Nieuws

Eerste beveiligingslekken in IE9

vrijdag 18 maart 2011, 10:30 door Redactie, 9 reacties

Internet Explorer 9 is amper een week uit, maar verschillende beveiligingsbedrijven claimen over meerdere beveiligingslekken in Microsofts nieuwe browser te beschikken. Op maandag kwam het Franse VUPEN met het bericht dat het vijf ongepatchte "use after free" kwetsbaarheden heeft, waarmee een aanvaller in theorie systemen kan laten crashen of overnemen. Het Franse beveiligingsbedrijf is van plan om binnenkort de details te onthullen.

Gisteren liet het Zero Day Initiative weten dat tenminste drie eerder aan Microsoft gerapporteerde lekken in een oudere versie van IE, ook in Internet Explorer 9 aanwezig zijn. De ernst van de kwetsbaarheden laat ZDI niet weten, maar het beveiligingsbedrijf houdt er rekening mee dat meer oude lekken de nieuwe browser zullen plagen.

Malware kaapt TAN-codes Symbian telefoons

Microsoft sloopt gigantisch spambotnet

Reacties (9)

18-03-2011, 10:34 door Anoniem

nou de beveiliging van IE9 lijkt dus ook wel weer mee te vallen...

18-03-2011, 11:14 door U4iA

Wie zegt mij dat Vupen de kwetsbaarheden niet al had voor de release van IE9 (dus in de Beta's gevonden, maar nooit feedback gegeven aan Microsoft)? Vind het altijd heel opvallend dat zij direct na de release altijd wel kwetsbaarheden vinden. Op PWN2OWN hebben ze tenslotte ook kwetsbaarheden misbruikt die niet gerapporteerd zijn aan Apple. Tenslotte is Vupen een security bedrijf dat op deze manier veel gratis publiciteit genereert.

18-03-2011, 15:32 door Anoniem

"Een webbrowser die u beschermt tegen schadelijke software"

18-03-2011, 16:37 door donnerd

Ach.... alsof Firefox/Safari/Chrome e.d. nooit een lek hebben.
Ik bedoel dus, dat alle browsers wel lekken hebben, zolang men een virusscanner installeerd met firewall en op internet gaat met verstand kan er niets gebeuren.

18-03-2011, 20:12 door [Account Verwijderd]

Door donnerd: Ach.... alsof Firefox/Safari/Chrome e.d. nooit een lek hebben.
Ik bedoel dus, dat alle browsers wel lekken hebben, zolang men een virusscanner installeerd met firewall en op internet gaat met verstand kan er niets gebeuren.

Natuurlijk is het gebruik van virusscanner en gezond verstand altijd aan te raden. Maar het blinde vertrouwen dat er dan niets kan gebeuren is helaas onterecht. Die veiligheidswaan (ook waargenomen bij Apple- en Linuxgebruikers) is op zich al een risico. Ga er altijd vanuit dat het systeem waarmee je werkt kwetsbaar is en zorg voor alternatieven (o.a. backups) en noodscenario's.

18-03-2011, 22:54 door _____

Door donnerd: zolang men een virusscanner installeerd met firewall en op internet gaat met verstand kan er niets gebeuren.

Sorry hoor, maar dan heb jij het niet helemaal gesnopen!

19-03-2011, 02:20 door Anoniem

VUPEN gebruikt beveiligingslekken als marketing middel; hun product is een service waar bedrijven zich voor in kunnen schrijven om "ingelicht" te worden over 0days:

http://twitter.com/VUPEN/status/48744972765237249

Overigens meld VUPEN deze lekken niet aan de vendors:

http://twitter.com/cBekrar/status/48777927046864897
http://twitter.com/cBekrar/status/48790068395126784

Vreemde logica; Microsoft geeft volgens VUPEN niks om security; daarom rapporteren ze de security bugs niet aan Microsoft maar verkopen ze het aan klanten.

20-03-2011, 12:40 door Anoniem

Overigens is de security.nl site niet compatible met IE9, tenzij je draait in Compatibility Mode. Beetje jammer ;-)

21-03-2011, 08:11 door Invader Zim

Ten eerste moet het "installeerT" zijn en niet "installeerD".

Ten tweede kan je al aardig wat problemen voorkomen door NIET met beheerdersrechten in te loggen. En aangezien dat nog steeds de standaard werkwijze is bij PC's thuis (wanneer ze windows gebruiken) zal dat voorlopig nog niet op te lossen zijn. Kan je wel 20 virusscanners installeren.

Niet dat unpriviliged inloggen op een windowsmachine er meteen voor zorgt dat je veilig bent, want je kan nog steeds bij al het geheugen wat aan de ene kant een voordeel is als je vals wilt spelen met trainers in div spellen, maar vanuit beveiliging bekeken is het natuurlijk enorm fout.

Maar ja, het zal wel weer een undocumented feature zijn.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer