image

Microsoft dicht aangevallen lekken in Office, Windows en IE

woensdag 10 mei 2017, 09:57 door Redactie, 6 reacties
Laatst bijgewerkt: 10-05-2017, 11:52

Microsoft heeft tijdens de patchdinsdag van mei 46 beveiligingslekken gepatcht, waaronder drie zerodaylekken in Windows, Microsoft Office en Internet Explorer die actief werden aangevallen om computers over te nemen voordat er een update van de softwaregigant beschikbaar was.

Via de kwetsbaarheid in Internet Explorer 11 en Microsoft Office kon een aanvaller willekeurige code op het systeem uitvoeren als de gebruiker een kwaadaardige website of een kwaadaardig EPS-bestand opende. Via het lek in de Windowskernel kon een aanvaller zijn rechten op het systeem verhogen en code met kernelrechten uitvoeren. Ook heeft Microsoft kwetsbaarheden in Internet Explorer en Microsoft Edge gedicht die al voor het verschijnen van de update bekend waren gemaakt, maar volgens Microsoft niet zijn aangevallen.

Het gaat om een IE-lek waardoor waarschuwingen voor http-content op https-sites konden worden omzeild. In het geval van Edge kon een kwaadaardige internetsite acties in de context van de Intranet Zone uitvoeren. De updates zullen op de meeste systemen automatisch worden geïnstalleerd. Daarnaast is Microsoft gestopt met het aanbieden van updates voor de eerste versie van Windows 10 die in juli 2015 werd uitgebracht. Gebruikers en organisaties die nog met deze versie van het besturingssysteem werken krijgen het advies om naar de nieuwste versie te updaten.

Update

Microsoft patchte ook een ander lek in Office dat bij "beperkte gerichte aanvallen" is gebruikt, wat zou inhouden dat er 4 zerodaylekken deze maand zijn gepatcht. Bij de details van de update stelt Microsoft echter dat de kwetsbaarheid niet is aangevallen voordat de update verscheen.

Reacties (6)
10-05-2017, 11:05 door Anoniem
Microsoft is nu ook gebruikers van PosReady 2009 (Windows XP) aan het pesten door Windows Update onklaar te maken via de melding dat de browser IE8 te oud is.

Security patches kunnen wel via http://www.catalog.update.microsoft.com/ worden gedownload, inclusief de patch voor IE8. De extended support tot april 2019 stelt niet veel voor.

Microsoft geeft wel vaker meldingen dat er iets is met de browser (te oud, geen IE), maar dat is meestal niet werkelijk zo. Firefox is nog altijd de beste browser om de catalog mee te bezoeken.
10-05-2017, 11:44 door Anoniem
IE11 op Windows 7 worden nieuwe tabs ongevraagd geupdate met een reclamepagina.
10-05-2017, 12:17 door Spiff has left the building
Door Anoniem, 11:44 uur:

IE11 op Windows 7 worden nieuwe tabs ongevraagd geupdate met een reclamepagina.

Microsoft noemt dat "newsfeeds":
"Updated Internet Explorer 11’s New Tab Page with an integrated newsfeed."
https://support.microsoft.com/en-us/help/4019264/windows-7-update-kb4019264

Die "newsfeeds" zijn simpel uit te schakelen.
Twee mogelijkheden:

Mogelijkheid 1:
Open je een nieuw leeg tabblad, dan zie je de newsfeeds,
en onderin verschijnt dan een balkje met "Uitproberen" en "Terugschakelen".
Klik "Terugschakelen", en die newsfeeds worden voortaan niet meer getoond.

Mogelijkheid 2:
De tweede optie om newsfeeds uit te schakelen is via "Internetopties".
Je kunt dat kiezen in plaats van optie 1, of als de keuzeoptie zoals beschreven onder 1 niet wordt aangeboden.
Open Internetopties via Menu Start, zoekvakje: Internetopties,
óf in Internet Explorer, tandwieltje rechtsboven, en dan Internetopties.
In Internetopties,
tabblad Algemeen (dat is het openings-tabblad),
klik knop "Tabbladen",
onder "Het volgende openen als er een nieuw tabblad wordt geopend", klik de knop en kies "De nieuwe tabbladpagina".
Klik OK,
klik Toepassen,
klik OK.
10-05-2017, 16:34 door Anoniem
Dat ziet er echt veilig uit, misschien maar eens overstappen.
10-05-2017, 23:06 door ph-cofi
Door Anoniem: (...) dat de browser IE8 te oud is (...)
99,9% van de websites zijn het hiermee eens, toch?
11-05-2017, 08:56 door Anoniem
Door ph-cofi:
Door Anoniem: (...) dat de browser IE8 te oud is (...)
99,9% van de websites zijn het hiermee eens, toch?

De IE browser op een POS gebruik je niet voor Internet. Wel voor Windows Update.

Microsoft heeft effectief Windows Update de nek heeft omgedraaid voor POSReady terwijl die nog jaren extended ondersteund moet worden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.