Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Fix it voor IE10 op x64?
Ik heb een vraag bij de Microsoft Fix it voor IE
http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
http://support.microsoft.com/kb/2887505/en
voor de kwetsbaarheid zoals beschreven in de advisory
http://technet.microsoft.com/en-us/security/advisory/2887505
De betreffende vraag heb ik eerder hier neergezet:
https://www.security.nl/posting/364537#posting364543
maar daar is nog geen antwoord gevolgd.
Daarom nu hier in het forum herpost:
Zoals Microsoft aangeeft, "The Fix it solution that is described in this section applies only 32-bit versions of Internet Explorer."
De Fix it oplossing is geschikt voor IE op x86 systemen,
en voor de 32 bit IE versies op x64 systemen (zoals 32 bit IE8 op XP x64, en 32 bit IE9 op Vista x64),
en de Fix it oplossing is niet geschikt voor de 64 bit IE versies op x64 systemen (zoals 64 bit IE8 op XP x64, en 64 bit IE9 op Vista x64).
Maar hoe zit het met IE10 op x64 Windows 7 en 8?
Uit meerdere bronnen begrijp ik dat in Windows 7 x64 de IE10 browser-tabs 32 bit processen zijn en de "Internet Explorer 10 Manager" een 64 bit proces is. (Pas wanneer Enhanced Protected Mode wordt ingeschakeld zijn ook de tabs 64 bit processen.)
Wat hierdoor voor IE10 exact de implicatie is van de vermelding door Microsoft dat de Fix it oplossing alleen van toepassing is op de 32 bits versies van Internet Explorer, dat is me niet goed duidelijk.
Is de Fix it ongeschikt voor IE10 op x64 systemen, of mogelijk wél geschikt wanneer Enhanced Protected Mode niet is ingeschakeld?
Dat lijkt me nogal een relevante vraag, waarop Microsoft in de informatie bij de Fix it oplossing geen antwoord biedt.
Ikzelf heb onvoldoende inzicht in de kwetsbaarheid, en in de Fix it oplossing, en in IE10 om dat goed te kunnen beoordelen.
Heeft iemand anders mogelijk wél dat inzicht om te kunnen beoordelen en uitleggen of en waarom de Fix it oplossing wel of niet geschikt is voor IE10 op x64 Windows 7 en 8?
Hetzelfde heb ik zoals gezegd eerder gevraagd in https://www.security.nl/posting/364537#posting364543, en was eerder ook al besproken in de reacties bij https://www.security.nl/posting/364180/, maar er is daar geen antwoord gekomen op het bovenstaande.
Bedankt alvast voor het meedenken.
http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
http://support.microsoft.com/kb/2887505/en
voor de kwetsbaarheid zoals beschreven in de advisory
http://technet.microsoft.com/en-us/security/advisory/2887505
De betreffende vraag heb ik eerder hier neergezet:
https://www.security.nl/posting/364537#posting364543
maar daar is nog geen antwoord gevolgd.
Daarom nu hier in het forum herpost:
Zoals Microsoft aangeeft, "The Fix it solution that is described in this section applies only 32-bit versions of Internet Explorer."
De Fix it oplossing is geschikt voor IE op x86 systemen,
en voor de 32 bit IE versies op x64 systemen (zoals 32 bit IE8 op XP x64, en 32 bit IE9 op Vista x64),
en de Fix it oplossing is niet geschikt voor de 64 bit IE versies op x64 systemen (zoals 64 bit IE8 op XP x64, en 64 bit IE9 op Vista x64).
Maar hoe zit het met IE10 op x64 Windows 7 en 8?
Uit meerdere bronnen begrijp ik dat in Windows 7 x64 de IE10 browser-tabs 32 bit processen zijn en de "Internet Explorer 10 Manager" een 64 bit proces is. (Pas wanneer Enhanced Protected Mode wordt ingeschakeld zijn ook de tabs 64 bit processen.)
Wat hierdoor voor IE10 exact de implicatie is van de vermelding door Microsoft dat de Fix it oplossing alleen van toepassing is op de 32 bits versies van Internet Explorer, dat is me niet goed duidelijk.
Is de Fix it ongeschikt voor IE10 op x64 systemen, of mogelijk wél geschikt wanneer Enhanced Protected Mode niet is ingeschakeld?
Dat lijkt me nogal een relevante vraag, waarop Microsoft in de informatie bij de Fix it oplossing geen antwoord biedt.
Ikzelf heb onvoldoende inzicht in de kwetsbaarheid, en in de Fix it oplossing, en in IE10 om dat goed te kunnen beoordelen.
Heeft iemand anders mogelijk wél dat inzicht om te kunnen beoordelen en uitleggen of en waarom de Fix it oplossing wel of niet geschikt is voor IE10 op x64 Windows 7 en 8?
Hetzelfde heb ik zoals gezegd eerder gevraagd in https://www.security.nl/posting/364537#posting364543, en was eerder ook al besproken in de reacties bij https://www.security.nl/posting/364180/, maar er is daar geen antwoord gekomen op het bovenstaande.
Bedankt alvast voor het meedenken.
Reacties (4)
Ik snap er ook niets van, en google weet het ook niet zeker.
Ik zou de vraag gewoon voorleggen aan MS zelf, liefst per mail, daar reageren ze over het algemeen iets beter op dan op (publieke) fora.
Het vaste advies om een alternatieve browser te gebruiken om te surfen en IE enkel te gebruiken om MS-producten van updates te voorzien gaat dus ook hier nog het mééste op.
Ik zou de vraag gewoon voorleggen aan MS zelf, liefst per mail, daar reageren ze over het algemeen iets beter op dan op (publieke) fora.
Het vaste advies om een alternatieve browser te gebruiken om te surfen en IE enkel te gebruiken om MS-producten van updates te voorzien gaat dus ook hier nog het mééste op.
28-09-2013, 12:59 door
Spiff
Door Anoniem, 10:40 uur:
Ik zou de vraag gewoon voorleggen aan MS zelf, liefst per mail, daar reageren ze over het algemeen iets beter op dan op (publieke) fora.
Microsoft biedt daarvoor geen e-mail contactmogelijkheid.Ik zou de vraag gewoon voorleggen aan MS zelf, liefst per mail, daar reageren ze over het algemeen iets beter op dan op (publieke) fora.
Voor dit onderwerp zou het aankaarten ervan en het proberen een bruikbaar antwoord te krijgen via Microsoft Community moeten. En daar heb ik eerder frustrerende ervaringen mee opgedaan (zie https://www.security.nl/posting/41791/).
Hier op Security.NL bestond eerder een actieve gebruikersgroep met veel kennis en inzicht. Ik hoop nog steeds dat van die groep nog voldoende mensen aanwezig zijn om vraagstukken zoals wat ik hier aankaartte op te pakken.
Het lijkt er echter op dat een flink deel van de eerder actieve gebruikers hier inmiddels weinig of niet actief meer is. Dit al sinds enige tijd, en de nieuwe opzet van de site lijkt dat beslist niet verbeterd te hebben, integendeel, zo lijkt het.
MS klantenservice:
tel. 020 500 1500
Klachten? (En terecht...)
Microsoft Nederland B.V.
Correspondentieadres:
Postbus 12377
1100 AJ Amsterdam Z.O.
En dan kun je nog live-chatten, twitteren, faceboekselen, langsgaan, of zelf iets creatiefs verzinnen met deze pagina:
http://support.microsoft.com/contactus/?ws=support&SegNo=2#livehelp_contact
Veel succes, ben benieuwd!
tel. 020 500 1500
Klachten? (En terecht...)
Microsoft Nederland B.V.
Correspondentieadres:
Postbus 12377
1100 AJ Amsterdam Z.O.
En dan kun je nog live-chatten, twitteren, faceboekselen, langsgaan, of zelf iets creatiefs verzinnen met deze pagina:
http://support.microsoft.com/contactus/?ws=support&SegNo=2#livehelp_contact
Veel succes, ben benieuwd!
@ Anoniem 15:07,
Heb je zelf ooit al eens geprobeerd Microsoft klantenservice te benaderen?
Telefonisch: meermaals doorverwezen naar Microsoft Community.
Door Microsoft aan me toegewezen mail-adres specifiek om een bepaald probleem te melden: mijn melding werd genegeerd, in een ander geval hetzelfde. Beide keren bij opnieuw contact opnemen: doorverwezen naar Microsoft Community.
Twitter: lees je wel wat er staat? Dat is om Microsoft Help te kunnen volgen, niet om wat te kunnen indienen.
Facebook: voor het posten van een reactie zou ik nota bene eerst een Facebook-account moeten aanmaken, en denk je dat Microsoft dan vervolgens werkelijk antwoord geeft op dat waarmee ik deze thread opende?
Hoe serieus ben je nou zeg?
Was zoiets simpel even aan Microsoft te vragen, dan deed ik dat wel.
Omdat dat niet zo is, doe ik een beroep op de Security.NL gebruikersgroep. Nog niet zo heel lang geleden was dat een actieve groep waarin veel personen met veel kennis en inzicht, waarvan er doorgaans diverse waren die een vraag als die ik hierboven stelde met enthousiasme konden fileren en beantwoorden.
Dat is waarom ik mijn die vraag hier stelde en geen energie verspeel aan Microsoft klantenservice en Microsoft Community.
Heb je zelf ooit al eens geprobeerd Microsoft klantenservice te benaderen?
Telefonisch: meermaals doorverwezen naar Microsoft Community.
Door Microsoft aan me toegewezen mail-adres specifiek om een bepaald probleem te melden: mijn melding werd genegeerd, in een ander geval hetzelfde. Beide keren bij opnieuw contact opnemen: doorverwezen naar Microsoft Community.
Twitter: lees je wel wat er staat? Dat is om Microsoft Help te kunnen volgen, niet om wat te kunnen indienen.
Facebook: voor het posten van een reactie zou ik nota bene eerst een Facebook-account moeten aanmaken, en denk je dat Microsoft dan vervolgens werkelijk antwoord geeft op dat waarmee ik deze thread opende?
Hoe serieus ben je nou zeg?
Was zoiets simpel even aan Microsoft te vragen, dan deed ik dat wel.
Omdat dat niet zo is, doe ik een beroep op de Security.NL gebruikersgroep. Nog niet zo heel lang geleden was dat een actieve groep waarin veel personen met veel kennis en inzicht, waarvan er doorgaans diverse waren die een vraag als die ik hierboven stelde met enthousiasme konden fileren en beantwoorden.
Dat is waarom ik mijn die vraag hier stelde en geen energie verspeel aan Microsoft klantenservice en Microsoft Community.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Challenge Developer
Wil je werken bij het beste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de latest en greatest security challenges? Solliciteer dan nu naar de functie van Certified Secure Challenge Developer.