image

Microsoft laat ernstig IE-lek voorlopig zitten

vrijdag 4 januari 2013, 00:13 door Redactie, 18 reacties

Een ernstig beveiligingslek in Internet Explorer dat aanvallers actief gebruiken voor het overnemen van Windows-computers wordt volgende week niet door Microsoft gepatcht. De kwetsbaarheid werd tijdens kerst ontdekt en bevindt zich in IE6, 7 en 8. Dinsdag publiceerde Microsoft een Fix it-oplossing waarmee IE-gebruikers via één muisklik de kwetsbare code kunnen uitschakelen.

De softwaregigant liet weten dat het aan een beveiligingsupdate werkte, maar had nog niet verteld wanneer die zou verschijnen. Afhankelijk van hoe het misbruik van het IE-lek zich ontwikkelt, kan ervoor worden gekozen om de update als een noodpatch voor de volgende patchcyclus uit te brengen. De patchcyclus van februari staat namelijk pas voor 12 februari gepland.

Updates
Voor de patchcyclus van januari heeft de softwaregigant zeven patches voor een dozijn beveiligingslekken klaarstaan. Twee van de Security Bulletins zijn voor kritieke kwetsbaarheden die zich in Microsoft Windows, Office, Developer Tools en Microsoft Server Software bevinden.

De overige vijf bulletins zijn als 'Important' beoordeeld en zijn bedoeld voor Microsoft Windows, .NET Framework en Microsoft Server Software. De updates zijn aanstaande dinsdagavond te downloaden.

Reacties (18)
04-01-2013, 00:39 door Anoniem
Net als altijd dus.
04-01-2013, 01:05 door _____
Bedankt M$!
04-01-2013, 03:11 door Anoniem
Nee logies ze willen natuurlijk dat alle Windows XP gebruikers over stappen op Windows 7.
04-01-2013, 05:19 door [Account Verwijderd]
[Verwijderd]
04-01-2013, 08:22 door [Account Verwijderd]
[Verwijderd]
04-01-2013, 08:25 door dutchfish
Ik heb zo'n vermoeden dat ze eerst hun sleutelbeheer moeten fixen. Anders hebben ze weer een update voor een update aan hun broek. ;)
04-01-2013, 09:15 door Anoniem
Door Miriam4711: Ze hebben gelijk ook lekker belangrijk als de klant maar betaalt, op naar het volgende lek zucht.
Waarom krijg ik met Linux wekelijks updates aangeboden, is nog een gratis OS ook.
Microsoft updates altijd tweede dinsdag van de maand, kan dat niet sneller ...

Dat kan zeker sneller dan elke tweede dinsdag van de maand.
In de praktijk komt zo'n update dan tussen de maand cycles door....

Ik weet niet hoe de test fases gaan van het Linux OS, maar bij Microsoft is er een streng test beleid voordat een update uitkomt, dit wordt op meerdere hardware combinaties getest... Je moet eens weten op hoeveel soorten devices Windows is geinstalleerd en hoeveel impact een update kan hebben hierdoor. Apple hoeft dit maar te testen op een geselecteerd aantal modellen en nog gaat het regelmatig fout... Denk niet dat de Linux updates op veel devices getest wordt voordat het uitkomt (Maar aan andere kant als een update bij Linux niet geheel lekker gaat, er wel weer snel een nieuwe update uitkomt...)
04-01-2013, 10:26 door Anoniem
Door Anoniem: bij Microsoft is er een streng test beleid voordat een update uitkomt, dit wordt op meerdere hardware combinaties getest... Je moet eens weten op hoeveel soorten devices Windows is geinstalleerd en hoeveel impact een update kan hebben hierdoor.

Ik denk dat Linux op meer soorten devices geinstalleerd is dan Windows, maar goed.
Microsoft had vorige maand nog een probleem bij de maandelijkse patches. KB2753842 was niet goed en moest hals over kop vervangen worden door een KB2753842-v2

Bedenk: met testen kun je niet aantonen dat iets goed is. Met testen kun je alleen aantonen dat er een fout is.
04-01-2013, 11:09 door Anoniem
WIndows XP is al 11 jaar oud. Dan vind ik nog dat MS lang ondersteuning biedt. En ja, patches zullen helaas altijd nodig zijn. Dat geldt bij MS maar ook bij Apple, Linux en zijn verwanten.
04-01-2013, 12:14 door Anoniem
Door Anoniem:
Door Anoniem: bij Microsoft is er een streng test beleid voordat een update uitkomt, dit wordt op meerdere hardware combinaties getest... Je moet eens weten op hoeveel soorten devices Windows is geinstalleerd en hoeveel impact een update kan hebben hierdoor.

Ik denk dat Linux op meer soorten devices geinstalleerd is dan Windows, maar goed.
Microsoft had vorige maand nog een probleem bij de maandelijkse patches. KB2753842 was niet goed en moest hals over kop vervangen worden door een KB2753842-v2

Bedenk: met testen kun je niet aantonen dat iets goed is. Met testen kun je alleen aantonen dat er een fout is.


Bedoelde met soorten devices niet zoals jij denk ik bedoelt als Telefoons, Desktop, Laptop, etc...
Maar bedoel de vele soorten hardware combinaties die mogelijk zijn waarop het OS draait.
Als je daarvan uit gaat, weet ik wel zeker dat Windows in meer verschillende soorten hardware combinaties draait dan Linux.

Die update waar jij het over hebt is inderdaad er doorheen geslopen, maarja verder had deze update geen impact op het OS dat niet meer goed functioneert, was alleen een aantal fonts die het niet goed deden, vooral in combinatie met een aantal applicaties... Dit scenario is blijkbaar niet getest (applicaties + fonts).

Maar goed, zo zie je bij Apple ook dat een simpel iOS update aardig vaak fout gaat, zoveel devices hoeven ze toch niet te testen. Maarja dat zal ook wel te maken hebben met een update van het OS in combinatie met verschillende applicaties die per device geinstalleerd zijn? Je kan niet alle scenario's hierin testen.
04-01-2013, 13:49 door Anoniem
Microsoft is op verzoek van het bedrijfsleven overgegaan naar 1x per maand. Systeembeheerders moeten patches eerst testen op hun eigen systemen voordat ze ermee in productie gaan. Die komen aan andere taken niet meer toe als elke dag patches worden aangeboden.
04-01-2013, 14:19 door Anoniem
Ga dan over naar FF of IE 9/10.
Moeilijk dan als t makkelijker kan.
04-01-2013, 17:14 door [Account Verwijderd]
[Verwijderd]
04-01-2013, 17:19 door Nietsnut
Tja voor Windows gebruikers is het gewoon tijd om te upgraden de schoorsteen in Redmond moet uiteraard wel blijven roken dus Windows XP en Vista zijn afgeschreven en moeten eruit.

Oplossing :

Gewoon Firefox of Chrome installeren je XP of Vista hier en daar wat dicht timmeren en je kan er nog jaren tegenaan.
04-01-2013, 23:55 door Anoniem
ik gebruik IE8/9 zo wie zo niet. als het niet nodig is. heb daarvoor juist FF17
05-01-2013, 12:25 door Erik van Straten
In http://blog.exodusintel.com/2013/01/04/bypassing-microsofts-internet-explorer-0day-fix-it-patch-for-cve-2012-4792/ wordt gemeld dat er een nieuwe exploit is die toch werkt als je de Fix-It voor MSIE die Microsoft eerder deze week publiceerde hebt toegepast.

Bron: https://isc.sans.edu/diary/+FixIt+Patch+for+CVE-2012-4792+Bypassed/14824
05-01-2013, 16:48 door Anoniem
Door Anoniem: Microsoft is op verzoek van het bedrijfsleven overgegaan naar 1x per maand. Systeembeheerders moeten patches eerst testen op hun eigen systemen voordat ze ermee in productie gaan. Die komen aan andere taken niet meer toe als elke dag patches worden aangeboden.

Ok, hoewel dat op zich sense maakt (sorry voor het gebruik van een Engels woord, maar ik kan geen fatsoenlijke Nederlandse vertaling bedenken), vind ik het alsnog vreemd om patches achterhouden die klaar zijn. Waarom maken ze het niet gewoon een optie in het besturingssysteem? Patches meteen binnenhalen en installeren wanneer ze klaar zijn of zelf een datum opgeven waarop je alle nieuwe patches wilt binnenhalen. Standaard gewoon de eerste optie instellen, zodat iedereen patches meteen binnenkrijgt en het bedrijfsleven kan dan zelf de tweede optie selecteren als ze zo nodig willen wachten tot de tweede dinsdag van de maand of wat hen dan ook het beste uitkomt, want met die tweede optie zou je het dus bijvoorbeeld ook kunnen instellen op eens per kwartaal, iedere zes weken, ieder laatste vrijdag van de maand of iets dergelijks. Waarom moeten de patches voor iedere Windows-gebruiker ter wereld worden achtergehouden tot de tweede dinsdag van de maand? Degenen die patches met een vast interval willen installeren, moeten die optie krijgen en andere gebruikers moeten ze gewoon de patches aanbieden wanneer ze klaar zijn. Ik heb die werkwijze nooit begrepen. Het gaat om kritieke beveiligingslekken. Hoe kun je dan de oplossing hiervoor achterhouden?
09-01-2013, 10:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: bij Microsoft is er een streng test beleid voordat een update uitkomt, dit wordt op meerdere hardware combinaties getest... Je moet eens weten op hoeveel soorten devices Windows is geinstalleerd en hoeveel impact een update kan hebben hierdoor.

Ik denk dat Linux op meer soorten devices geinstalleerd is dan Windows, maar goed.
Microsoft had vorige maand nog een probleem bij de maandelijkse patches. KB2753842 was niet goed en moest hals over kop vervangen worden door een KB2753842-v2

Bedenk: met testen kun je niet aantonen dat iets goed is. Met testen kun je alleen aantonen dat er een fout is.


Bedoelde met soorten devices niet zoals jij denk ik bedoelt als Telefoons, Desktop, Laptop, etc...
Maar bedoel de vele soorten hardware combinaties die mogelijk zijn waarop het OS draait.
Als je daarvan uit gaat, weet ik wel zeker dat Windows in meer verschillende soorten hardware combinaties draait dan Linux.

Die update waar jij het over hebt is inderdaad er doorheen geslopen, maarja verder had deze update geen impact op het OS dat niet meer goed functioneert, was alleen een aantal fonts die het niet goed deden, vooral in combinatie met een aantal applicaties... Dit scenario is blijkbaar niet getest (applicaties + fonts).

Maar goed, zo zie je bij Apple ook dat een simpel iOS update aardig vaak fout gaat, zoveel devices hoeven ze toch niet te testen. Maarja dat zal ook wel te maken hebben met een update van het OS in combinatie met verschillende applicaties die per device geinstalleerd zijn? Je kan niet alle scenario's hierin testen.

"Linux" draait op meer devices en meer hardware dan windows, linux is zelfs zo breed dat dit niet één maar veel meer operating systems zijn. Als je het hebt over een windows-like linux os zoals ubuntu heb je misschien gelijk, maar als je zegt dat "Windows" op meer hardware draait dan "Linux" zeker niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.