Nieuws
image

Nieuw lek in Internet Explorer 8 onthuld

donderdag 22 mei 2014, 09:33 door Redactie, 10 reacties

Er is een nieuw beveiligingslek in Internet Explorer 8 onthuld waarvoor nog altijd geen patch van Microsoft beschikbaar is. Via het lek kan een aanvaller de computer in het ergste geval volledig overnemen. Alleen het bezoeken van een gehackte of kwaadaardige website is hiervoor voldoende.

De details zijn afkomstig van beveiligingsbedrijf TippingPoint, dat Microsoft op 11 oktober van vorig jaar over het probleem inlichtte. TippingPoint hanteert een 'deadline' van zes maanden waarin gewaarschuwde ontwikkelaars en leveranciers de gelegenheid krijgen om de kwetsbaarheid in hun producten te verhelpen. Als de bedrijven het probleem niet patchen, zal TippingPoint de details publiceren. Op 8 mei waarschuwde het beveiligingsbedrijf Microsoft nogmaals dat het de details zou openbaren, wat nu ook is gebeurd.

Windows XP

Internet Explorer 8 is beschikbaar voor Windows XP, Vista en Windows 7. In het geval van Windows XP zal het lek niet meer worden gepatcht. Gebruikers van IE8 kunnen zich op verschillende manieren beschermen. De eerste maatregel betreft instellingen die via de Internetopties zijn in te stellen. Zo moet het beveiligingsniveau van de 'Internet zone' op 'Hoog' worden gezet en moet het "Uitvoeren van scripts" en het "Actief uitvoeren van scripts" worden uitgeschakeld.

Een andere optie is het installeren van de gratis Enhanced Mitigation Experience Toolkit (EMET). Deze twee maatregelen zullen IE8-gebruikers beschermen, aldus Microsoft. Gebruikers van Windows 7 krijgen van het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit het advies om naar Internet Explorer 11 te upgraden.

Reacties (10)
22-05-2014, 10:09 door Spiff has left the building
http://www.kb.cert.org/vuls/id/239151
http://zerodayinitiative.com/advisories/ZDI-14-140/
In de broninformatie geen woord over dat tussen XP met IE8 en Win7 met IE11, namelijk Vista met IE9.
Niet kwetsbaar voor het aangeduide probleem, of over het hoofd gezien?
22-05-2014, 10:14 door Anoniem
@spiff Er staat duidelijk in het advies dat gebruikers naar IE11 moeten upgraden. Die is alleen beschikbaar voor Windows 7.
22-05-2014, 10:27 door hx0r3z - Bijgewerkt: 22-05-2014, 10:31
Door Spiff: http://www.kb.cert.org/vuls/id/239151
http://zerodayinitiative.com/advisories/ZDI-14-140/
In de broninformatie geen woord over dat tussen XP met IE8 en Win7 met IE11, namelijk Vista met IE9.
Niet kwetsbaar voor het aangeduide probleem, of over het hoofd gezien?

Volgens mij niet want die website zal wel in gaan van de laaste build/release van de OS. En die hebben IE9(vista) en XP is niet meer supported (embedded xp is de end of license date 2016. vooral voor atms denk ik). Hoe dan ook als zo'n systeem met XP dat nog na de end of license datum gebruikt wordt is illegaal, want dan is je product unlicensed. Weet wel niet zeker of wat ik hier nu zeg klopt, maar ik denk wel dat het zo te werk gaat aangezien het Microsoft is.
22-05-2014, 11:11 door Anoniem
Door hx0r3z: Volgens mij niet want die website zal wel in gaan van de laaste build/release van de OS. En die hebben IE9(vista) en XP is niet meer supported (embedded xp is de end of license date 2016. vooral voor atms denk ik). Hoe dan ook als zo'n systeem met XP dat nog na de end of license datum gebruikt wordt is illegaal, want dan is je product unlicensed.

hx0r3z: Er is geen sprake van end of license, maar van end of life. Dus wil je het nog gebruiken, ga je gang, maar verwacht van Microsoft geen support meer. Iets wat volgens mij bij veel software makers is. Dus bij MS (of anderen) melden dat er in die versies een fout zit heeft logischerwijze geen zin.
22-05-2014, 11:30 door [Account Verwijderd] - Bijgewerkt: 22-05-2014, 11:31
[Verwijderd]
22-05-2014, 11:50 door Spiff has left the building
Door Spiff:
http://www.kb.cert.org/vuls/id/239151
http://zerodayinitiative.com/advisories/ZDI-14-140/
In de broninformatie geen woord over dat tussen XP met IE8 en Win7 met IE11, namelijk Vista met IE9.
Niet kwetsbaar voor het aangeduide probleem, of over het hoofd gezien?
Door Peter V.:
Nou, ik denk dat het voor XP-gebruikers wijs zou zijn om maatregelen te nemen. XP wordt weliswaar niet genoemd, maar voor alle zekerheid zou ik - tot nader order - toch maar de aanbevolen workaround toepassen.
Wat bedoel je precies, Peter?
XP wordt wel degelijk genoemd:
"Users that are unable to upgrade past Internet Explorer 8 should consider the following workarounds. Windows XP users will not be able to upgrade past Internet Explorer 8."

Dat XP-gebruikers maatregelen moeten nemen betreffend IE8 , dat mag voor zich spreken.
Maar ik doelde specifiek op de Windows en IE versie die helemaal niet werd genoemd, de Windows en IE versie tussen XP met IE8 en Win7 met IE11: namelijk Vista met IE9.
Is IE9, onder Vista, niet kwetsbaar voor het aangeduide probleem, of is Vista met IE9 over het hoofd gezien?
Daarover geen woord in de genoemde bronnen.
22-05-2014, 12:15 door [Account Verwijderd] - Bijgewerkt: 22-05-2014, 12:19
[Verwijderd]
22-05-2014, 12:36 door Mysterio
Door Spiff:In de broninformatie geen woord over dat tussen XP met IE8 en Win7 met IE11, namelijk Vista met IE9.
Het was mij niet helemaal helder wat je bedoelde met deze regel. Volgens de beschrijving raakt het alleen IE8. Ik neem aan dat wat niet wordt genoemd ook niet wordt geraakt, maar wat wel wordt genoemd dus ook wordt geraakt. Dus begrijp ik IE8 op alle platforms. (vanaf server 2003 met een aantekening dat het out-of-the-box veiliger is voor deze ronde)
22-05-2014, 14:36 door Spiff has left the building
Door Spiff:
In de broninformatie geen woord over dat tussen XP met IE8 en Win7 met IE11, namelijk Vista met IE9.
Door Mysterio:
Het was mij niet helemaal helder wat je bedoelde met deze regel.
Het spijt me, ik kan het me voorstellen. Het stukje "dat tussen XP met IE8 en Win7 met IE11" was onduidelijk gesteld.
Dat was wellicht ook waarover Peter V. struikelde.
Ik hoop dat ik met de formulering in mijn reactie van 11:50 uur beter duidelijk maakte wat ik bedoelde: ik doelde specifiek op de Windows en IE versie die helemaal niet werd genoemd, de Windows en IE versie tussen XP met IE8 en Win7 met IE11: namelijk Vista met IE9.
23-05-2014, 11:48 door Anoniem
Door Spiff:
Door Spiff:
http://www.kb.cert.org/vuls/id/239151
http://zerodayinitiative.com/advisories/ZDI-14-140/
In de broninformatie geen woord over dat tussen XP met IE8 en Win7 met IE11, namelijk Vista met IE9.
Niet kwetsbaar voor het aangeduide probleem, of over het hoofd gezien?
Door Peter V.:
Nou, ik denk dat het voor XP-gebruikers wijs zou zijn om maatregelen te nemen. XP wordt weliswaar niet genoemd, maar voor alle zekerheid zou ik - tot nader order - toch maar de aanbevolen workaround toepassen.
Wat bedoel je precies, Peter?
XP wordt wel degelijk genoemd:
"Users that are unable to upgrade past Internet Explorer 8 should consider the following workarounds. Windows XP users will not be able to upgrade past Internet Explorer 8."

Dat XP-gebruikers maatregelen moeten nemen betreffend IE8 , dat mag voor zich spreken.
Maar ik doelde specifiek op de Windows en IE versie die helemaal niet werd genoemd, de Windows en IE versie tussen XP met IE8 en Win7 met IE11: namelijk Vista met IE9.
Is IE9, onder Vista, niet kwetsbaar voor het aangeduide probleem, of is Vista met IE9 over het hoofd gezien?
Daarover geen woord in de genoemde bronnen.
Windows98SE met IE5 wordt ook niet genoemd, net als Opera en Chrome en Firefox.

Waarom? Omdat het niet relevant is, goh...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure