment dit lek actief wordt misbruikt.
Dit lijkt mij een goede reden om (zolang dit lek nog niet is gedicht) IE te mijden OF om op zijn minst Flash uit te schakelen in IE.

Dat er extra de aandacht wordt gevestigd op IE heeft er denk ik ook mee te maken dat IE nog het grootste marktaandeel heeft op de browsermarkt.

Wellicht dat ik generaliseer, maar ik ben van mening dat veel van de mensen die IE gebruiken zich amper bewust zijn dat er alternatieven voor beschikbaar zijn. De mensen die al een andere browser gebruiken zijn zich dat normaliter wel.
idd, net alsof er geen bugs zitten in andere browsers...
Naar nu bekend zit er in geen enkele andere browsers een dergelijk gevaarlijk lek. Dit is meer dan een bug, dit is een gevaar voor de onwetende gebruiker.
Dat gebeurt wel, zo heeft de Consumentenbond 3 maanden geleden nog geadviseerd om mensen die niet actief gebruik maken van Java dit te verwijderen van je computer.

Bron:
https://www.security.nl/p...rt+om+Java+te+verwijderen

Dat kwam toen door een groot beveiligingslek dat ook door tweakers is gerapporteerd: http://tweakers.net/nieuw...nnenkort-gerepareerd.html

Overigens heeft Internet Explorer tegenwoordig een redelijk slecht imago met betrekking tot beveiliging. Toch wordt het door vele mensen gebruikt die weinig verstand hebben van computers. De consumentenbond en (nu dus ook) de politie proberen het gebruik van Internet Explorer af te laten nemen omdat juist mensen met weinig verstand het meeste risico lopen. Combineer dat met een browser met lekken en je hebt gegarandeerd problemen.
Helemaal mee eens... java is imho nog steeds een veel groter gevaar, is nog lekker, iedereen gebruikt t en een hoop willen of kunnen het niet eens updaten... (ik ken een beroepsgroep die ivm specifieke branchesoftware vast zit aan Java 6 update 5....)
Er zijn veel security lekken aan het licht gekomen in verschillende software pakketten (Java...) en daarbij is nooit afgeraden om Java te gebruiken door een overheidsinstantie.

Jawel, dit soort waarschuwingen komen wel vaker uit. Echter normaal ontdekt Reuters het niet. Nu echter werd het vooepagina nieuws omdat elke nieuws-agency de Reuters persberichten in de inbox krijgt. En het klonk natuurlijk wel erug sensationeel ... :+

Homeland Security waarschuwde echter niet zozeer omdat het lek zo ernstig was, maar omdat er aanwijzingen waren dat er gerichte aanvallen op Amerikaanse doelen waren. En wat is de taak van Homeland Security in de USA ... juist ja. De boodschap was dus vooral gericht aan instanties en personen die potentieel doelwit zouden kunnen zijn.

Reuters echter miste die context, de rest van de media deed nihil feiten-onderzoek, en de rest van de blinde paniek is geschiedenis.

IE faal, Flash faal maar de media nog veel dikkere dikke faal dus. 8)7
De support voor XP is onlangs afgelopen en dus is elk beveiligingslek dat op welke manier dan ook betrekking heeft op een MS product opeens groot nieuws.
Zo blijf je bezig. Mensen (en bedrijven) moeten er nu werk van maken om XP achter zich te laten. Zo kan je namelijk ook exploits melden voor Windows 2000 of NT 3.5. Die OS'sen hebben ook geen support meer en zijn vast ook exploits nog voor.
Ik pak mijn alu hoedje maar...

Nee, lekken zitten altijd in software. Dit lek had net zo goed vorige maand ontdekt kunnen worden. Of eind vorig jaar. Dan was het gepatched ook voor Windows XP gebruikers. Over 6 maanden kan er net zo goed een lek gevonden worden wat ook van toepassing is in Windows XP.

Wat dit nieuws zo sensationeel maakt is het feit namelijk dat alle overgebleven Windows XP gebruikers deze patch nooit zullen krijgen. Maar ja, is het voor die mensen niet eens tijd voor een nieuw OS na 12,5 jaar?
Heb je het over Java of Javascript?
Ik zie op Automatiseringsgids.nl staan dat er een update is voor Adobe Flash. Het is me echter niet helemaal duidelijk of het om hetzelfde lek gaat,
http://www.automatisering...xploit-nu-in-flash-player
Zeer technisch raakt het het IE lek, door meerdere acties uit te voeren kun je het lek eigenlijk dubbel misbruiken (lees: extra hard misbruiken)

Zie hier meer uitleg over de Flash zero-day:
http://www.fireeye.com/bl...-in-targeted-attacks.html

Incl ''fix'' Alhoewel dit het niet compleet oplost:

http://krebsonsecurity.co...es-flash-player-zero-day/

Nog een nieuwe post dat deze Fix van Adobe geen fix voor IE zelf is:
http://www.cnet.com/news/...bug-unrelated-to-ie-flaw/

De nieuwe kwetsbaarheid die gevonden is in Internet Explorer (IE).

De nieuwe kwetsbaarheid is een bug die het toestaat een aanvaller via IE 6 t/m 11 een drive-by download te laten afvuren vanaf een website. Deze download kan dan direct gestart worden op een remote systeem om hier controle over te verkrijgen.

De bug leeft in principe alleen in clients per default, omdat de Enhanced Security Configuration (http://technet.microsoft.com/library/dd883248) deze handelingen tegen gaat.
Ook is het zo dat MS Outlook en Windows Mail deze handelingen niet toestaan in het openen van een e-mail.

Diverse Anti Virus partijen detecteren op het moment de exploits die gevonden zijn die gebruik maken van deze bug, echter is het zo dat iedereen deze bug kan exploiteren, en het dus niet zeker is of er exploits in de rondte gaan die nog niet bekend zijn. Het is dus sterk aangeraden om vooralsnog even IE te vermijden of acties te ondernemen om te zorgen dat uw IE gebruikers geen onnodig risico lopen.

In het laatste artikel wordt deze kwetsbaarheid toegelicht door Microsoft, ook staat er onder aan de pagina een stuk over handelingen die genomen kunnen worden om te zorgen dat IE gebruikers weer veilig het web op kunnen.
Ik zou willen aanraden om hier even goed naar te kijken om in te schatten of erhandelingen nodig zijn in uw netwerk om deze kwetsbaarheid tegen te gaan.

Ik raad wel af om zomaar The Enhanced Mitigation Experience Toolkit te deployen op het netwerk. Dit zou problematiek kunnen opleveren met bestaande ''Host intrusion prevention software pakketten''.

Het gemakkelijkste zou zijn op het moment om even geen IE te gebruiken als dit mogelijk is aangezien er geen duidelijk zicht is op hoeveel exploits er op het moment gebruik maken van deze bug.

Tweakers, misschien is het handig om de laatst gegeven link toe te voegen als ''Must read'' in het nieuwsbericht!

Voor de ietwat minder technisch aangelegde personen (Tweakers.net I know, misschien voor vrienden & familie) Zie dit Youtube filmpje:
http://www.youtube.com/watch?v=vY6aM_c3kVg

[Reactie gewijzigd door Dr.Root op 29 april 2014 12:52]

Graag gedaan Froggy! Ik hoop dat je er niet teveel last van ondervindt :) Als consument dus gewoon andere browser gebruiken :)
Ik heb vanochtend een update binnengekregen via Windows Update die het lek zou moeten dichten;
(Windows 8.1 x64)

http://support.microsoft.com/kb/2961887


EDIT 11:18;
Blijkt om een andere update te gaan, excuses!

[Reactie gewijzigd door html op 29 april 2014 11:18]

Dat is een andere bug, daar hoort dit Security Advisory bij: https://technet.microsoft.com/library/security/2755801

Dit artikel gaat echter over een andere Advisory, die al wat langer uit is, namelijk https://technet.microsoft.com/en-US/library/security/2963983

En voor die laatste is as we speak dus nog geen update beschikbaar.

Ze hebben wel raakvlakken (gaat beiden over IE), maar is niet geheel hetzelfde.
Klopt ik kreeg deze gisterenavond rond middennacht.
Wel vreemd om nu dan een bericht uit te sturen terwijl Microsoft al een patch heeft uitgebracht.

Maar goed better safe then sorry
Dat doet de politie-eenheid naar aanleiding van een recent ontdekt lek in de Adobe Flash Player in de browser.
Vreemd dat de nadruk op IE wordt gelegd. Het is toch niet alleen het probleem van Microsoft?
Nu wordt net gedaan alsof IE zo'n onveilige browser is terwijl de lek in de plug-in player van Adobe zit.
Just a little over a day after Microsoft revealed a massive Internet Explorer vulnerability, Adobe is pushing out an emergency security update to patch the Flash-enabled flaw. http://gizmodo.com/new-vu...568876889/+ashleyfeinberg
Nee, dat is een andere bug, niet die uit het artikel. Staat zelfs in het artikel dat je quote:
Update 4/28 6:47pm: The Adobe update that came out today was actually released to resolve this issue, and is unrelated to the larger IE issue that appeared over the weekend.
Bij jouw gelinkte artikel hoort dit Security Advisory: https://technet.microsoft.com/library/security/2755801

Dit artikel gaat echter over een andere Advisory, namelijk https://technet.microsoft.com/en-US/library/security/2963983

En voor die laatste is as we speak dus nog geen update te vinden (althans, niet publiek).

[Reactie gewijzigd door wildhagen op 29 april 2014 10:41]

Da's een ander probleem...
Misschien kunnen ze beter advies geven om te updaten / XP niet meer te gebruiken ?
Misschien kunnen ze beter advies geven om te updaten / XP niet meer te gebruiken ?
En hoe ga je dat voor elkaar krijgen in bedrijfsomgevingen waar proprietary software wordt gebruikt?

Genoeg bedrijven draaien nog met specialistische systemen waar IE onder de motorkap in de software zit verwerkt, en waarvan het softwarepakket alleen XP ondersteunt.
Als je je als bedrijf in 2014 nog steeds XP gebruikt, of software die ervan afhankelijk is, moet je je eens af gaan vragen waar je mee bezig bent.
Het is nu 7 jaar geleden dat Vista is verschenen (begin 2007). Software die op Vista draait zal in 99,9% van de gevallen ook op W7 draaien, want onder de motorkap is er niet zo veel veranderd. Als je dus nog steeds software hebt die alleen onder XP draait is die software minstens 7 jaar al niet meer bijgewerkt. Je moet toch wel gek zijn om dat soort software te blijven gebruiken.

Het gebruik van gesloten software is geen reden om het niet te updaten. Normaal zit er een supportcontract bij, waardoor je de leverancier ook onder druk kunt zetten om het compatible te maken met nieuwere OS versies.
Eigenlijk kan ik me sowieso niet voorstellen dat er nog supportcontracten lopen voor software die al meer dan 7 jaar niet meer geupdate is. Waarom zou je daar als bedrijf voor betalen? En als je er geen support voor hebt, is het uberhaupt niet verstandig om dat soort software te gebruiken. In het geval van problemen sta je in de regen.

Als je nu nog steeds XP gebruikt weet je niet waar je mee bezig bent. Iedereen heeft al 7 jaar de tijd gehad om plannen te maken voor migratie.
Als je je als bedrijf in 2014 nog steeds XP gebruikt, of software die ervan afhankelijk is, moet je je eens af gaan vragen waar je mee bezig bent.
Het is nu 7 jaar geleden dat Vista is verschenen (begin 2007). Software die op Vista draait zal in 99,9% van de gevallen ook op W7 draaien, want onder de motorkap is er niet zo veel veranderd. Als je dus nog steeds software hebt die alleen onder XP draait is die software minstens 7 jaar al niet meer bijgewerkt. Je moet toch wel gek zijn om dat soort software te blijven gebruiken.

Het gebruik van gesloten software is geen reden om het niet te updaten. Normaal zit er een supportcontract bij, waardoor je de leverancier ook onder druk kunt zetten om het compatible te maken met nieuwere OS versies.
Als het om een bestaand bedrijf zou gaan waarbij je een SLA hebt afgesloten geef ik je helemaal gelijk.

Maar heel veel bedrijven draaien nog met verouderde systemen (en verouderde hardware) waarvoor de leverancier geen updates meer uitbrengt of waarvan de toenmalige leverancier zelfs failliet is. Een bijgewerkte oplossing is dan ook niet te krijgen.

En dan kun je wel proberen om over te stappen naar een nieuw of ander systeem, maar dat betekent heel vaak een compleet systeem opnieuw opzetten, en je personeel opleiden. Dat is een duur grapje.
Lekker kort door de bocht.....

ik draai hier xp omdat ik nog een dos prog heb wat direct met een lpt sentinel dongle wil communiceren. Alle windows versies daarna staan direct aanspreken van de hardware niet meer toe en dus werkt t programma dan niet.
maw je zit vast aan xp in sommige gevallen tenzij je een alternatief kan vinden of kan laten maken en dat dan ook nog eens kan betalen, niet altijd t geval kan ik je zeggen....
Dit is zelfs erger.. Je werkt eigenlijk met spul dat techniek gebruikt dat ouder is dan van 1995. Kortom je software werkt op technieken van meer dan 19 jaar oud.

Zou wel een goede reden zijn hiervoor; maar ik zou toch naar alternatieven zoeken.
maw je zit vast aan xp in sommige gevallen tenzij je een alternatief kan vinden of kan laten maken en dat dan ook nog eens kan betalen, niet altijd t geval kan ik je zeggen....

Goed punt, doch dat is op zich ook geen probleem, mits je het maar niet aan het openbare netwerkt hangt. En als dat niet vermeden kan worden, zet er een 25-euro router met firewall tussen.

Laten we niet vergeten het grootste probleem qua malware is het surfen op die PC's naar websites. En dan 90+% van de gevallen naar websites die totaal niet bedrijfs-relevant zijn.

Het is juist het persoonlijk gebruik op werk-computers die het overweldigende meerderheid van lekken geeft. Dat is op zich onvermijdelijk, want kunnen internetten en emailen tijdens het werk is een soort secundaire arbeidsvoorwaarde.

Maar voor specifieke oude hardware, is het dan beter om een speciale PC daarvoor te reserveren, en de gebruikers een andere wél geupdate PC te geven voor al het andere werk.

Zeker ook omdat voor die werk-PC dan ook de zaak zo dicht gezet kan worden dat ook enkel die plugins en die websites etc bereikbaar zijn die noodzakelijk zijn voor het functioneren van je legacy software. Drive-by malware maakt dan ook geen kans meer.
Hoeft niet eens onder de motorkap hoor. Ik ziet hier te werken op een machine met weliswaar Windows 7, maar IE8 en een verouderde en erg onveilige Java-versie simpelweg omdat ons Oracle ERP systeem niet functioneert met nieuwere IE- en Java-versies.
Die hoef je, hopelijk, niet te vertellen wat de risico's zijn voor het gebruik van bepaalde software. Dit advies was (heel even, voordat de patch verscheen) nuttig voor thuisgebruikers, maar dat is het dan zo'n beetje. Het algemene advies om XP gewoon niet meer te gebruiken is veel verstandiger, tenzij je echt weet wat je doet.

En wat betreft die speciliastische systemen, dat is in 99% van de gevallen een kwestie van de juiste prioriteiten en budgetten stellen aan de IT omgeving binnen de organisatie. Nou weet ik het wel dat dat erg zwart-wit is en het vaak best lastig is om hele bedrijfsprocessen om te zetten op andere software (nog even afgezien van de kosten). Maar dat neemt niet weg dat het advies om XP te dumpen maar in de wind geslagen mag worden. Het zat er ten slotte al heel wat jaren aan te komen...
Zoals eerder gemeld door schajink (en ook door oa ZDnet) is er nog geen patch voor de bug, dus is het advies nog steeds geldig
Via een netwerk-firewall, zodat je vanaf dergelijke systemen niet 'gewoon' op Internet kunt. Da's een gebruikelijke oplossing voor dergelijke systemen die niet zomaar vervangen kunnen worden.
Windows 8.1 met IE 11 is ook affected. En een update is nog niet beschikbaar..
Dat is een andere bug, daar hoort dit Security Advisory bij: https://technet.microsoft.com/library/security/2755801

Dit artikel gaat echter over een andere Advisory, namelijk https://technet.microsoft.com/en-US/library/security/2963983

En voor die laatste is as we speak dus nog geen update...
Dit staat min of meer los van Windows XP, het lek zit (ook) in IE 9, 10 en 11. Dus ook in Windows 7 en 8 kan je het lek vinden.
Niet helemaal, want XP krijgt geen updates meer. En dus ook niet voor hun browsers.

XP staat er dus niet los van. XP gebruikers die IE gebruiken kunnen het beste overstappen op een ander OS Linux of Windows upgraden of een andere browsers zoals Chrome of Firefox gebruiken.
Er is alleen nog geen update beschikbaar en het probleem doet zich voor in alle recente versies van IE.
Moet het niet zijn: gebruik geen flash?
Naast wat anderen al schreven, is zo'n advies waarschijnlijk onbruikbaar voor veel mensen. Ik denk dat veel gebruikers niet weten wat Flash is, en al helemaal geen idee hebben waar je Flash tegenkomt en hoe je het uitzet.

Het advies om IE niet te gebruiken, is trouwens ook al behoorlijk ambitieus. Veel mensen weten bijvoorbeeld niet wat een browser is, of dat er verschillende browsers bestaan. Maar wellicht dat plaatjes van Firefox of Chrome hierbij kan helpen.

Vergeet niet dat deze aanbeveling voor het algemene publiek is bedoeld, en niet voor een select groepje.
Nou probleem zit niet in Chrome die ook flash gebruikt.
Dus de fout zit niet in flash?
Trouwens Firefox gebruikt ook een flash plugin waarom heeft die de probleem niet?

[Reactie gewijzigd door raro007 op 29 april 2014 10:42]

Plak... naar aanleiding van een recent ontdekt lek in de Adobe Flash Player in de browser....
Maar Chrome en Firefox hebben die probleem niet.
Of gebruiken die browser geen flash? :p
Het is de combinatie van IE en Flash. Dat is nu de zwakke plek.
Dat is een andere plugin. Zover ik het heb begrepen gaat dit om de ActiveX Flash plugin (voor IE).

Het is dus de combinatie van Flash met IE.
De Flah versie in internet Explorer is een andere dan die in Chrome, en alleen die IE versie heeft het probleem, maar het zit niet in IE.
Ik dacht ook, net als @q2no, gewoon schakel flash in IE uit als je per se IE wilt/moet gebruiken. Volgens mij (als ik het artikel lees) gaat het om een lek zodat je via flash de beveiliging van IE kunt omzeilen.
In bedrijfsnetwerken kan je hier dus helemaal niets mee als systeem beheerder. Je kan niet spontaan even firefox of iets anders uitrollen zonder te testen.
Dus eindgebruikers moeten wel doorgaan met internet explorer...
Plus dat een patch niet langer dan hooguit twee weken gaat duren ofzo. Altijd nog veel korter dan overstappen op een andere browser(die ook weer andere slechte punten heeft)
exact, eer dat je een browser hebt getest met al je bedrijf applicaties en alle policy's goed heb geconfigureerd (wat volgens mij met firefox niet eens kan) ben je al veder dan 2 weken.
Zo'n advies kan wel nuttig zijn om de baas te overtuigen dat er nu echt iets moet gebeuren.
Zo'n advies kan wel nuttig zijn om de baas te overtuigen dat er nu echt iets moet gebeuren.
Want? Andere browsers kennen nooit problemen? Volgende keer de baas maar overtuigen om van Chrome af te stappen omdat dat dan een groot lek heeft?
1. zorgen dat applicaties browser onafhankelijk worden. Je wil niet aan één browser vast zitten, of het nu IE of iets anders is. Ik ken ook bedrijven waar ze applicaties hebben die afhankelijk zijn van verschillende browsers. Het personeel wordt daar helemaal gek van.
Je wil applicaties met verschillende browsers testen op het moment dat je ze aanschaft zodat je de vrijheid hebt om later te wisselen. Als je pas gaat testen als je een probleem hebt dan is de kans groot dat het niet gaat werken.
2. zorgen dat oude applicaties en OS'en tijdig worden vervangen zodat je niet met oude rommel blijft zitten die je niet meer kan onderhouden.
Ik vind het goed dat Nederlandse burgers hierover geadviseerd worden, maar zou zo'n advies aan burgers niet juist van het Nationaal Cyber Security Centrum (NCSC) moeten komen in plaats van de politie?

Naar mijn mening zou de politie zich bezig moeten houden met het opsporen en vervolgen van cybercriminaliteit terwijl het NCSC juist een adviesrol op zich zou moeten nemen en burgers (en bedrijven/overheidsinstellingen) over zoiets moeten informeren.
Vreemd idee hou jij er op na over de politie. Politie vervolgt niemand, dat doet het OM. Ik heb nog nooit van NCSC gehoord, wel van de politie.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True