Nieuw Internet Explorer lek met exploit code ontdekt
Gebruikers van Internet Explorer zijn gewaarschuwd voor een nieuw lek in Internet Explorer waar tevens ook exploite code voor circuleert op het internet. Via het lek kan een aanvaller nu alleen nog een Denial of Service veroorzaken, maar er wordt hard gewerkt om het ook als aanvalsvector voor het uitvoeren van willekeurige code te gebruiken. Hierdoor zou een aanvaller het systeem via de lekke browser van Microsoft kunnen overnemen.
De kwetsbaarheid wordt veroorzaakt door een progammeerfout in Internet Explorer. Door het specificeren van duizenden "script action handlers", (zoals onLoad, onMouseMove, etc) voor elke HTML tag, kan een aanvaller de browser laten crashen. Iets wat op deze pagina gedemonstreerd wordt (LET OP! IE zal door deze pagina waarschijnlijk crashen). Het lek is getest op MSIE 6.0.2900.2180.xpsp2.040806-1825 op Windows XP SP2. Er is nog geen patch beschikbaar, andere browsers zoals Opera en Firefox zouden niet kwetsbaar zijn.
getest, maar ik zie niets gebeuren in m'n IE window.
[edit]
Funky, nu crasht IE dus wel...?
En daar crasht ie ook...
eerst doet de browser niks als je op die pagina komt maar dan loopt ie
vast...
getest en bij mij crasht ie lekker. FireFox heeft nergens
last van.
Zo kun je mogelijk nog wel meer dingen verzinnen waardoor IE
crashed. Netzoals als eerst een plaatje aanmaken van 50000
pixels ofzo. Zo is ook hier weer een soort zelfde principe.
Ik heb dezelfde truc toegepast met Firfox (de laatste versie) en inderdaad
treedt daar geen "crash" op.
Voor het browsen op internet zou ik daarom willen adviseren dat iedereen
even tijdelijk op Firefox of Opera zou overstappen, aangezien er gezocht wordt naar een uitvoerbare code (worm, virus).
Voor het browsen op internet zou ik daarom willen adviseren dat iedereen
even tijdelijk op Firefox of Opera zou overstappen.
Onzin natuurlijk.
Alsof morgen op elke website op internet het exploit zou zijn
geïmplementeerd.
De websites die ermee gecompromiteerd zouden kunnen worden zijn per
definitie te rangschikken in de categorie "dubieus", en worden al getackled
door prima ad-on's als IE-SpyAd en Siteadvisor.
Laat je toch niet gek maken!.
op Opera of FF is nog beter lijkt me :)
Waarom tijdelijk overstappen? Gewoon permanent overstappen
op Opera of FF is nog beter lijkt me :)
En dan weer terug naar IE als er een lek ik FF zit... nah zit allemaal in t
zelfde schuitje... ik wacht het wel weer af
Waarom tijdelijk overstappen? Gewoon permanent overstappen
op Opera of FF is nog beter lijkt me :)
Omdat er een exploit code voor bestaat. Er zijn er genoeg (ik ben er één
van) die zovaak met IE heeft gewerkt dat je soms niet anders wil. Ik heb
voor alle zekerheid nog een tweede browser op mijn systeem staan voor
dit soort gevallen zoals hierboven beschreven.
Er is dus niets op tegen als iemand permanent overstapt op Firefox of
Opera.
Waar ik overigens wel een beetje boos over ben is dat er kennelijk niet eerst bij Microsoft is gemeld zodat de IE-bezitters nu met een browser opgescheept zitten met een lek dat extreem kritiek genoemd kan worden.
kennelijk niet eerst bij Microsoft is gemeld
Laten we nu niet weer het dode "hoe om te gaan met
gevonden vulnerabilities"-paard gaan schoppen...
Waar ik overigens wel een beetje boos over ben is dat er
kennelijk niet eerst bij Microsoft is gemeld
Laten we nu niet weer het dode "hoe om te gaan met
gevonden vulnerabilities"-paard gaan schoppen...
Allemans Raad is Allemans Gek...
Waar ik overigens wel een beetje boos over ben is dat er
kennelijk niet eerst bij Microsoft is gemeld
Laten we nu niet weer het dode "hoe om te gaan met
gevonden vulnerabilities"-paard gaan schoppen...
maar MicroSoft heeft de source van IE niet online staan. Even
serieus, in dit soort gevallen zou het netjes zijn geweest als
MicroSoft 24 uur de tijd had gekregen om een patch te maken
en aan alle gebruikers een mailtje te sturen dat ze moesten
patchen, niet?
pagina :) maar geen crash
Nou, crashen doet IE hier ook niet echt. {...}
Wel verschijnt er een dialoogvenster dat er een fout is
opgetreden in IE en moet worden afgesloten.
Nou, crashen doet IE hier ook niet echt. {...}
Wel verschijnt er een dialoogvenster dat er een fout is
opgetreden in IE en moet worden afgesloten.
Graceful degradation heet zoiets toch?
Om nog even op dat dode paard terug te komen; het was wel zo netjes
geweest dit even te melden. Maarja, publiciteitsgeil als men is....
Waarom tijdelijk overstappen? Gewoon permanent overstappen
op Opera of FF is nog beter lijkt me :)
Nee hoor, gewoon geen wazige sites browsen en dan is er
niets aan de hand met IE.
maart. Alleen een plaatje van een boxende dame.
Kortom upgraden !!
De betreffende pagina met exploit-code wordt door Norton AntiVirus als
een computervirus gezien (Bloodhoud.60). Na de patch van 11 april 2006
heb ik vastgesteld dat de crash van Internet Explorer wordt voorkomen,
omdat het gat is gedicht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
