Nieuws

Onofficiele patch voor ernstig Internet Explorer lek

woensdag 17 oktober 2007, 11:19 door Redactie, 8 reacties

Een beveiligingsonderzoeker heeft zelf een patch ontwikkeld voor een ernstig beveiligingslek in Internet Explorer 7. Na maanden van ontkenning gaf Microsoft vorige week toe dat zij voor het Universal Resource Identifier (URI) lek verantwoordelijk was. In eerste instantie liet de softwaregigant weten dat andere ontwikkelaars hun software moesten aanpassen, omdat de oplossing van Microsoft de functionaliteit van de programma's zou kunnen breken.

Voordat de update van Microsoft beschikbaar is, heeft onderzoeker "Hyperion", ook bekend als Hackbunny, een eigen patch uitgegeven. De 16KB grote update is geheel op eigen risico, en Microsoft raadt het gebruik van onofficieel updates altijd af.

In dit geval waarschuwt ook de ontwikkelaar zelf: "Deze patch is zwaar onder-getest en heeft geen enkele kwaliteitscontrole doorlopen. Wees dus zeer voorzichtig met installeren. Het is goed mogelijk dat deze patch het systeem onbruikbaar maakt. Als dit gebeurt, moet je in veilige modus herstarten, zodat je misschien de patch kunt verwijderen, of misschien ook niet." Wanneer Microsoft met een update komt is nog altijd niet bekend.

Microsoft: Al meer dan duizend lekken in Linux

Kinderporno-hoster overweegt rechtszaak tegen Spamhaus

Reacties (8)

17-10-2007, 11:51 door Anoniem

Als er mensen zouden zijn die na zo'n waarschuwing van de ontwikkelaar
toch de patch gaan installeren, dan is het direct duidelijk waarom ze ook
Windows gebruiken. Die krijg je namelijk met een zelfde waarschuwing...

Use at your own risk...

17-10-2007, 12:52 door spatieman

beter een inofficiele patch, dan eindeloos wachten op een MS
patch.
lijkt me.

17-10-2007, 13:36 door Anoniem

Door spatieman
beter een inofficiele patch, dan eindeloos wachten op een MS
patch.
lijkt me.

Er zijn genoeg onofficiele patches geweest waarmee je gratis "extratjes"
op je systeem kreeg. Waarom zou ik deze gast vertrouwen?

17-10-2007, 13:45 door Righard J. Zwienenberg

Alhoewel ik de reaktie van spatieman kan indenken, kan het gebruik van
onofficiële patches leiden tot grotere problemen dan doorwerken met een
exploit die je al die tijd al had en waar je nog geen last van hebt gehad.

Er komen steeds meer onofficiële patches (== trend). Als voorbeeld: Apple
had een security vulnerability in Java na 3 maanden nog niet gedicht. Toen
heeft Landon Fuller, een voormalig Apple BSD Technology Group
Engineer, een patch ontwikkeld en gereleased, inclusief de broncode.

Dat is 'handig' omdat iedereen kan kijken of er een backdoor in de patch is
ingebouwd of niet, etc. Maar al zou iemand die sourcecode kunnen lezen
en begrijpen, dan kunnen vaak niet controleren of de executable patch wel
is gecreeerd adhv de meelegeverde sourcecode. Dus deze kan wel een
backdoor bevatten. Natuurlijk kan je dan zelf de sourcecode compileren
om er zeker van te zijn, maar de hoeveelheid mensen met de kennis om
de sourcecode te valideren en de juiste compilers is niet zo groot.

Er zullen zelfs legio mensen zijn die blindelings de onofficiële patch
installeren zonder te weten wat ze doen...

Zelfs al is de sourcecode goed en kan iemand de executable patch zelf
compileren, dan nog is er de stabilieteit. De patch zal echt wel werken voor
degene die het ontwikkeld heeft, anders had deze wel verder gezocht. Maar
de kleine omgeving van de onofficiële patch ontwikkelaar zal niet afdoende
zijn om gedegen QA te doen.

Onofficiële patches kunnen leiden tot crashes of andere onverwachte
bijkomstigheden die moeilijk zullen te analyseren zijn omdat patch-levels
van de verschillende software niet zullen aangeven dat er een 3rd party
patch is gebruikt.

Righard Zwienenberg
Chief Research Officer
Norman

17-10-2007, 13:46 door [Account Verwijderd]

[Verwijderd]

17-10-2007, 13:55 door Anoniem

... Onofficiële patches kunnen leiden tot crashes of
andere onverachte bijkomstigheden die moeilijk zullen te
analyseren zijn omdat patch-levels van de verschillende
software niet zullen aangeven dat er een 3rd party patch is
gebruikt ...
Alsof de patches van de gerenommeerde kwaliteitsleverancier
Microsoft zelf nooit problemen geven?!
Wijzigingen aan je systeem moet je *altijd* testen.
In mijn eigen ervaring echter, kan ik er onder BSD en linux
redelijk op vertrouwen dat de patches goed werken. Met
Windows is het altijd maar weer de vraag wat er nu weer
onderuitgehaald wordt (door officiële patches!).

17-10-2007, 14:01 door [Account Verwijderd]

[Verwijderd]

18-10-2007, 22:20 door Anoniem

Door rookie
Bij mij is het omgedraaid, ik heb op Windows nog nooit een
conflict meegemaakt met updaten (behalve dan met de
"Windows
Genuine Advantage" :+ )
En op BSD wel.

heb je het wel gelezen? , het is NIET een officiéle patch

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer