Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 134 reacties

Microsoft is donderdagavond begonnen met het uitrollen van een update voor Internet Explorer. De update verhelpt een lek in de browser dat afgelopen weekend aan het licht kwam. Opmerkelijk is dat de update ook komt naar Windows XP, waarvan Microsoft de ondersteuning pas heeft beŽindigd.

Microsoft Internet Explorer 9 logo (90 pix)Microsoft laat in een blogpost op TechNet weten dat de update is getest voor alle kwetsbare versies van Internet Explorer en zal worden verspreid. "De meerderheid van de klanten heeft het automatisch updaten ingeschakeld staan. Zij hoeven geen actie te ondernemen", zo staat er.

De softwaregigant zegt bovendien dat er ook een update komt voor Internet Explorer op Windows XP, maar wanneer is onbekend. De fix is opmerkelijk, omdat Microsoft begin vorige maand de ondersteuning voor het besturingssysteem uit 2001 beëindigde. Alleen betalende klanten, zoals de overheid, krijgen nog ondersteuning. "We blijven klanten aanmoedigen om naar een modern besturingssysteem zoals Windows 7 of 8.1 te migreren", schrijft Dustin Childs van het Microsoft Security Response Center. Hij suggereert daarmee dat het om een uitzondering gaat.

Het lek dat afgelopen weekend door het Amerikaanse beveiligingsbedrijf FireEye werd ontdekt, stelt hackers in staat om door middel van een kwetsbaarheid in Flash geheugenobjecten in de browser te manipuleren. Zij kunnen daarmee beveiligingsmechanismes als dep en aslr omzeilen.

Hoewel het lek in een groot aantal IE-versies is te vinden, zouden aanvallers de pijlen vooral richten op IE9, IE10 en IE11. Volgens StatCounter gebruikte de afgelopen maand ruim 31 procent van de Nederlandse desktopgebruikers Internet Explorer. Het Team High Tech Crime van de Nederlandse politie raadde die Nederlanders af om de browser nog te gebruiken tot Microsoft een fix zou uitbrengen.

Moderatie-faq Wijzig weergave

Reacties (134)

Kunnen we weer rustig ademhalen! Tot de volgende paniekgolf als er een nieuw lek gevonden wordt. :P haha
Die paniekgolf is er alleen maar omdat overheidsinstanties (zowel in de US als in Nederland) enorm paniek hebben zitten zaaien zonder dat daar reden voor was. Natuurlijk was er een lek, maar zoals anderen al hadden aangegeven, niet de eerste, niet de ergste en zeker niet de laatste. Vervolgens heeft de media het opgepakt en er nog een schepje bovenop gedaan (inclusief tweakers.net).

Natuurlijk was op dinsdag een van de eerste telefoontjes die ik kreeg "Moeten we Internet Explorer niet de-installeren?" en zo heb ik er nog een aantal gehad... Ik heb gewoon als default 'oplossing' iedereen ActiveX-Filtering aan laten zetten. Resultaat: Storm in glas water gesust.
Ja wel sinds HeartBleed is iedereen "on edge". Verwacht nog meer paniekzaaierij.
Idd ik word er soms wel zo moe van.
Er zitten nog wel 20 andere lekken in kunnen we daar niet ook meteen paniek over zaaien voor de komende 5 jaar zodat we dat alvast gehad hebben.

Lekken zijn er altijd wel ze zijn alleen niet allemaal gevonden.
Wel, in de huidige Firefox versie zitten 3 zero-day gaten die al bekend zijn, ik hoor nog steeds niemand daar over schreeuwen... Met Firefox 29 zijn er trouwens ook 5 zero-day gaten in Firefox opgelost, hoorde je ook niemand over schreeuwen. IE heeft er 1, en de hele wereld is in rep en roer. Snappen wie het snappen kan...
Tja dat heeft denk ik te maken met het aantal gebruikers wat IE heeft t.o.v. dat wat Firefox heeft.
Gebruikers van Firefox is tegenwoordig bijna gelijk aan het aantal van IE.
Het lijkt meer de gewoonte om bij Microsoft moord en brand te roepen in de media...

Sterker nog: de logs van W3 (http://www.w3schools.com/browsers/browsers_stats.asp) tonen dat IE 9,7% en Firefox 25,6% gebruikt worden.
Hoewel daar meer programerende gebruikers komen, wat zou verklaren dat die ook gelijk een andere browser gebruiken...

Maar deze site beweert dat Google's Statistics programma's achter de advertenties zelfs vaker Firefox zien dan IE op normale sites (http://www.gliffy.com/blo...-analytics-using-filters/).

@Hieronder:
Jij, en menig ander hoor, gebruikt deze cijfers om iets aan te tonen en dat is natuurlijk totaal fout.
Wat?... Hoe bedoel je dit, ik verwijs naar twee sites, waarvan een Google's Statistics gebruikt, als die cijfers dus officieel zijn is het wel degelijk een zeer reeel beeld van hoe browsers dagelijks gebruikt worden.

[Reactie gewijzigd door RGAT op 1 mei 2014 22:23]

Ik bedoel dit zo: er is een gigantische hoeveelheid mensen, dat nooit op w3schools.com komt, alleen mensen die geÔnteresseerd zijn in web technieken komen daar. Gezien de historie van Internet Explorer, is het niet zo vreemd dat de bezoekers van deze website, niet met Internet Explorer naar deze site gaan. Met andere woorden: je krijgt geen eerlijk beeld.

Wat heb je nu aan de GA resultaten van alleen gliffy.com. Denk je nu echt dat dŠt representatief is voor een populatie?

Dit is nu precies het probleem wat vandaag de dag speelt. De betrouwbaarheid van informatie wordt nauwelijks meer gevalideerd.

Het perfecte recente voorbeeld is het door de media overnemen van een tweet van een knul of miep bij politie Team High Tech Crime dat door de media als heilig / waarheid wordt verklaard, zonder dat ook maar een enkele validatie wordt uitgevoerd. Niets op politie.nl, niets op ncsc.nl, niets op waarschuwingsdienst.nl, nee..'BAM!' op het NOS Journaal. Mediageile journalisten.
Kennelijk is er ingegrepen en wordt dit twitteraccount nu een gemodereerd, in ieder geval is de super spannende twitter header afbeelding, met twee agenten met half getrokken pistolen, verwijderd en zie je alleen tweets over personeelswerving...
Ja ja "De Politie zegt..." Echt, ongelofelijk... maar waar.
w3schools.com geeft geen inzicht in statistieken van browsergebruik. Niet landelijk, niet wereldwijd, nee, alleen bezoekers van w3schools.com.

Jij, en menig ander hoor, gebruikt deze cijfers om iets aan te tonen en dat is natuurlijk totaal fout.
Gewogen vs ongewogen metingen ...
w3schools heeft een heel specifiek publiek. Publiek dat ook geen afspiegeling is van de maatschappij. Dat is net als de statistieken van tweakers.net. Dan komen nu.nl/nos.nl/telegraaf.nl al beter in de buurt, maar ook daar gaat het om een bepaald publiek en niet de generieke opinie.
Het is puur omdat Homeland Security een waarschuwing gaf. Dat was niet vanwege de unieke ernst van het lek, maar omdat er aanwijzingen waren dat vreemde mogenheden gerichte aanvallen op Amerikaanse semi-overheids instanties/personen aan het verrichten waren. Vele bedrijven en overheden gebriken IE omdat hun eigen bedrijfssoftware dat vereist.

Reuters miste die context en plaatste een algemeen bericht, en aangezien de rest van de mediawereld - zoals we nu weten - klakkeloos Reuters persberichten overtyped, is de rest geschiedenis.

De schade voor Microsoft is wel enorm groot, door de misinformatie die nu verspreid is.
Mja daarom denk ik ook dat het gefixed is. Het ging ook om alle Windows-versies, dus dan is het meenemen van XP nog niet zo'n heel groot probleem. De imagoschade is dat wel en mede daardoor is het balletje gaan rollen. Zal me ook niet verbazen als de kosten van de XP-patch uit het marketing-budget komt.

Verder denk ik dat men de bedrijven wil ontzien die momenteel in gesprekken zijn om te upgraden naar Win7/8. Dan is het een stukje service om ze over de streep te trekken (en bv niet naar Linux te gaan).
Plus natuurlijk dat de XP/IE6 fix toch al gemaakt werd, omdat er ook bedrijven zijn die nog betaalde service-contracten hebben 8-)

(Al zijn de testkosten vaak wel theoretisch groter, omdat bij dat soort contracten je enkel hoeft te zorgen dat het werkt bij die specifieke klanten.)
Dat is tegenwoordig echt niet meer zo groot hoor. Het is pas echt een gevaar wanneer IE op XP draait, en als je nog XP gebruikt snap je waarschijnlijk ook niet wat dit doet of hoe je het zou op moeten lossen.
Een gigantisch deel van de bedrijven draait IE als primaire browser binnen hun omgeving vanwege de intergratie met windows en daarbij komende group-policy settings enz, het zijn veelal consumenten die andere browsers gebruiken.
Daarnaast, als de bron klop http://www.netmarketshare...d=2&qpcustomd=0&qpcustom= zou er met de versies 8.0 t/m 11.0 nog een marketshare zijn van 53.20%, dat is toch nog vrij fors te noemen. Daarbij komende nog de ouder versies zoals IE 6 & 7 die vermoedelijk ook nog wel wat marketshare hebben, al zal de hopelijk nu wel verwaarloosbaar zijn.
Maar hoe groot is de kans dat mensen bij een bedrijf, met die browser naar een website gaan die de exploit code heeft?

Daarbij optellend dat elk zinnig bedrijf tegenwoordig ook gebruik maakt van url filtering, en dat alle url filters alle websites bevatten die de exploit hosten.

En zelfs dan, als er exploit code binnenkomt en er een virus daardoor binnenkomt, dan wordt die er meteen weer afgemeukt door de anti-virus scanner, als die al niet de download van de exploit code zelf had geblokkeerd.

Zijn er mensen die gepakt zijn hiermee? Vast wel.
Maar lang niet zoveel dat het zich billijkt om er een dusdanige paniek van te maken.
Het SSL heartbleed probleem is duizenden malen kritieker, en daar hoor je de kranten, de politie en andere (media) organisaties die nu hoog van de toren blazen voor dit ene lek helemaal niet over.
Terwijl dat de gehele IT industrie inclusief grote delen van de telecom industrie (vrijwel alle android versies bijvoorbeeld) raakt.
SSL certificates vervangen en wachtwoorden resetten is daarvoor niet het eindantwoord, en de schade ervan is veel groter want het heeft 4 jaar geduurt voordat er iemand achter kwam.
Er zijn legio bedrijven en branches te bedenken waarbij het zeker mogelijk is dat men besmette pc's krijgt. Als men bijvoorbeeld via een gehackte pc (bv een BYOD device) de intranet-site besmet, heb je zo het hele bedrijf te pakken.
Ik vind je reactie niet helemaal terecht. Allereerst is heartbleed ook breed uitgemeten in de pers. Je heeft aan dat er voldoende maatregelen tegen dit lek mogelijk zouden zijn, maar alles wat je aangeeft gaat uit van pattern matching terwijl steeds meer gebruik wordt gemaakt van specifieke target codes door hackers en daar hebben pasten matching technieken het erg moeilijk mee. Als laatste wordt steeds meer geprobeerd om vertrouwde sites te infecteren met malware...

Er is ook nog en cruciaal verschil tussen heartbleed en dit lek: heaetbleed was ver van de belevingswereld van gebruikers: het was pakkie an van icters. Dit lek raakt gebruikers zelf omdat het een voor hun herkenbare applicatie is.

Een probleem in en Toyota prius genereert meer publiciteit als een probleem in een tank, zelfs al is het probleem in de tank veel gevaarlijker..
Ik acht de kans vrij groot, als hacker zou ik namelijk juist bedrijven targetten daar valt namelijk het meeste te halen. De SSL Heathbleed bug is overigens ook breet uitgemeten in de pers, dat dit zo breed uitgemeten word.

Tsja wat moet ik daar van zeggen, komkommertijd ?

Deze bug heeft echter wel een de mogelijkheid tot een grote impact, dus vind ik het niet gek dat het zo breed word uitgemeten
en dat alle url filters alle websites bevatten die de exploit hosten
onmogelijk, die lijst verandert iedere seconde.
Niets is onmogelijk als je de exploit code kent.
Group policy kan je ook gewoon toepassen op chrome, Firefox en ik dacht opera dus dat is geen rede voor bedrijven om aan IE vast te houden. Volgens mij is het echter wel zo dat sommige bedrijf applicatie s alleen werken op IE.
Aangezien een Internet Explorer naar mijn inziens veel verder geintegreerd zit als een Firefox of Chrome lijkt het mij dat deze veel beter te controleren is al FF of Chrome.
Op het bedrijf waar ik werk kregen we ook een melding over de zero day van IE. Echter werd er niets aangeraden en werd er juist gezegd dat we IE gewoon konden gebruiken. De onderdelen die er gebruik van zouden kunnen maken zouden niet door de firewall instellingen komen van het bedrijf werdt gezegd. Er zit nogal een forse advertentie filter op die alle advertentie's blokt.
Lijkt me sterk dat IE8 nog zo'n marktaandeel heeft. Dat Chrome maar een marktaandeel van 8% heeft? Nee hoor. Chrome is al sinds een tweetal jaar ontzettend grote stappen aan het zetten en terrein aan het inpalmen. http://www.dutchcowboys.nl/google/29426 Deze is wat accurater. :)
Of omdat de intranet-sites alleen op IE werken en je dus wel verplicht bent IE te gebruiken om te kunnen werken :-(
Als ik ie gebruik kan ik juist nergens bij, er is in werkomgeving just chrome geÔnstalleerd zodat we iets meer openheid hebben. Ik kon nog geen pdf downloaded met ie.
Dat is maar de vraag.... ik vind het nog altijd zeer onduidelijk hoe de metingen precies worden gedaan en wat er precies gemeten wordt en voor welke apparatuur.
Statcounter heeft openbaar wat het marktaandeel voor Nederland is, maar welke Nederlandse website precies worden gemeten wordt niet genoemd.
Voor specifieke gegevens van Netmarketshare moet betaald worden, maar ook hier is het niet duidelijk.

Op zich heb ik niet zoveel met 'marktaandeel' want ik kies niet altijd producten met het hoogste marktaandeel. Meestal niet zelfs...
Toch ziet men marktaandeel als iets om keuzes op te baseren in de ICT wereld, zo lijkt het.

Ik zie in ieder geval heel veel variatie in gebruikte browsers bij verschillende websites.

Wereldwijd schijnt IE zo'n 60% marktaandeel (groeiend) te hebben.
Het blijven schattingen op basis van onvolledige gegevens. Je zult alle websites mee moeten nemen wil je een echte schatting kunnen maken.

Toch is het opvallend dat men nog oude browsers gebruikt. Ik denk dat het voornamelijk te maken heeft met het feit dat het men niet zoveel boeit wat gebruikt wordt, zolang de favoriete websites gewoon benaderd kunnen worden.
... en als je nog XP gebruikt snap je waarschijnlijk ook niet wat dit doet of hoe je het zou op moeten lossen.
Klinkt wat denigrerend, jammer.
Nee, dat heeft te maken met de media die van een muis een olifant maken.
Je kent het wel, fluister je buurman wat in zijn oor en ga zo de kamer rond en kijk wat er uitkomt.

Zo ook hier.

Het oorspronkelijke advies was alleen voor amerikaanse overheidsdiensten om IE niet te gebruiken.
De media namen dit over maar maakten er van dat IE levensgevaarlijk was voor iedereen.
Team High Tech Crime (???) deed er hier een schepje bovenop.
Dat je het "gevaar" simpel kon blocken, met tools van MS (EMET) of simpel in de instellingen (flash blokkeren of hoogste veiligheidsniveau of activeX filtering aanzetten) werd er niet bij gezegd.

Paniek om niets door foute copy pastes van de media, die tegenwoordig gewoon alles klakkeloos overnemen.
Waarschijnlijk wel de reden dat MS dit snel gedicht heeft, dit paniekzaaien.
En netjes dat ze voor XP IE ook gaan fixen.

[Reactie gewijzigd door Teijgetje op 1 mei 2014 21:50]

Ik (en ik ben niet de enige vind het helemaal niet netjes dat ze XP fixen.

We wisten dat dit zou komen voor XP, en ik snap best dat dit misschien erg snel is.. maar het maakt de beweging van het vervangen van XP praktisch vleugellam door nu alle doom scenarios die (imo terecht) door IT pro's werd geschetst om zeep te helpen.. als er volgende week weer een lek opduikt komt er echt wel weer een fix..
Nee dit zal Microsofts poging zijn de schade aan het imago van IE te herstellen, onder het mom van 'We zijn zo actief met updates dat we zelfs XP gratis even nog meedoen'.
Dit alleen omdat het zo groot werd opgeblazen in de media toen iedereen het maar copy-paste van Reuters...
Ik hoop dat ze inderdaad de betrokken instanties op de vingers tikken met het geven van vals en overdreven advies. In plaats van verbieden is het bieden van een oplossing veel beter imo.
Ik gok dat Microsoft XP fixed omdat anders het advies blijft om IE niet meer te gebruiken op XP. En dat veel consumenten dat stukje XP even vergeten en daarmee wordt IE dan de nek om gedraait.
Correctie: het oorspronkelijke advies was voor Windows XP gebruikers om IE niet meer te gebruiken. Je lijkt nu bijna op de reguliere media :)
Je hebt gelijk. My bad.
plus daarbijkomend dat heel veel mensen enkel internet explorer gebruiken omdat ze niet weten dat er ook nog alternatieven zijn. Of ze weten het wel maar bedrijfspolicy houdt het tegen. Of ze hebben gehoord dat er ook alternatieven zijn maar weten niet hoe ze een andere browser moeten installeren. Eigenlijk best te verklaren dus...
kuch. tweaker1234 word gedownmod maar hij heeft wel waarheid gesproken. Mensen weten heel dondersgoed dat chrome bestaat, nadeel van chrome is alleen dat steeds meer mensen het als negatief ervaren dat ze een freeware pakketje installeren en dat ze 1x niet opletten en gelijk chrome op hun pc hebben staan.

Alleen al uit principe zal ik never chrome installeren omdat ze het via een misselijke manier proberen te pushen in de consumenten omgeving. Bij praktisch elk freeware pakketje wat je download moet je heel vreselijk goed opletten anders heb je het al op je pc staan.
Amen, dat is exact de reden dat ik firefox gebruik (nouja... gebruikte het al voor dat chrome Łberhaupt in ontwikkeling was).
Hij mag de waarheid spreken. Ik ben het zelfs met hem eens. Ook met jouw reactie over het meeleveren van Chrome bij freeware. Maar de score is in het moderatie-beleid wel correct, het is een off-topic opmerking.
Moderatie is niet bedoelt om je mening te geven over een opmerking, maar om de toegevoegde waarde aan de discussie te waarderen.
Als een browser voor mensen doet wat het moet doen, waarom moeten ze dan veranderen van browser? Als ze alleen nu.nl, buienradar.nl en nog wat sites openen, die werken gewoon prima?

Het probleem zit hem namelijk in het feit dat ze het wel weten, maar niet de voordelen ervan inzien waardoor overstappen (ook binnen Internet Explorer) geen toegevoegde waarde heeft. Of ze hebben verkeerde ideeŽn (bv"kan ik mijn favorieten dan wel meenemen?") waardoor ze de stap niet nemen.
Nou met al die Chrome reclame spam weten ze dat echt wel. LOL.
Er is alleen 1 verschil tussen de zero-day in Internet Explorer en de zero-days in Firefox die je benoemt en dat is dat de zero-day in Internet Explorer actief in het wild wordt misbruikt. Daarentegen zijn de kwetsbaarheden in Firefox door researches aan Mozilla gemeld en vormen ze op die manier geen risico.

Het belangrijkste dat je vergeet is dat je met een gat hooguit een browser kan laten crashen en niet kan infecteren. Je zult echt een exploit om een gat moeten bouwen voordat een cybercrimineel malware op je computer kan droppen.
Het zijn zero-day gaten, als researchers ze aan Moziila zou melden zijn het geen zero-day gaten maar gewone vulnerabilities. Zero-day betekend dat ze gebruikt werden voor dat ze ontdekt zijn. Die researchers hebben het dus ontdekt NA (of tijdens) een aanval.
Je ziet het verkeerd.

Je verwart een zero-day kwetsbaarheid die in het wild wordt misbruikt met kwetsbaarheden die door onderzoekers zelf worden gevonden

Ik zal FireEye quoten met de definitie van een zero-day attack:
"This term is defined as software or hardware vulnerabilities that have been exploited by an attacker where there is no prior knowledge of the flaw in the general information security community, and, therefore, no vendor fix or software patch available for it."

Kwetsbaarheden die door researches worden ontdekt zijn over het algemeen het resultaat van eigen onderzoek. Dit kan bijvoorbeeld gedaan worden door een programma te fuzzen of te reverse engineeren

Mocht het aantal zero-day kwetsbaarheden dat in het wild wordt misbruikt echt zo hoog zijn als je beweert dan zou niemand meer het internet veilig op kunnen gaan.

Ik zal je een lijstje geven van de zero-day kwetsbaarheden die in het wild werden misbruikt sinds september 2013.
(Ik kan er wat missen, dit doe ik even uit mijn hoofd)

CVE-2013-3893 (IE)
CVE-2013-3897 (IE)
CVE-2013-3906 (MS Office)
CVE-2013-3918 (IE)
CVE-2013-5331 (Flash)
CVE-2014-0322 (IE)
CVE-2014-0497 (Flash)
CVE-2014-0502 (Flash)
CVE-2014-0515 (Flash)
CVE-2014-1761 (MS Office)
CVE-2014-1776 (IE)

Dit is slechts een fractie van het totale aantal kwetsbaarheden dat gedicht is door Microsoft en Adobe.
Gaat erom of ze aktief misbruikt worden. Ieder pakket is lek alleen de lekken moeten vaak eerst nog gevonden worden.
Zero-day betekent dat het onbekende lekken zijn die pas ontdekt worden nadat het lek misbruikt wordt, dus ja, ze worden ook daadwerkelijk gebruikt.
IE is ook meer bedrijfsgericht dan FireFox ;) firefox zit echt niet in een standaard stock image bij een bedrijf ;)
Daarom is die heisa er ook nog eens.

Voor bedrijven is dit nu echt ideaal om via zulk soort berichten over te stappen op Windows7 duhhh ;)
Firefox wordt niet standaard meegeleverd met Windows. Men neigt al snel om IE te gebruiken omdat die er toch al op staat.
Ikzelf gebruik Firefox en heb nergens last van (tot op heden)
Dat komt omdat IE meegeleverd wordt met heel veel Windows PC's... je weet wel 90% markt aandeel of zoiets? Daarom denk ik. Opzich ook wel goed dat ze toch nog ff een XP update doen. Tsja, mensen moeten echt af van XP....

[Reactie gewijzigd door Texamicz op 2 mei 2014 07:25]

Wel, in de huidige Firefox versie zitten 3 zero-day gaten die al bekend zijn
Bekend bij wie?
Als ze publiek bekend zijn is dat namelijk wel en probleem.
Maar dan moet er ook wel wat info over op het internet te vinden zijn en dat zie ik nu niet.
Dat is de selectieve journalistiek die je vaak ziet als het over Microsoft gaat.
Als je ziet hoeveel lekker er in andere software zit zoals bijvoorbeeld Firefox , Android, IOS, OSX (ook flash gerelateerd) is het heel vreemd dat die niet dezelfde aandacht krijgen, dit zijn toch ook software pakketten die wereldwijd veel gebruikt worden.
Het lijkt me eerder dat google wat geld gestopt heeft in het verspreiden van de paniek ;)
Dat heeft waarschijnlijk meer te maken met het feit dat het lek in IE actief misbruikt werd. Daarnaast is niet ieder lek eenvoudig te misbruiken en kun je dus niet alle lekken over ťťn kam scheren.
Wat wel apart is, is dat je de update zelf moet aanvinken. Het is dus geen update die meteen automatisch geinstalleerd wordt... :? Gezien de aard van de patch lijkt me dat toch wel noodzakelijk...?
Wat je wel of niet moet aanvinken staat (in principe) los van wat automatisch geÔnstalleerd wordt. Microsoft geeft aan dat deze update automatisch wordt geÔnstalleerd.

Op https://technet.microsoft.com/library/security/ms14-021 is overigens een lijst te vinden met de handmatige updates, als je die los wilt downloaden. Echter lijken de sets nog niet compleet: ik kreeg bij sommige updates een 404, soms een 404 bij de Dutch versie en soms staat de Dutch-versie er nog niet bij.

De pagina wordt echter wel actief bijgewerkt dus het zal een kwestie van tijd zijn tot de lijst actueel en compleet is.

Voor elke combinatie van besturingssysteem, IE-versie en bits-versie is een aparte update vrijgegeven: flinke serie dus!
Ik vermoed dat als het niet aangevinkt is, dan is de download nog niet compleet. Zodra de download binnen is, is het ook aangevinkt.
loos alarm man, allemaal onzin. dit lek zit er al zo'n 8 jaar in ( sinds ie6 ). je loopt nog even veel gevaar als 3 weken geleden.
Dit kan ik zeggen als beginnend-ervaren ICT-er en werkzaam bij een bedrijf dat ICT-infrastructuren bij bedrijven beheerd.

zolang er niet naar onbekende/vreemde/illegale/gevaarlijke websites word gesurft en geen links worden aangeklikt in onbetrouwbare e-mails is er niets aan de hand.

Maar wacht!! dit is normaal advies en zou je dus altijd moeten doen en niet alleen nu er een lek is gevonden :')

(let-op! niet persoonlijk, maar voor iedereen en alle dipshits die hier over flippen :) )
Bedrijfen kunnen ook beter met een whitelist werken van sites die ze toestaan.
Beperkt die toegang van je mederwerkers gewoon flink en dan is het risico al gigantisch veel minder. Kan ook gigantisch veel traffic schelen als je sites als spotify en/of youtube niet whitelist
jij begrijpt het :)
Microsoft zag dat overheden hun burgers oproepte om niet IE te gebruiken, waardoor burgers op zoek gingen naar andere browsers en deze ook ontdekte. Deze groep zal waarschijnlijk ook niet meer snel terug switchen omdat ze de nieuwe browser al gewend zijn en waarschijnlijk sneller zal werken dan IE. Waar ik als webontwikkelaar natuurlijk ontzettend blij mee ben! Bedankt overheid voor jullie steun!

[Reactie gewijzigd door Xieoxer op 1 mei 2014 23:08]

Gewoon zijn op minder dan 1 week tijd? Lijkt me sterk
Ik begrijp dat je dol wordt van patches en lekken, maar je gaat voorbij aan de moeite die gedaan moet worden om een lek daadwerkelijk te misbruiken. Ja, er is een kans dat een lek misbruikt wordt en ja, die lek moet dus gedicht worden. Hoe klein of groot die kans ook is.

Je uitspraak 'zo lek als een mandje' geeft een beeld van een vergiet en dat is dus klinkklare onzin. En de uitspraak 'heeft slechtste browser ooit' slaat ook nergens op. IE6 was inderdaad een dieptepunt, maar momenteel (IE10/IE11) zijn top-browser die volledig voldoen aan de standaard.

Ik gebruik overigens IE, Chrome, Firefox en Safari :)
Ik gebruik overigens IE, Chrome, Firefox en Safari
Wat is je voorkeur ?
Dit is de mijne: Firefox, Chrome, IE|Safari. Ik vind IE enorm log, zeker na starten. Het helpt niet dat ze standaard msn als homepage instellen. Maar het is geen eerlijke vergelijking: zonder noscript en adblock plus zou firefox waarschijnlijk ook log zijn op start.
Als 'voorkeur' aangeeft wat ik het meest gebruik, dan is dat Internet Explorer (11).
Ik vind het erg prettig dat de URL's van websites die ik bezoek (tabbladen, favorieten, geschiedenis, instellingen, etc) automatisch worden gesynchroniseerd onder al mijn Windows apparaten. Daarnaast gebruik ik de 'leesweergave' ook veel, echt superhandig.
Ik zit op 'Win 8.1 Update' en vind IE alles behalve 'log'. Dat was in het verleden zeker anders.
Adblock plus is er ook voor IE en je kunt met IE ook tracking protection lists downloaden als je tracking scripts wilt inperken.
https://adblockplus.org/en/internet-explorer
https://easylist.adblockplus.org/en/#easyprivacytpl
OT: Toch wel knap, IE in 1993 terwijl het pas in 1995 opkwam :)
Vind het netjes dat ze xp ook meenemen. Hadden ze niet hoeven doen maar gezien de aantallen die er nog actief in omloop van zijn toch slim.
Vooral netjes omdat Microsoft er zelf voor kiest nodeloos Internet Explorer te koppelen aan het besturingssysteem. Een gezonde browser is te updaten zonder dat het volledige besturingssysteem te updaten is!

Dit lek had helemaal geen probleem hoeven zijn voor Windows XP, tenminste, niet groter dan voor andere Windows versies...
OSX heeft anders precies hetzelfde 'euvel' met webkit. Webkit zit heel erg diep in OSX geintergreerd. Net als onder Windows, wordt ook bij OSX de browser engine (bij Apple dus webkit) gebruikt voor Help Viewer.

Onder OSX kun jij voorbeeld ook niet de Gecko (FF) engine gebruiken in combinatie met Help viewer. Onder KDE heeft de KDE file manager (Konqueror) een hardcoded dependency op Webkit (eerdere versies van KDE gebruikte KHTML).

Je kan Microsoft een hoop kwalijk nemen, maar Microsoft heeft al meerdere malen de EOL deadline voor XP opgeschoven om gebruikers meer tijd te geven. Wat voor excuus heeft bijvoorbeeld onze overheid (met honderd duizenden computers nog steeds op XP) voor het niet upgraden naar Vista, Windows7 of Windows 8? Dat een aantal afdelingen niet kunnen upgraden naar een nieuwe Windows versie vanwege maatwerk kan ik wel begrijpen, maar de groep waarvoor dit speelt is gewoon te groot. XP is al sinds 2006 obsolete verklaard door Microsoft. Daarbij is er geen enkel ander besturingssysteem welke na ruim 12 jaar nog steeds updates ontvangt..

Nu applicaties steeds vaker een HTML based interface krijgen, zal de integratie met de native browser van het OS alleen maar groter worden..
Dat het zou moeten zijn dat Microsoft zonder blikken of blozen nu de ondersteuning op XP zou kunnen stopzetten staat hier niet ter discussie. XP is al langer dan dit jaar onveilig. Sowieso vergeet men in de discussie over het Windows XP SP3 EoL voor het gemak de talloze XP machines die reeds al jaren zonder updates aan het internet hangen, met een beetje pech met SP2 of god verhoede nog ouder. Maar nogmaals: het gaat hier niet om het updaten van het besturingssysteem, maar om updaten van de browser. Indien de twee hetzelfde zijn, zijn er grote fouten gemaakt tijdens het opzetten van het besturingssysteem.

Er zit nogal een verschil tussen het gebruik van een geintegreerde html engine om lokale handelingen te verrichten, en koppelen van dezelfde engine aan je eerste verdediging tegen de buitenwereld. Zeker wanneer je je html engine voor crucialer zaken dan een help viewer gebruikt horen wijzigingen in de interne engine veel conservatiever doorgevoerd te worden ten opzichte van wijzigingen in een browser, die juist per definitie constant bijgewerkt moet worden. Hoe belangrijker de html engine wordt voor lokale handelingen, hoe belangrijker een dergelijke scheiding juist wordt!

Ergens kan ik nog wel begrijpen dat dit in de oorspronkelijke versie van XP niet was voorzien. 2001, andere tijden (uitblijven van een oplossing in de 13 jaar sindsdien is echter onbegrijpelijk.) Microsoft heeft hetzelfde probleem echter ook voor zichzelf en haar gebruikers wederom gecreŽerd in Vista. Ik vermoed zelf niet zozeer vanwege onkunde, maar vanwege een dit jaar bewezen ineffectieve en achterhaalde poging om gebruikers een extra reden te geven om hun besturingssysteem te updaten.

En nee, dit is geen ingewikkeld probleem om op te lossen. Een dergelijke scheiding tussen interne html engine en de browser is zelfs simpel genoeg door te voeren door iedereen met genoeg rechten om software te installeren: Zet er een browser op die in geval van Windows niet op Trident draait. Indien je daarbuiten de locaties waarie IE je dan nog mee verbindt niet vertrouwt omdat je onder XP "Windows Update" wilt uitvoeren (oops) of IE6-only apps op je eigen intranet wilt uitvoeren (oops), dan heb je meer problemen dan een OS ontwikkelaar die pretendeert anno 2014 het verschil niet te kennen tussen een OS en een browser.
Het lek is ook geen groter probleem op XP dan op enige andere browser. XP wordt gewoon niet meer ondersteund, er zou dus geen patch voor dit lek komen. Dat zou de enige factor zijn die het probleem groter zou maken. Een factor die het kleiner maakt is dat aanvallen zich vooral richtte op IE9-11, geen van de 3 is beschikbaar op XP.
Is het wel een update van het OS (w.o. XP) of eigenlijk toch van Internet Explorer (en daarmee OS en dus XP onafhankelijk)?
Blijft wel dat je het moet testen op XP voor je het uitrolt :)
In principe is het een update aan Internet Explorer 6, hoewel het OS onafhankelijk is, heeft het wel invloed op Windows XP, aangezien IE ver geÔntegreerd zit in Windows.
Waarom fix naar XP komt: Het Team High Tech Crime van de Nederlandse politie raadde dan ook af om Internet Explorer te gebruiken.
M.a.w. negatieve reclame voor IE, zorgt ervoor dat mensen overstappen naar een andere browser. ;)

Zelf vind ik dat de browsers nu maar eens met een plugin-when-needed systeem moet komen. Waarom moet flash-player, java, etc. altijd actief zijn? Op dit moment gebruik ik op Chrome Ghostery met de modus click-to-play, wat er al voor zorgt dat flash (video's) niet worden geladen en dus ook het probleem wat fixed. Maargoed dat neemt niet het probleem weg, het omzeilt het zeg maar. :P
Alleen maakt het niet uit welke browser je gebruik op Windows XP, het is allemaal even onveilig, je kan geen stevig huis bouwen als de fundering niet goed is. Of je nu IE, Firefox of Chrome gebruikt op XP, het is allemaal even onveilig. Het is zelfs onveiliger om dan Firefox en Chrome te gebruiken omdat je zou denken dat je veilig bent, beter een onveilig gevoel dan een vals gevoel van veiligheid.
Zelf vind ik dat de browsers nu maar eens met een plugin-when-needed systeem moet komen

Voor bepaalde plugins heeft Internet Explorer dat sinds - schrik niet - versie 8. Dat heet ActiveX filtering en blokeert alle plugins van die soort. O.a. de DLL die dit nu befaamde lek bevatte was op die simpele wijze uit te schakelen. Eťn van de redenen ook waarom de 'paniek' zo verschrikkelijk waanzinnig overdreven was.

Je krijgt dan een symbooltje in je URL bar als een website een bepaalde plugin wil gebruiken. Je kunt dan zelf beslissen of je de pagina wilt herladen met die ActiveX plugin.
Iedereen die IE10/11 gebruikt, standaard aanraden in protected mode/64bit mode te draaien. (java, flash en andere 64bit plugins blijven gewoon werken)

En wie nog geen EMET heeft, snel downloaden en instaleren.
Goed, advies, en daarbovenop zou ik ActiveX filtering ook op aan zetten tenzij je veel op interne bedrijfswebsites zit.

Tools -> ActiveX filtering

Je filtert dan op bepaalde bloated sites (zoals de Telegraaf) gelijk veel semi-reclame meuk.

Mocht toch een ActiveX plugin nodig zijn, klik je op het blokeer-iccoontje in de URL bar en die pagina wordt dan eenmalig uitgezonderd en automatisch herladen.

Alleen al dat runtime vinkje had bijvoorbeeld dit lek al 100% voorkomen, omdat de DLL die het lek bevatte dan niet automnatisch geladen werd.
Of gewoon lekker niks doen aangezien de kant dat een tweaker geinfecteerd word nihil is zolang hij in de gaten houd wat hij of zij doet.
Da's onzin. Je kunt ook zo maar via een besmette adserver besmet raken hoor, zelfs hier op Tweakers.
Ach op mijn bedrijf gebruiken we nog Windows XP met IE 8 :+

Meerdere keren hiervan wat gezegd tegen de mensen die de beslissingen nemen maar ze geven liever geld uit aan iets anders , de zoveelste google play applicatie o.a |:(
Klopt ik ken het. Beveiliging doet ze vaak niks, sommige zijn er echt blind voor; "ik heb toch niks te verbergen"
Kan het zijn dat de update voor XP alleen binnen komt voor de bedrijven die daarvoor betalen? (onze rijksoverheid bijvoorbeeld). Maargoed, dit hoeft Microsoft eigenlijk niet meer voor XP te ondersteunen, al meer dan 10 jaar ondersteuning voor zo'n oud besturingssysteem, dat zie je niet bij consumentensoftware.
Uit het artikel.
De softwaregigant zegt bovendien dat er ook een update komt voor Internet Explorer op Windows XP, maar wanneer is onbekend.
Dus ja hij komt ook voor XP gebruikers die niet betalen, wel bij uitzondering overigens.

[Reactie gewijzigd door The-Priest-NL op 1 mei 2014 20:20]

Alle browsers hebben hun plus en minpunten. Zo is de Flash player van Chrome niet een van de meest efficiŽnte. Kwam we laatst achter dat op de wat oudere machines de processors 100% worden misbruikt en je nog issues heb met (1080p) video (sound sync, stuttering). IE met Flash had niet het issue met veel proc kracht te misbruiken maar zorgde nog steeds voor skipping. Alleen Firefox met de losse Flash player zorgde in beide gevallen voor een bug vrije afspeel ervaring.

Jammer genoeg zijn er nog zat html5 implementaties die nog niet optimaal zijn (YouTube I'm looking at you) en das dan ook nog de enige reden waarom ik Flash gebruik.
Ik gebruik al tijden de HTML5 speler op Youtube in Firefox, en hij werkt tot nu toe perfect (op Linux icm gstreamer videodecoding).
IE10 en IE11 met HTML5 werken ook uitstekend met YouTube :)
IE tijdperk is aflopen slechte browser die kunt hebben is IE.
sorry hoor mensen IE gebruiken is gewoon zakelijk omdat de IT afdeling alleen IE ondersteunt.
Add ons in firefox en chrome bieden extra beveiligingen en handige add ons.
terwijl niemand echt iets voor IE add ons maakt
Ik kom drie soorten situaties tegen:
#1 Mensen die IE gebruiken omdat ze dat altijd hebben gedaan.
#2 Mensen die IE gebruiken omdat ze wel moeten omdat de applicaties die ze gebruiken IE vereisen. Dat kan interne applicaties betreffen en/of externe applicaties waar het bedrijf zelf 0,0 invloed op heeft.
#3 Mensen gebruiken omdat de IT afdeling geen Firefox of Chrome wil installeren en beheren. Dit komt meestal omdat er geen budget voor is, want die applicaties moeten ook intern getest en beheerd worden, zeker in 'veilige' omgevingen vergen extra browsers een hoop werk (als je het goed wil beheren). De business/management wil vaak niet opdraaien voor de kosten en de IT afdeling zit niet te wachten op nog meer werk.

In het MKB is het allemaal wat minder strak en ik installeer op PCs/laptops standaard Firefox en Chrome mee. Maar daar zijn wij dan ook niet verantwoordelijk voor de veiligheid van de PCs/laptops omdat de klanten standaard admin rechten hebben en we geen invloed hebben op wat ze precies doen op die dingen. Ook op onze RDS servers draaien we alle drie, daar zijn we natuurlijk wel verantwoordelijk voor de veiligheid, maar moeten we concurreren met andere aanbieders en klanten nee verkopen op Firefox en/of Chrome is jezelf in de voet schieten (en is al meegenomen in de kosten berekening). In Enterprise omgevingen zit het natuurlijk heel anders.

[Reactie gewijzigd door Cergorach op 4 mei 2014 12:37]

het enige waar mensen op algemeen IE troep gebruiken is FAVORIETEN.
Zelfs dome neefje haalt leuke virussen binnen via IE.
terwijl chrome leuke goed ingesteld tegen malware etc.
Hoe doe je favorieten dan zelfde bij me ouders na bepaalde IE verwijderd.
Dat zit ook al in IE10/11 hoor, en flash in Chrome wordt ook gemaakt door het Chrome team dus logisch dat ze die ook patchen wie moet het anders doen?
Ik heb nieuws voor je: Internet Explorer installeert al sinds jaar en dag updates, ook major updates worden sinds enkele maanden al gepushed voor IE9 of lager, en IE10 update sowieso al altijd naar de laatste major release.
flash zit tegenwoordig in ie (11). verder hebben de meeste mensen gewoon windows updates aan, dus IE update dan ook keurig..
Ben verbaasd dat ze XP ook nog meenemen met deze lek.
Ben benieuwd of deze patch in 1 keer de juiste is. Heeft toch bijna een week geduurd voordat de patch er is.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True