Internet Explorer opnieuw lek
Patch voorlopig niet beschikbaar
01 december 2003 | Jamie Biesemans
De Deense computerbeveiligingsfirma Secunia is een aantal nieuwe lekken in Internet Explorer op het spoor gekomen. In combinatie met elkaar bieden ze een aanvaller een kans in te breken op een pc. Voorlopig heeft Microsoft nog geen patch beschikbaar gesteld.
Tenzij de lekken die Secunia ontdekte ernstig genoeg blijken, zal een patch pas verschijnen in het maandelijkse bulletin dat door Microsoft wordt verspreid. Sinds de invoering van een nieuw MS-beleid rond waarschuwingen over lekken en andere beveiligingsproblemen wordt alleen in de ergste gevallen afgeweken van een maandelijkse patchdistributie.
Microsoft wil door een bundeling van patches bereiken dat kwetsbaarheden meer consequent worden aangepakt - en zorgt er meteen voor dat er ogenschijnlijk minder patches voor Windows en andere Microsoft-applicaties verschijnen.
In de waarschuwing van Secunia worden
vijf kwetsbaarheden in IE geïdentificeerd. Het gaat meestal om bugs bij het afhandelen van scripts.
Om een pc te beschermen tegen aanvallen worden scripts van op internet uitgevoerd in een afgezonderde zone. Hierdoor is interactie tussen een script en een bestand op de harde schijf in principe niet mogelijk. Maar juist dit proces blijkt dan toch mogelijk, aldus Secunia. Een gewiekste hacker kan met de juiste code toch een eigen programma uitvoeren in de My Computer-zone, de onbeveiligde zone waarin gewone applicaties draaien.
Een van de vijf is verwant aan een kwetsbaarheid die al eerder werd opgemerkt én gedicht. "Een variant van een kwetsbaarheid die eerder gepatched werd, kan nog altijd worden uitgebuit om de 'clicks' van gebruikers te kapen en bepaalde acties uit te voeren zonder medeweten van de gebruiker", zegt Secunia nog.
Aangezien er geen patch beschikbaar is om de kwetsbaarheden te elimineren, stelt Secunia voor om 'Active Scripting' af te zetten. Hierdoor worden scripts niet meer uitgevoerd door IE, wat ook tot gevolg heeft dat vele legitieme websites niet langer correct worden weergegeven. Het (tijdelijke) alternatief is een browser gebruiken van een ander merk, zegt het beveiligingsbedrijf.
Lees meer artikels over :
explorer, bulletin, lek, patch
bron: ZDNet
14/04/2009 21:54:15
Origineel bericht van teuniz 01/12/2003
gewoon even mozilla downloaden en je bent van die ellende af
14/04/2009 21:54:15
Origineel bericht van Frits test 01/12/2003
Heel microsoft is lek..ha ha
en maar veel geld vragen..dom dom
14/04/2009 21:54:15
Origineel bericht van sanderev66 01/12/2003
Ik denk persoonlijk dat de woorden 'Nog steeds' meer gepast zijn.
Je kan natuurlijk ook Opera, Netscape, Mozilla, etc. gebruiken.
14/04/2009 21:54:15
Origineel bericht van Gill Bates 01/12/2003
En wederom zie ik mensen weer berichten posten dat we vooral maar Mozilla, Opera of weet ik niet welke browser we moeten downloaden.
Die mensen vergeten 2 dingen:
1. Als zo'n beveiligingsfirma in de publiciteit wil komen, gaat zij naar lekken in Internet Explorer zoeken. Dat heeft de meeste impact. Het is erg naief om te denken dat er in Mozilla of Opera geen lekken zouden zitten. Echter, deze hebben minder impact, want minder mensen maken er gebruik van. Niet interessant dus. Praktisch elke Windows-gebruiker heeft Internet Explorer, dus dat is een grotere doelgroep.
2. Geloof het of niet, maar we hebben veel profijt van Internet Explorer. Het is de meest gebruikte browser (en nu niet roepen: het is ons opgedrongen; als mensen er echt niet mee kunnen werken, doen ze dat echt niet..en zelfs zijn het digibeten, praktisch iedereen kan een browser downloaden en installeren).
Internet Explorer wordt o.a. gebruikt in KaZaA. Veel ontwikkelaars kiezen voor IE omdat het zo gemakkelijk in hun software te gebruiken is. Zodoende hoeven zij zelf geen browser te schrijven om toch gebruik te kunnen maken van browsertechnologie. Deze importfunctie is overigens geen publiek geheim, Opera, Mozilla e.d. zou exact hetzelfde kunnen doen, maar zij laten dat na. Ik kan dus geen Mozilla of Opera in mijn programma's gebruiken. Erg dom. En nee, ze worden niet tegengehouden door Microsoft. Ten faveure van IE: het is makkelijk voor een programmeur om te weten dat IE standaard bij de gebruiker op de pc staat; zo voldoet een pc vrijwel altijd aan die eisen.
14/04/2009 21:54:15
Origineel bericht van -=- 02/12/2003
M$ producten hebben geen veiligheids-lekken, het zijn veiligheids-vergieten ....
Enne, wat heb je eraan als je zo'n vergiet in je eigen programma kan gebruiken ?? Dan geen browser-functie zou ik maar zeggen ...
14/04/2009 21:54:14
Origineel bericht van Jacob 02/12/2003
Jamie: "Het (tijdelijke) alternatief is een browser gebruiken van een ander merk, zegt het beveiligingsbedrijf." Waarom zou iemand "tijdelijk" moeten overstappen naar een andere browser als die net zo goed, zo niet beter, is dan IE? Bovendien zegt de beveiligingssite zelf: "Solution: Disable Active Scripting. Use another product."
Niks tijdelijk.
@Gill Bates: Als webmakers zich aan internetstandaarden houden kan IEDEREEN naar die site surfen. Dan praten we over KEUZE, nu is het DWANG. Bovendien is er geen IE voor linux. Leven we in een dictatuur of een vrij land?
Microsoft is trouwens ook lid van het World Wide Web Consortium (
www.w3c.org), maar toch houdt het zich alleen passief aan de webstandaarden (in IE, maar niet in website ontwikkelsoftware). Een kwalijke vorm van klantenbinding.
in de kijker »
reviews
Ubuntu kennen we als solide en bruikbaar linuxbesturingssysteem. Versie 12.04 heeft een nieuwe kernel en gebruikersinterface Unity is hier en daar bruikbaarder geworden.
lees meer »
news
Meer dan twee miljoen mensen hebben de herdenkingsplek voor de ramp van 11 september bezocht. Velen gebruiken technologie om alles uit de ervaring te halen.
lees meer »
news
Een ontevreden Facebookwerknemer besliste onlangs de richtlijnen voor het verwijderen van content te lekken aan nieuwssite Gawker. Dat deed het nodige stof opwaaien.
lees meer »
Game
Twintig jaar geleden redde een groepje naamloze helden de wereld. Nu is het aan een nieuwe generatie om de demonen terug richting de hel te sturen.
lees meer »
wedstrijden »
Win 6x Mission: Impossible - Ghost Protocol!
Doe mee »
