Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft gaat ernstig lek in Internet Explorer 8 patchen

Microsoft is van plan om het ernstige lek in Internet Explorer 8, dat deze week bekend werd gemaakt, uiteindelijk te gaan dichten. Het is alleen niet duidelijk wanneer de patch precies beschikbaar zal komen.

Microsoft laat tegenover Infoworld weten dat er uiteindelijk een patch voor de kwetsbaarheid in Internet Explorer 8 komt. De softwarereus zegt alleen niet wanneer dit het geval zal zijn, zo schrijft Infoworld.

Er bleek donderdag al maanden een ernstig lek in Internet Explorer 8 te zitten dat nog niet is gedicht. Het zogeheten Zero Day Initiative onthulde de kwetsbaarheid. Die organisatie heeft het beleid om details over kwetsbaarheden naar buiten te brengen als ze niet binnen 180 dagen zijn verholpen.

Uit de informatie kwam naar voren dat het lek door kwaadwillenden kan worden misbruikt via zelf opgezette of overgenomen websites, wat kan leiden tot de uitvoer van code met de rechten van de ingelogde gebruiker. In het ernstigste geval kan zo een systeem compleet worden overgenomen.

Internet Explorer 8 is beschikbaar voor Windows XP, Windows Vista en Windows 7. Voor eerstgenoemde komt in ieder geval geen patch meer, omdat de softwareondersteuning is beëindigd. Er zijn bij Microsoft geen gevallen van daadwerkelijk misbruik van het lek bekend. Het is niet duidelijk waarom Microsoft het lek zo lang ongepatcht heeft gelaten.

Door Yoeri Nijs

Nieuwsposter

23-05-2014 • 20:06

61 Linkedin Google+

Reacties (61)

Wijzig sortering
Microsofts reactie volgens threatpost.com
We are aware of a publicly disclosed issue involving Internet Explorer 8 and have not detected incidents affecting our customers. We build and thoroughly test every security fix as quickly as possible. Some fixes are more complex than others, and we must test every one against a huge number of programs, applications and different configurations. We continue working to address this issue and will release a security update when ready in order to help protect customers. We continue to encourage customers to upgrade to a modern operating system, such as Windows 7 or 8.1, and run the latest version of Internet Explorer which include further protections,” a Microsoft spokesperson said.
De ondersteuning voor XP mag dan wel beëindigd zijn, het is vreemd dat de fix die op vista en 7 werkt niet kan geinstalleerd worden op XP. In principe is IE over de verschillende besturingssystemen toch hetzelfde?
Nop, IE voor Windows XP is een ander programma dan IE voor Vista en 7, zelfs als je het over IE8 in het bijzonder hebt. IE8 voor XP is op een andere manier geïntegreerd met Windows, daarom is het moeilijk om 1 patch werkende te krijgen op een ander OS zonder iets te veranderen in de patch. Natuurlijk zal het zeker niet zoveel werk zijn om het te backporten, en dat zal ook gebeuren, maar de update wordt uiteindelijk alleen nog verspreid naar klanten die betalen voor Windows XP updates...
Punt is ook dat als men de update wél verscheept er twee dingen gebeuren:

- ergens in Azie (waar het merendeel van de gebruikers van XP zit) stopt een of andere random applicatie die IE8 gebruikt met werken, en talloze bloggers schijven lelijke dingen over Microsoft.

Het grootste probleem zit hem vaak niet in het maken van een fix, maar het daarna uitvoeren van talloze compatibiliteits testen. Nu voert men die alleen uit voor die betalende klanten en de specifieke applicaties die zij gebruiken.

- al die XP gebruikers roepen, zie je wel valt reuze mee. Ik hoef helemaal niet te upgraden. Geen grapje, dat zag je op talloze fora ook voorbij komen toen het vorige kritieke IE-lek toch naar XP kwam.
IE is al sinds jaar en dag volledig geïntegreerd in Windows. Zelfs bij de versies zonder IE, draait explorer simpelweg als een schilletje boven op de IE engine.

Vandaar dat het niet simpelweg een los programma patchen is, maar het volledige besturingssysteem.
Toch is er sinds IE7 iets vreemds. Tot en met IE6 kon je ook in de verkenner een web-adres intypen en die werd dan in de Windows Explorer geopend. IE was feitelijk dezelfde GUI als de Windows Explorer. Sinds IE7 wordt dan een apart venster geopend als je in de Windows Verkenner een web-adres intypt.

Volgens mij is de backend wel volledig geintegreerd (moet ook wel, vanwege bijv. Microsoft Update), maar de front-end is tegenwoordig iets losgetrokken. Waarschijnlijk vanwege druk vanuit de EU?

[Reactie gewijzigd door Trommelrem op 23 mei 2014 20:37]

Word gewoon "omgeleid", je kan nog steeds FTP gebruiken in explorer.
Control panel word ook nog veel via trident gerenderd.
Niet helemaal. IE11 voor Windows 7 is bijvoorbeeld weer iets anders dan die voor Windows 8.1. Voor Windows 8 bestaat IE11 niet eens.
Wat Trommelrem zegt: Voor Windows 8.0 is er geen IE11.
MS laat 8.0 vallen als een baksteen omwikkeld met loodzware kettingen. Geen probleem voor de thuisgebruiker met OEM/Retail installaties -> gratis upgrade naar 8.1.
Voor bedrijven betekent dit een nieuwe installatie van een toestel. Voor de KMS/MAK installaties is er geen upgrade naar 8.1.

ontopic:
Dit zou al de 2de patch zijn die MS zou kunnen publiceren voor XP nadat de support officieel gedaan is. Volgens mij kunnen ze het niet maken om dit te doen, er zijn namelijk bedrijven/instancies die nu veel geld betalen voor een extended support op hun XP toestellen. Om dan na de officiele support toch "gratis" ondersteuning aan te bieden ...
Voor bedrijven betekent dit een nieuwe installatie van een toestel.
Dit is de reden dat ik op m'n werk nog met Windows 8 werk. Het compleet opnieuw configureren van het systeem voor de upgrade naar Windows 8.1 is teveel werk om even gauw te doen, aangezien het systeem dagelijks intensief gebruikt wordt.
Ik snap niet dat ze oude versies nog steeds patchen. Er is toch al een nieuwe versie! Firefox gaat toch ook geen bugs pletten van versie 7, 16, 22... Evenals Chrome. Een nieuwe versie is toch onder andere bedoeld om bugs te pletten in de vorige versie. Als de nieuwste versie maar geen bugs heeft. Draai je toch een oude versie, dan moet je niet zeuren als een expoit ineens misbruikt wordt.
Onbegrijpelijk dat je een +3 hebt. Bij heel erg veel bedrijven is er geen mogelijkheid voor gebruikers om IE even te updaten naar een nieuwe versie. Die PC's zijn allemaal dichtgespijkert wat een gebruiker er wel en niet mee mag doen. Je wilt niet weten hoeveel bedrijven er zijn (echt belachelijk veel) waarbij de gebruikers op IE8 of IE9 zitten, simpelweg omdat die niet zomaar even geupdate gaan worden. Daar gaat een heel lang en burocratisch process aan vooraf alvorens die systemen een update krijgen naar nieuwe software.

Zo zijn er veeeel bedrijven die software hebben laten ontwikkelen die (helaas) alleen maar correct werken op oudere versies van IE. Die software updaten kost bakken met geld, dus dat gaat niet zonder meer zomaar gebeuren. Dus ja, ook de oudere versies van IE moeten simpelweg gepatched worden.

Echt heel vreemd dat op een site als tweakers.net je een +3 krijgt voor een dermate slecht inzicht. Ik had eerlijk gezegd wel verwacht dat het technisch niveau hier een stukje hoger zou zijn.
Waarvan akte!

Als er een lek in een oude versie van FF of Chrome zit hoor je er niemand over. Zit er een lek in een oude (bejaarde....) versie van IE dan schreeuwt de media haat en nijt en begint het MS bashen weer van voor af aan.

Onbegrijpelijk vind ik dit.
Nederlandse bedrijven die volledig geintegreerde slaaf zijn van MS producten.

Er zijn ook talloze mensen die bewust IE gebruiken omdat het de meeste snelle, meest W3C compatible en met IE11 ook meest veilige browser is die momenteel op de markt is. Juist de hete adem van Chrome en Firefox heeft met IE10 en IE11 Microsoft aangezet tot flinke verbeteringen.

Verder is het regionaal ook erg verschillend. Europa en Nederland in het bijzonder is juist een uitzondering in het lage IE prive gebruik
Toch geeft Chrome vrij veel geld uit om hun browser goed te beveiligen.
Let wel, ik zeg niet dat Chrome slecht of onveilig is. Chrome is een uitstekende browser en ook niet onveilig.

Het is alleen dat veel mensen een enorm vooroordeel tegenover IE hebben. Soms gewoon een vooroordeel, maar vaak vanwege historische prolemen met oude versies.

In IE10/11 zijn gewoon een flink aantal verbeteringen toegevoegd op belangrijke terreinen, waaronder met name security.
"...Met IE11 ook de meest veilige browser..."
Right.... Vandaar dat nog geen 4 weken geleden er wereldwijd werd geroepen om IE (ongeacht welke versie) vooral NIET te gebruiken. http://www.nu.nl/tech/376...ik-internet-explorer.html
Hier de bevestiging van Microsoft zelf: https://technet.microsoft.com/en-US/library/security/2963983

[Reactie gewijzigd door 26779 op 24 mei 2014 15:54]

Dat werd door Homeland security geroepen omdat het lek actief gebruikt werd, niet vanwege de ernst. Reuters miste die context, schreef een persbericht en de rest is geschiedenis. Heb je de discusie op tweakers gemist?

Dat lek was namelijk niet eens zo ernstig zoals uitvoerig toen besproken, want vereiste bovendien en een ongepatchde Flash om te exploiteren en was in een exotische component die makkelijk uit te zetten was (enhanced protected mode, Active X filtering of gewoon die specifieek component).

Diezelfde maand werd een andere veel gevaarlijkere zero day in IE gevonden, maar die kreeg bijna geen aandacht :) (Net zoals de zero days in Chrome en Frirefox van diezelfde maand... O-) )

Mijn punt was ook niet dat IE perfect is, of bijvoorbeeld Chrome slecht. Enkel dat IE wanneer alle veiligeidsopties aangezet worden, wel degelijk momenteel de meest veilige is. In combinatie met EMET zelfs nog nooit gehacked ...
Er zijn ook talloze mensen die bewust IE gebruiken omdat het de meeste snelle, meest W3C compatible en met IE11 ook meest veilige browser is die momenteel op de markt is.
Dat meen je toch niet serieus, hè? Mag ik vragen hoe je daarbij komt?
Uit de meeste benchmarks kom IE als de snelste.

W3C zelf stelt dat IE11 de meeste compatibel is.

En IE11 heeft - anders dan het stereotype beeld dat mensen graag blind geloven - de beste beveiliging op vrijwel elk terrein. O.a. SSL certificaat controle (standaard uit in Chrome), maar ook via enchanced protected mode de enige die volledig in een sandbox kan draaien. In combinatie met EMET is IE11 zelfs nog nooit gehacked. En dat voor een browser die al 1,5 jaar op de markt is ...

Mensen lezen nu eenmaal minder over Chrome en Firefox fixes, terwijl ook daar zero days aan de lopende band gevonden worden. Meeste problemen met IE producten zijn verder te wijten aan plugins en niet IE zelf. Tweakers zelf rapporteerde 95% vorige jaar.

Grote probleem is vooral dat veel mensen op oude IE versies blijven hangen met minder veiligheidsfeatures, waar met Chrome/Firefox men vaak upgrade. Het blijven exploiteren van oude lekken is dan onzinnig want niemand gebruikt die nog. Maar de TOR-versie van Firefox die enkele versies achter loopt bijvoorbeeld is ook een geliefd doelwit van de NSA omdat het ongepatchde zaken bevat. Immers daar upgraden mensen juist minder vaak/snel ...

IE 10 en 11 zijn echte grote stappen vooruit op gebied van veiligheid, snelheid en compatibiliteit. En daar hebben we de concurentie voor te bedanken.
W3C zelf stelt dat IE11 de meeste compatibel is.
Dat is leuk in een wereld waar de standaardmaker het web bij zou kunnen houden wel ja. Veel features die een defacto standaard zijn duren heel lang voordat ze door het W3C worden opgepikt.

Bovendien geloof ik niet zo meer in dat soort uitspraken nadat bekend is geworden dat IE9 valsspeelde in de SunSpider benchmark, bron

In een ideale wereld is IE11 misschien compatible, in de echte echter niet zo. Bovendien is IE11 alleen geschikt voor Windows 8.x en 7, dus 'veel' mensen kunnen 'm niet eens gebruiken..
IE 10 en 11 zijn echte grote stappen vooruit op gebied van veiligheid, snelheid en compatibiliteit. En daar hebben we de concurentie voor te bedanken.
Waarom "we". Ben je soms van Microsoft?

Ben je ingehuurd door Microsoft om te propaganderen? Als je beweringen doet, graag bronnen gebruiken want dan zie je zelf ook in dat je onzin vertelt. Ik maak gehakt van jouw "argumenten". Waarom? Zie hieronder.

Uit de meeste benchmarks kom IE als de snelste.
ONZIN volgens deze test.
Misschien wel in deze test maar dat is eigenlijk vals spelen omdat IE11 dichter op het besturingssysteem kan zitten. De lifehacker test is dan dus een betere test, omdat die niet alleen javascriptperformance meeneemt.

W3C zelf stelt dat IE11 de meeste compatibel is.
ONZIN Of het W3C heeft het fout, net als bij IE9. Waarbij ze een slechte test gebruikten. Maar volgens mij heeft W3C een gematigde houding naar het testen van browsers hieraan over gehouden. De HTML5 test laat zien dat IE11 niet slecht scoort, maar dat het nog steeds op de 5e plaats staat (van de 5 in de vergelijking.

In combinatie met EMET is IE11 zelfs nog nooit gehacked.
Kan zijn. Maar 99,99% van de mensen heeft nog nooit van EMET gehoord. Dus wees eerlijk, als je gaat kijken naar vanilla browser dan moet je dit soort add-ons niet meenemen.
Welke browser is dan de veiligste? Onmogelijk om daar een eenduidige conclusie op los te laten. Maar veiligheidslekken zijn te vinden in alle grote browsers. Punt.

[Reactie gewijzigd door Miks op 24 mei 2014 02:13]

Het helpt natuurlijk dat FireFox / Chrome etc automatische updaten in de achtergrond voor iedere versie. Men doet geen major release updates meer, waar toestemming voor nodig is.

IE zit je met het probleem. IE8 op je systeem => IE9 heeft toestemming nodig voor installatie.

Neem daar ook nog eens bij, dat heel wat bedrijven een lockdown hebben op te installeren software & updates. Een Update voor IE8 dat een klein element beïnvloed, kan grote gevolgen hebben voor het Intranet, of bepaalde programma's dat ze draaien in de browser.

Voeg daar nog een toe, dat niet ieder gebruik Windows Updates actief heeft. Ik heb een basis Windows 7 installatie ( zelf geen SP1 ), maar Windows Updates staan af ( voor meerdere redenen. Al de nodige frustratie gehad dat een update voor problemen zorgde, waar je dan uren zit te zoeken naar het probleem, tot je ontdekt dat x geupdate was en dat het dat was. ). Als IT'er ben ik volwassen genoeg om te weten wat ik installeer op men systeem, en verwacht ik een zeker voorspelbaarheid van men systeem. IE ... gebruik ik nooit op het testen van websites ( voor klant sites ).

Ken nog andere mensen dat liever zonder de updates werken, wegens de bovengenoemde reden.

Waarom aanvaard ik Chrome & Firefox updates, omdat hun release channel zo snel de releases uitbrengt, als er iets naar hell gedaan word, dat het bij de volgende release al weg is. Te vaak al gezien dat MS hun releases een bureaucratie zijn, waar "minor" problemen door een release soms maanden kunnen duren om opgelost te worden.

Nu dat is een persoonlijk iets...

Zie ook veel bedrijven dat vast zitten op oude browser zoals IE6, omdat het upgraden gewoon betekend dat hun applicatie niet meer werkt. En het is niet dat bepaalde applicaties te specifiek op IE6 geschreven zijn. Nee ... soms kan je gewoon door kleine verschillen in implementaties tussen de IE versie's voorhebben, dat bepaalde functionaliteit niet meer werkt.

Zou ik als developer graag iedereen op de laatste versies zie. Yea!! Maar zo lang MS stug vast blijft houden aan hun upgrade methode ... Had veel twijfel over Chrome / Firefox hun auto updates, maar sorry dat ik het zeg, het helpt ENORM om ervoor te zorgen dat mensen hun browsers niet outdated geraken.
Je hebt bijvoorbeeld zat bedrijven waarvan hun intranet niet werkt in een moderne versie van IE
Ik vind het helemaal niet onbegrijpelijk. Alle browsers behalve die van Microsoft kennen vele kleine iteraties die bij >90% van de gebruikers auto updaten.

Microsoft brengt daarentegen zeer infrequent grote versies uit, waarbij in het verleden deze nooit auto-update. Het resultaat is dat alle oude versies van IE nog massaal in het wild leven.

De kritiek op dit beleid vind ik 100% terecht. Het web wordt fors tegengehouden door oude IE versies die maar niet willen uitsterven.
Dat heeft te maken met het feit dat bepaalde zakelijke software niet overweg kan met de nieuwere browsers en specifiek voor een bepaalde versie van IE is geschreven. IE krijg je bij Windows en is dus in feite betaald, terwijl je voor browsers als Firefox en Chrome helemaal niks betaald.
Je schrijft helemaal geen website specifiek voor een browser. Het rendert gewoon niet zoals je voorzien had of je JavaScript geeft errors. Allemaal dingen die met en beetje effort te verhelpen zijn.

Helaas spenderen bedrijven liever 10 meetings aan "security" dan aan 2 developers die het probleem gewoon wegnemen 8)7

En voor aangekochte software: maak vooraf goeie afspraken met je leveranciers.
Je schrijft helemaal geen website specifiek voor een browser. Het rendert gewoon niet zoals je voorzien had of je JavaScript geeft errors. Allemaal dingen die met en beetje effort te verhelpen zijn.
Vroeger, voor IE6, dus wel ;-) IE6 had een eigen implementatie van de toenmalige standaarden die drastisch afweken van wat Netscape/Mozilla ondersteunde.

Een website/webapplicatie die werkte in IE6 hoefde dus helemaal niet te werken in Netscape Navigator, als je bijvoorbeeld iets als DX* functions (transformaties e.d) gebruikte dan kon je er vergif op innemen dat je site niet meer werkte in Netscape, en was je de sjaak.
Het problem is dus niet zozeer dat er voor betaald is maar omdat het in Windows geintegreed zit, een bedreiging vormt voor de hele computer.

IE valt meestal niet te verwijderen van oudere Windows versies.

En een hoop mensen zullen wellicht wel een ander browser hebben geinstalleerd, maar dan blijft er nog steeds een lek op de computer omdat de oudere IE er ook nog op staat.

Een kwaadwillend persoon hoeft dan in theorie dus alleen maar de gebuiker of de computer een keer IE te laten starten en verbinding te laten maken met een dubieuze website en de computer is geïnfiltreerd.

Daarbij komt dus ook kijken dat een hoop windows computers ook voor automatiseringstaken worden gebruikt waar in principe niet iemand op werkt aan standaard office applicaties, maar wat wel een specifiek stuk hardware (machine) aanstuurt.
Het is lastig als je denkt dat het per computer gebeurt maar, hackers scannen vele computers en gebruiken botnets.

We hebben het nier niet over "besmettingen" en heeft verders weinig met de gebruikers te maken maar alles met de computer beveiliging.

Als Microsoft lekken in computer laat zitten maakt het niet zoveel uit wat uw mening over werknemers is. Zoals eerder al aan gaf hoeft het helemaal niet te gaan om computers waar daadwerkelijk iemand op een kantoor mee aan het werk is.

Computers (ook met windows erop) worden voor allerlei toepassingen gebruikt en zitten vaak toch in een netwerk, denk bijvoorbeeld aan om processen te monitoren.
Wat ga je doen? IE verwijderen uit Windows? Succes ermee. Ja, er zit inderdaad een optie in om Internet Explorer te verwijderen. Maar doet het dat echt? Nee, het verwijderd alleen de koppelingen naar IE. Waarom? Een hele hoop in Windows wordt gerendeerd door Internet Explorer en Trident. Het Configuratiescherm, de help bestanden, alle Modern UI apps, etc. Windows zonder IE gaat gewoon niet.
Jawel hoor, de Europese Unie heeft Microsoft ooit eens verplicht Windows zonder Ie leveren. Het Is natuurlijk gewoon flauwekul dat je geen desktop OS zonder internet browser kunt hebben.

http://arstechnica.com/in...e-sans-internet-explorer/

https://en.wikipedia.org/wiki/Removal_of_Internet_Explorer

https://en.wikipedia.org/...icrosoft_competition_case
Microsoft heeft dat plan uiteindelijk opzij gezet omdat en toen kregen we het vervloekte BrowserChoiseScreen.eu. Windows 7 E-editions waren eigenlijk gewoon hetzelfde als normale Windows versies waar je het vinkje met IE uitschakelt: IE zat er nog steeds in, er waren gewoon geen zichtbare verwijzingen meer naar. Zoals ik al zei, heeft het configuratiescherm en diverse andere onderdelen van Windows IE (of onderdelen ervan) nodig.
Dit gaat over Windows :+
Nieuwste browser gewoon draaien? Je bedoelt standaarden.
Succes met zoeken dan, want die is er niet. :+
Dat doen ze nog steeds, ze blijven sowieso nog tot 2016 doorgaan met het ontwikkelen van patches voor XP.
Dat is toch enkel voor bedrijven die daar voor veel betalen? En natuurlijk XP embedded.
Dan moeten ze het voor hun toch ontwikkelen ;) ,
wel logisch om het niet alsnog voor xp uit te brengen anders heeft het voor bedrijven geen nut om alsnog extended te nemen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrisch rijden

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True