image

Ernstig IE-lek sinds september bij Microsoft bekend

vrijdag 22 januari 2010, 09:25 door Redactie, 15 reacties

Het ernstige beveiligingslek in Internet Explorer waardoor Google en tientallen andere bedrijven gehackt zijn, was sinds september vorig jaar al bij Microsoft bekend. Dat zegt Jerry Bryant van het Microsoft Security Response Center (MSRC). De softwaregigant bracht gisteren een out-of-band patch voor de kwetsbaarheid uit, die inmiddels ook tegen consumenten wordt ingezet. Naast dit lek verhelpt MS10-002 ook zeven andere lekken. De update had Microsoft al voor de patchcyclus van februari gepland.

"Toen we op 11 januari voor het eerst van de aanval hoorden, hebben we drie dagen later een advisory voor onze klanten uitgebracht. Aan de hand van dat onderzoek stelden we vast dat dit lek hetzelfde lek was dat op verantwoorde begin september aan ons was gemeld", aldus Bryant. De noodpatcht van gisteren is in 236 verschillende varianten uitgekomen. Te weten voor zeven versies van Windows, vier verschillende versies van Internet Explorer en alle ondersteunde talen.

Beloningsprogramma
Verder benadrukt de Senior Security Program Manager dat ook andere applicaties die mshtml.dll als een rendering engine gebruiken en Active Scripting toestaan, risico lopen. Voor deze applicaties, zoals Office en Outlook, brengt Microsoft geen update uit, aangezien de noodpatch voor Internet Explorer dit probleem al oplost. Alle acht lekken zijn door externe beveiligingsonderzoekers ontdekt, waarvan er vijf via Zero Day Initiative van TippingPoint zijn aangemeld. Via dit beloningsprogramma krijgen onderzoekers betaald voor het op verantwoorde wijze melden van beveiligingslekken.

Reacties (15)
22-01-2010, 09:30 door Anoniem
Goed dat MS al bezig was met een patch dus, alleen jammer dat er zoveel smaken zijn, dat het schrijven en testen lang kan duren.

Voor wie op MS wil katten: ook bij firefox enz. zal eerst iemand iets moeten melden, voor het gefixed kan worden en daarna kost het ook daar tijd.
22-01-2010, 09:38 door Anoniem
Je moet beter lezen: Er staat "bug was BEKEND bij MS sinds september!".

Verder is het natuurlijk om je dood te schamen. Maar het is als zo vaak. Bugs worden pas serieus genomen wanneer de pleuris uitbreekt. Mensen betalen genoeg geld en je mag dan ook verwachten dat MS (of elke ander bedrijf) serieus met dit soort dingen omgaat.
22-01-2010, 10:07 door Anoniem
Hallo, misschien heeft iemand hier ervaring Een. Ik heb namelijk
mshtml.dll uit windows vista gekopiereerd en in Windows XP geplaatst.
Thuis heb ik alleen DLL´s van IE8 webbrowser uit vista gehaald en
in system32 geplaatst, Is er ook iemand die dezefde truck heeft uitgehaald?
Microsoft weigert nu mijn webbrowser tevoorzien van uptdate!
22-01-2010, 10:09 door Anoniem
Door Anoniem: Je moet beter lezen: Er staat "bug was BEKEND bij MS sinds september!".

Verder is het natuurlijk om je dood te schamen. Maar het is als zo vaak. Bugs worden pas serieus genomen wanneer de pleuris uitbreekt. Mensen betalen genoeg geld en je mag dan ook verwachten dat MS (of elke ander bedrijf) serieus met dit soort dingen omgaat.
Je moet beter lezen. Dat het BEKEND was, betekent niet dat er dan ook meteen een OPLOSSING is. Met dank aan alweer de tendentieuze berichtgeving van de redactie.
22-01-2010, 10:13 door Anoniem
Er 4 maanden voor publiek bekend worden van een groot misbruik al kennis van hebben en dan 3 dagen doen om na de eerste publieke berichten een waarschuwing uit te geven en er meer dan 4 maanden over doen om een patch uit te brengen voor zo iets kritieks. Microsoft kan zich in een hoekje gaan staan schamen. De uitleg van Microsoft doet ook ernstig vermoeden dat ze zeer goed op de hoogte zijn van nog meer kritieke lekken waar ze voorlopig echt niets aan gaan doen.
22-01-2010, 10:15 door Anoniem
Als ik ooit een pleidooi voor "full disclosure" heb gelezen, dan is het dit bericht. Ontluisterend.
Ze hadden Google dus gewoon kunnen beschermen tegen de aanval in China door sneller een patch uit te brengen. Als ik Google was zou ik direct naar de rechter stappen voor een schadeclaim.

Ik neem aan dat MS nu uitzoekt hoe het MSRC deze bug zo heeft kunnen onderschatten en welke andere bekende bugs potentieel even gevaarlijk zijn en dus een snelle oplossing vergen?
22-01-2010, 10:23 door H.King
En als ze in alle haast een patch uitbrengen krijg je dat er computers crashen etc... en dan huilen de ms bashers daar wel weer over. Ik bedoel het is vrij logisch dat ze eerst grondig testen en zodra er een andere bug actief wordt misbruikt zullen ze die inderdaad eerder patchen, dan een bug die nog niet bekend is. ;) logisch toch ?
22-01-2010, 10:27 door Anoniem
Door Anoniem: Je moet beter lezen: Er staat "bug was BEKEND bij MS sinds september!".

Dat beter lezen geldt voor jezelf. Er staat ook: De update had Microsoft al voor de patchcyclus van februari gepland.

Er wordt dus WEL serieus mee omgegaan. Selectief lezen is ook een vak, maar het blijft natuurlijk een sport om te katten. Elk groot bedrijf heeft tijd nodig, je weet b.v. niet hoe lang een AV leverancier bekend is met een nieuwe variant, voordat ze dit toegevoegd hebben. En je weet niet op welk niveau het issue zit, zodat je niet kunt vergelijken tussen patches. Vergeet niet dat DLL's door meerdere applicaties gebruikt kunnen worden en je ook die moet testen om problemen te voorkomen.
22-01-2010, 11:04 door Anoniem
"Dat beter lezen geldt voor jezelf. Er staat ook: De update had Microsoft al voor de patchcyclus van februari gepland."

Geloof je dat zelf ?!? Ik geloof er geen reet van.
22-01-2010, 13:31 door Rene V
Door Anoniem: .....
Microsoft weigert nu mijn webbrowser tevoorzien van uptdate!

Gek hè? *zucht*
22-01-2010, 14:21 door Anoniem
Mooie reclame voor TippingPoint :-)
22-01-2010, 16:35 door Anoniem
Door Anoniem: Er 4 maanden voor publiek bekend worden van een groot misbruik al kennis van hebben en dan 3 dagen doen om na de eerste publieke berichten een waarschuwing uit te geven en er meer dan 4 maanden over doen om een patch uit te brengen voor zo iets kritieks. Microsoft kan zich in een hoekje gaan staan schamen. De uitleg van Microsoft doet ook ernstig vermoeden dat ze zeer goed op de hoogte zijn van nog meer kritieke lekken waar ze voorlopig echt niets aan gaan doen.

Sure.

Wake up! Zeker niet werkzaam bij een grote enterprise organisatie maar bij een kleine gemeente in lutje-lol-weet-ik-veel vraag ik dan.

Snap je eigenlijk wel hoe zo'n proces gaat en hoelang dat duurt? En waarom?? Mede omdat de halve wereld nog op oude versies wil blijven zitten om wat voor onnozele reden dan ook (vaak alleen maar geld....) en dus de remmende factor in voortgang en innovatie is.

In plaats van nu eerst eens de hand in eigen boezem te steken.... Security en maatregelen nemen zoals ontwikkelingen volgen is totaal niet van belang bij veel organisaties. Behalve dan als het goed mis is. En dan voor niet zelf verantwoordelijkheid nemen maar naar andere wijzen.

Dit voorbeeld is dan even een lek en ja dan heb je even commotie. Maar bekijk het nou eens allemaal van een afstand en realistischer.

Laten we nou a.u.b. eens ophouden met stommetje spelen en dat gejank richting leveranciers van welke pluimage dan ook. Ooit wel eens gekeken hoe de meeste applicaties worden gebouwd intern of extern in organisaties? Ongelofelijk: dat is pas dik janken. Nou ik kan je verzekeren dat er maar weinig trajecten zijn waar secure coding en je houden aan best practises voor programming worden meegenomen. Het stikt van de lekken en fouten. Ik kan met een gerust hart zeggen dat de meeste applicaties zo lek zijn als vergiet. Gekocht en zelf ontwikkeld! Er is volgens mij ook onderzoek geweest en daaruit blijkt dat er een grote verschuiving is van Operating System naar applicaties. Toevallig nu IE maar heb je wel eens gekeken in de lijst van vulnerabilities van het laatste jaar? Right. Case closed lijkt me.
23-01-2010, 10:56 door Anoniem
Nou ik kan je verzekeren dat er maar weinig trajecten zijn waar secure coding en je houden aan best practises voor programming worden meegenomen. Het stikt van de lekken en fouten. Ik kan met een gerust hart zeggen dat de meeste applicaties zo lek zijn als vergiet. Gekocht en zelf ontwikkeld!

Je hebt gelijk, dat is idd schrijnend. Maar dat zegt ook iets over de cultuur die er heerst bij de ontwikkeling, nl het moet allemaal zo snel mogelijk geld op brengen. Ik ben ervan overtuigd dat als de prijs van het besturingssysteem lager zou zijn, dan zouden de mensen mss iets sneller overschakelen op een nieuwere versie.

Het feit dat microsoft reeds op de hoogte was van de vulnerability vind ik anderzijds wel een goed iets, maar ze hadden iets sneller kunnen zijn. Ze zeggen wel dat ze x-aantal verschillende versies moeten maken, maar als je programmatie process goed is, dan mogen talen van de eindgebruiker daar geen rol in spelen. Of toch veel minder. Er moet namelijk geen taal gecodeerd zitten in de mshtml.dll, dit zouden enkel code moeten zijn. Ze hebben eindelijk dit anders aangepakt vanaf Vista, maar dit had al veel eerder moeten gebeuren.
En betreffende nog andere lekken, natuurlijk is Microsoft daarvan op de hoogte, Mensen zoeken constant naar fouten, en MS kan enkel diegene patchen die zij zien als het dringendste, bij deze hebben ze een foutje gemaakt vind ik persoonlijk. Deze was wel dringend, remote code execution via een browser zou altijd high priority moeten zijn.
</rant>:)
23-01-2010, 13:56 door Anoniem
Wake up! Zeker niet werkzaam bij een grote enterprise organisatie maar bij een kleine gemeente in lutje-lol-weet-ik-veel vraag ik dan.

Snap je eigenlijk wel hoe zo'n proces gaat en hoelang dat duurt? En waarom?? Mede omdat de halve wereld nog op oude versies wil blijven zitten om wat voor onnozele reden dan ook (vaak alleen maar geld....) en dus de remmende factor in voortgang en innovatie is.
-------------------------------------------------------------------------------------

Omdat 9 van de 10 mensen (die bij de slager op de hoek wereken) niet verdienen wat jij blijkbaar wel verdient...

Als MicroSoft een O.S. op de markt brengt voor 30 euro!!! Dan zou de halve wereld elk jaar de laatste nieuwe versie kopen! (en zouden ze NOG meer winst kunnen maken) Dat zou pas innovatie zijn!

Kom zelf uit de muziek industrie...
en die hebben zichzelf ook 'de das om gedaan' door vanaf de 1e dag blijvend woekerprijzen te vragen voor de CD's
Daarom zijn mensen gaan kopieren en zelf branden... en niet andersom zoals zij beweren!
Peerke...
23-01-2010, 22:52 door Anoniem
Door Anoniem: "Dat beter lezen geldt voor jezelf. Er staat ook: De update had Microsoft al voor de patchcyclus van februari gepland."

Geloof je dat zelf ?!? Ik geloof er geen reet van.
TGuurlijk joh. Microsoft is een boef. En Google is Sinterklaas. Nou goed?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.