image

Microsoft waarschuwt voor Internet Explorer-lek

donderdag 4 februari 2010, 09:48 door Redactie, 14 reacties

Microsoft waarschuwt gebruikers van Internet Explorer voor een nieuwe lek in de browser, waardoor hackers toegang tot bestanden kunnen krijgen. Een aanvaller moet dan wel de naam en locatie van de bestanden weten. Het probleem ontstaat door het fout weergeven van de inhoud van lokale bestanden, waardoor de informatie door kwaadwillende websites is op te vragen.

De kwetsbaarheid treft gebruikers van IE 5.01 SP4 op Windows 2000 en IE6, IE7 en IE8 op Windows XP en Server 2003 en gebruikers van Internet Explorer op andere systemen die de Protected Mode van de browser hebben uitgeschakeld. Het lek werd op "verantwoorde wijze" aan de softwaregigant gemeld, die nog niet van misbruik in het wild op de hoogte is. Halverwege januari werd bekend dat Chinese hackers via een lek in Internet Explorer 6 bij Google en tientallen andere grote bedrijven hadden ingebroken. Vanwege de ernst van het lek besloot Microsoft toen een noodpatch uit te brengen.

Fix
Gebruikers van Internet Explorer 7 of 8 op Windows Vista, Server 2008 of Windows 7, zijn standaard niet kwetsbaar voor het probleem, aangezien IE bij deze versies normaal in Protected Mode draait. Wie Windows XP draait kan zichzelf via Network Protocol Lockdown beschermen. Er is inmiddels ook een "fix" uitgebracht, die dit automatisch voor gebruikers doet.

Tevens werkt Microsoft aan een patch, die het als out-of-band of tijdens de maandelijkse patchcyclus zal uitbrengen. "Zoals met elke update, moeten we de kwaliteit en applicatie comptabiliteit balanceren voordat we de update uitbrengen", zegt Jerry Bryant van het Microsoft Security Response Center (MSRC). "We blijven klanten aanraden om naar Internet Explorer 8 te upgraden om van de verbeterde beveiliging in deze nieuwe versie te profiteren."

Update: Het probleem treft alle IE versies op Windows XP en gebruikers van Vista en later die de Protected Mode hebben uitgeschakeld

Reacties (14)
04-02-2010, 10:27 door Anoniem
Dus wie gewoon zijn zaakjes op orde houdt, loopt geen enkel risico. Belangrijk nieuws hoor! Iemand al een lek in DOS 1.25 gevonden? Dan hier ook aan de bel trekken.
04-02-2010, 11:12 door Anoniem
Door Anoniem: Dus wie gewoon zijn zaakjes op orde houdt, loopt geen enkel risico. Belangrijk nieuws hoor! Iemand al een lek in DOS 1.25 gevonden? Dan hier ook aan de bel trekken.
Uhm... ik lees hier: wanneer je de protected mode van IE aan hebt staan is er geen probleem.
Wanneer je dus Vista draait en de UAC uit hebt gezet (zoals de meeste mensen doen omdat het "vervelend werkt", dan schakelt IE standaard de protected mode uit.
Helaas weet het gros van de mensen wel hoe je UAC uit zet, maar niet hoe je UAC aan laat staan maar alleen de MELDINGEN van UAC uit zet...

Oftewel, gebruikers van Vista kunnen wel degelijk aangevallen worden!!!
04-02-2010, 11:30 door Anoniem
@Anoniem 11:12:

Dus nog steeds, wanneer je alles op orde houdt, is er niets aan de hand. Dat mensen UAC uitzetten en daarmee ook protected mode is de fout van alle voorlichters die wel op UAC zitten te vitten, maar vervolgens een verkeerde voorlichting geven over het aanpassen van deze service.

Dus wil je iets positiefs doen, zorg dan voor goede voorlichting, i.p.v. commentaar te geven. Overigens: het gros van de mensen... Mijn ervaring is, dat veel mensen alleen maar mopperen en wanneer je ze uitlegt wat het doet, ineens niet meer zo moeilijk doen.
04-02-2010, 11:35 door Preddie
Door Anoniem:
Door Anoniem: Dus wie gewoon zijn zaakjes op orde houdt, loopt geen enkel risico. Belangrijk nieuws hoor! Iemand al een lek in DOS 1.25 gevonden? Dan hier ook aan de bel trekken.
Uhm... ik lees hier: wanneer je de protected mode van IE aan hebt staan is er geen probleem.
Wanneer je dus Vista draait en de UAC uit hebt gezet (zoals de meeste mensen doen omdat het "vervelend werkt", dan schakelt IE standaard de protected mode uit.
Helaas weet het gros van de mensen wel hoe je UAC uit zet, maar niet hoe je UAC aan laat staan maar alleen de MELDINGEN van UAC uit zet...

Oftewel, gebruikers van Vista kunnen wel degelijk aangevallen worden!!!


Gebruikers van vista verdienen het ook om aangevallen te worden :P
04-02-2010, 12:30 door Anoniem
Tsjaa... Windows XP is alweer 10 jaar oud.
04-02-2010, 12:33 door Anoniem
Door Anoniem:
Door Anoniem: Dus wie gewoon zijn zaakjes op orde houdt, loopt geen enkel risico. Belangrijk nieuws hoor! Iemand al een lek in DOS 1.25 gevonden? Dan hier ook aan de bel trekken.
Uhm... ik lees hier: wanneer je de protected mode van IE aan hebt staan is er geen probleem.
Wanneer je dus Vista draait en de UAC uit hebt gezet (zoals de meeste mensen doen omdat het "vervelend werkt", dan schakelt IE standaard de protected mode uit.
Helaas weet het gros van de mensen wel hoe je UAC uit zet, maar niet hoe je UAC aan laat staan maar alleen de MELDINGEN van UAC uit zet...

Oftewel, gebruikers van Vista kunnen wel degelijk aangevallen worden!!!


Als je de beveiliging van een OS of systeem uitzet kan elk systeem worden aangevallen.
04-02-2010, 12:54 door Spiff has left the building
Hmm, vreemd,
IE7 of IE8 in Protected Mode voor Windows XP en Server 2003?
Voor zover ik weet functioneert Protected Mode voor IE7 en IE8 alleen op Windows Vista en hoger. Het maakt gebruik van UAC-functionaliteit, dus lijkt me per definitie niet van toepassing op eerdere Windows-versies dan Vista.
Heb ik iets gemist?

En verder, ja, bij het uitschakelen van UAC verlies je ook Protected Mode voor IE7 en IE8.
Niet aan mij om daar een oordeel over te hebben, maar toch, het lijkt me niet het allerslimste om te doen, UAC uitschakelen.

Voor de liefhebbers nog de link naar de betreffende "Fix it" pagina:
http://support.microsoft.com/kb/980088
04-02-2010, 15:16 door Spiff has left the building
Door Redactie: De kwetsbaarheid treft gebruikers van IE 5.01 SP4 op Windows 2000 en IE6, IE7 en IE8 op Windows XP en Server 2003 die Protected Mode van de browser hebben uitgeschakeld. [...]

Gebruikers van Internet Explorer 7 of 8 op Windows Vista, Server 2008 of Windows 7, zijn niet kwetsbaar voor het probleem, aangezien IE standaard wel Protected Mode draait. Wie Windows XP draait, maar deze beveiligingsmaatregel heeft uitgeschakeld, kan zichzelf via Network Protocol Lockdown beschermen. Er is inmiddels ook een "fix" uitgebracht, die dit automatisch voor gebruikers doet.

In mijn bericht van 12:54 uur gaf ik al aan dat ik een en ander maar vreemd vond.
Nu zie ik dat er waarschijnlijk een misverstand in het spel is.
Lees eens wat Microsoft zegt in de Security Advisory:
http://www.microsoft.com/technet/security/advisory/980088.mspx
" Microsoft is investigating a publicly reported vulnerability in Internet Explorer for customers running Windows XP or who have disabled Internet Explorer Protected Mode."

De kwetsbaarheid betreft dus gebruikers van Windows XP en andere Windows-versies zonder UAC en dus zonder Protected Mode voor IE7 en IE8,
en voor gebruikers van Windows Vista en hoger die UAC of Protected Mode hebben uitgeschakeld.
Niet voor de combinatie Windows XP of Server 2003 met uitgeschakelde Protected Mode, want die bestaat hoe dan ook niet bij die versies.

Verbeter me als ik me vergis.
04-02-2010, 15:29 door Anoniem
Door Predjuh:
Door Anoniem:
Door Anoniem: Dus wie gewoon zijn zaakjes op orde houdt, loopt geen enkel risico. Belangrijk nieuws hoor! Iemand al een lek in DOS 1.25 gevonden? Dan hier ook aan de bel trekken.
Uhm... ik lees hier: wanneer je de protected mode van IE aan hebt staan is er geen probleem.
Wanneer je dus Vista draait en de UAC uit hebt gezet (zoals de meeste mensen doen omdat het "vervelend werkt", dan schakelt IE standaard de protected mode uit.
Helaas weet het gros van de mensen wel hoe je UAC uit zet, maar niet hoe je UAC aan laat staan maar alleen de MELDINGEN van UAC uit zet...

Oftewel, gebruikers van Vista kunnen wel degelijk aangevallen worden!!!


Gebruikers van vista verdienen het ook om aangevallen te worden :P
En waarom dan wel? Omdat ze een besturingssysteem gebruiken waar jij tegen bent? Kap es effe lekker met die achterlijke reacties zeg.
04-02-2010, 15:31 door Anoniem
Door Spiff:
Door Redactie: De kwetsbaarheid treft gebruikers van IE 5.01 SP4 op Windows 2000 en IE6, IE7 en IE8 op Windows XP en Server 2003 die Protected Mode van de browser hebben uitgeschakeld. [...]

Gebruikers van Internet Explorer 7 of 8 op Windows Vista, Server 2008 of Windows 7, zijn niet kwetsbaar voor het probleem, aangezien IE standaard wel Protected Mode draait. Wie Windows XP draait, maar deze beveiligingsmaatregel heeft uitgeschakeld, kan zichzelf via Network Protocol Lockdown beschermen. Er is inmiddels ook een "fix" uitgebracht, die dit automatisch voor gebruikers doet.

In mijn bericht van 12:54 uur gaf ik al aan dat ik een en ander maar vreemd vond.
Nu zie ik dat er waarschijnlijk een misverstand in het spel is.
Lees eens wat Microsoft zegt in de Security Advisory:
http://www.microsoft.com/technet/security/advisory/980088.mspx
" Microsoft is investigating a publicly reported vulnerability in Internet Explorer for customers running Windows XP or who have disabled Internet Explorer Protected Mode."

De kwetsbaarheid betreft dus gebruikers van Windows XP en andere Windows-versies zonder UAC en dus zonder Protected Mode voor IE7 en IE8,
en voor gebruikers van Windows Vista en hoger die UAC of Protected Mode hebben uitgeschakeld.
Niet voor de combinatie Windows XP of Server 2003 met uitgeschakelde Protected Mode, want die bestaat hoe dan ook niet bij die versies.

Verbeter me als ik me vergis.


Precies!!
04-02-2010, 15:49 door Ilja. _V V
Door Spiff: Niet voor de combinatie Windows XP of Server 2003 met uitgeschakelde Protected Mode, want die bestaat hoe dan ook niet bij die versies.

Verbeter me als ik me vergis.

Bij deze dan: IE Protected Mode staat standaard ingeschakeld na de installatie van een Windows Server 2003... :-)
04-02-2010, 19:01 door Spiff has left the building
Door Ilja. _\\//: Bij deze dan: IE Protected Mode staat standaard ingeschakeld na de installatie van een Windows Server 2003... :-)
Dank je, Ilja.
Maarre.. op wat is die IE Protected Mode onder Windows Server 2003 dan gebaseerd?
Onder Vista en hoger draait die Protected Mode bij de gratie van UAC. Zet je die uit dan vervalt daarmee ook de Protected Mode functionaliteit.
Server 2003 heeft toch geen UAC?
Heeft Windows Server 2003 dan wel een functionele IE Protected Mode?
04-02-2010, 22:10 door Ilja. _V V
Het is een apart onderdeel van Windows Server 2003 Setup. Overigens een bitch to kill & als je dat al lukt krijg je alsnog een waarschuwing dat het uit staat als je IE opent...
Maar in 2003 werkt het dus zonder UAC.
Ik moet even in 7 (Vista heb ik niet meer) nakijken hoe je de UAC uit zet zonder dat de Protected Mode ook automatisch uit gaat.

In W2K3 heet de voorloper van Protected Mode trouwens: Internet Explorer Enhanced Security Configuration, zie FAQ hier:
http://www.microsoft.com/technet/security/bulletin/MS04-038.mspx

Hier de handleiding van de Protected Mode API:
http://msdn.microsoft.com/en-gb/library/ms537312(VS.85).aspx
04-02-2010, 22:23 door Anoniem
draai windows 7 en vista ... en ook nog lekker XP
draait toppie ;)
en voor de MS bashers
Jajaja ik draai ook linux Ubuntu en Fedora
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.