Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Fix it voor IE10 op x64?
Ik heb een vraag bij de Microsoft Fix it voor IE
http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
http://support.microsoft.com/kb/2887505/en
voor de kwetsbaarheid zoals beschreven in de advisory
http://technet.microsoft.com/en-us/security/advisory/2887505
De betreffende vraag heb ik eerder hier neergezet:
https://www.security.nl/posting/364537#posting364543
maar daar is nog geen antwoord gevolgd.
Daarom nu hier in het forum herpost:
Zoals Microsoft aangeeft, "The Fix it solution that is described in this section applies only 32-bit versions of Internet Explorer."
De Fix it oplossing is geschikt voor IE op x86 systemen,
en voor de 32 bit IE versies op x64 systemen (zoals 32 bit IE8 op XP x64, en 32 bit IE9 op Vista x64),
en de Fix it oplossing is niet geschikt voor de 64 bit IE versies op x64 systemen (zoals 64 bit IE8 op XP x64, en 64 bit IE9 op Vista x64).
Maar hoe zit het met IE10 op x64 Windows 7 en 8?
Uit meerdere bronnen begrijp ik dat in Windows 7 x64 de IE10 browser-tabs 32 bit processen zijn en de "Internet Explorer 10 Manager" een 64 bit proces is. (Pas wanneer Enhanced Protected Mode wordt ingeschakeld zijn ook de tabs 64 bit processen.)
Wat hierdoor voor IE10 exact de implicatie is van de vermelding door Microsoft dat de Fix it oplossing alleen van toepassing is op de 32 bits versies van Internet Explorer, dat is me niet goed duidelijk.
Is de Fix it ongeschikt voor IE10 op x64 systemen, of mogelijk wél geschikt wanneer Enhanced Protected Mode niet is ingeschakeld?
Dat lijkt me nogal een relevante vraag, waarop Microsoft in de informatie bij de Fix it oplossing geen antwoord biedt.
Ikzelf heb onvoldoende inzicht in de kwetsbaarheid, en in de Fix it oplossing, en in IE10 om dat goed te kunnen beoordelen.
Heeft iemand anders mogelijk wél dat inzicht om te kunnen beoordelen en uitleggen of en waarom de Fix it oplossing wel of niet geschikt is voor IE10 op x64 Windows 7 en 8?
Hetzelfde heb ik zoals gezegd eerder gevraagd in https://www.security.nl/posting/364537#posting364543, en was eerder ook al besproken in de reacties bij https://www.security.nl/posting/364180/, maar er is daar geen antwoord gekomen op het bovenstaande.
Bedankt alvast voor het meedenken.
http://blogs.technet.com/b/srd/archive/2013/09/17/cve-2013-3893-fix-it-workaround-available.aspx
http://support.microsoft.com/kb/2887505/en
voor de kwetsbaarheid zoals beschreven in de advisory
http://technet.microsoft.com/en-us/security/advisory/2887505
De betreffende vraag heb ik eerder hier neergezet:
https://www.security.nl/posting/364537#posting364543
maar daar is nog geen antwoord gevolgd.
Daarom nu hier in het forum herpost:
Zoals Microsoft aangeeft, "The Fix it solution that is described in this section applies only 32-bit versions of Internet Explorer."
De Fix it oplossing is geschikt voor IE op x86 systemen,
en voor de 32 bit IE versies op x64 systemen (zoals 32 bit IE8 op XP x64, en 32 bit IE9 op Vista x64),
en de Fix it oplossing is niet geschikt voor de 64 bit IE versies op x64 systemen (zoals 64 bit IE8 op XP x64, en 64 bit IE9 op Vista x64).
Maar hoe zit het met IE10 op x64 Windows 7 en 8?
Uit meerdere bronnen begrijp ik dat in Windows 7 x64 de IE10 browser-tabs 32 bit processen zijn en de "Internet Explorer 10 Manager" een 64 bit proces is. (Pas wanneer Enhanced Protected Mode wordt ingeschakeld zijn ook de tabs 64 bit processen.)
Wat hierdoor voor IE10 exact de implicatie is van de vermelding door Microsoft dat de Fix it oplossing alleen van toepassing is op de 32 bits versies van Internet Explorer, dat is me niet goed duidelijk.
Is de Fix it ongeschikt voor IE10 op x64 systemen, of mogelijk wél geschikt wanneer Enhanced Protected Mode niet is ingeschakeld?
Dat lijkt me nogal een relevante vraag, waarop Microsoft in de informatie bij de Fix it oplossing geen antwoord biedt.
Ikzelf heb onvoldoende inzicht in de kwetsbaarheid, en in de Fix it oplossing, en in IE10 om dat goed te kunnen beoordelen.
Heeft iemand anders mogelijk wél dat inzicht om te kunnen beoordelen en uitleggen of en waarom de Fix it oplossing wel of niet geschikt is voor IE10 op x64 Windows 7 en 8?
Hetzelfde heb ik zoals gezegd eerder gevraagd in https://www.security.nl/posting/364537#posting364543, en was eerder ook al besproken in de reacties bij https://www.security.nl/posting/364180/, maar er is daar geen antwoord gekomen op het bovenstaande.
Bedankt alvast voor het meedenken.
Reacties (4)
Ik snap er ook niets van, en google weet het ook niet zeker.
Ik zou de vraag gewoon voorleggen aan MS zelf, liefst per mail, daar reageren ze over het algemeen iets beter op dan op (publieke) fora.
Het vaste advies om een alternatieve browser te gebruiken om te surfen en IE enkel te gebruiken om MS-producten van updates te voorzien gaat dus ook hier nog het mééste op.
Ik zou de vraag gewoon voorleggen aan MS zelf, liefst per mail, daar reageren ze over het algemeen iets beter op dan op (publieke) fora.
Het vaste advies om een alternatieve browser te gebruiken om te surfen en IE enkel te gebruiken om MS-producten van updates te voorzien gaat dus ook hier nog het mééste op.
28-09-2013, 12:59 door
Spiff
Door Anoniem, 10:40 uur:
Ik zou de vraag gewoon voorleggen aan MS zelf, liefst per mail, daar reageren ze over het algemeen iets beter op dan op (publieke) fora.
Microsoft biedt daarvoor geen e-mail contactmogelijkheid.Ik zou de vraag gewoon voorleggen aan MS zelf, liefst per mail, daar reageren ze over het algemeen iets beter op dan op (publieke) fora.
Voor dit onderwerp zou het aankaarten ervan en het proberen een bruikbaar antwoord te krijgen via Microsoft Community moeten. En daar heb ik eerder frustrerende ervaringen mee opgedaan (zie https://www.security.nl/posting/41791/).
Hier op Security.NL bestond eerder een actieve gebruikersgroep met veel kennis en inzicht. Ik hoop nog steeds dat van die groep nog voldoende mensen aanwezig zijn om vraagstukken zoals wat ik hier aankaartte op te pakken.
Het lijkt er echter op dat een flink deel van de eerder actieve gebruikers hier inmiddels weinig of niet actief meer is. Dit al sinds enige tijd, en de nieuwe opzet van de site lijkt dat beslist niet verbeterd te hebben, integendeel, zo lijkt het.
MS klantenservice:
tel. 020 500 1500
Klachten? (En terecht...)
Microsoft Nederland B.V.
Correspondentieadres:
Postbus 12377
1100 AJ Amsterdam Z.O.
En dan kun je nog live-chatten, twitteren, faceboekselen, langsgaan, of zelf iets creatiefs verzinnen met deze pagina:
http://support.microsoft.com/contactus/?ws=support&SegNo=2#livehelp_contact
Veel succes, ben benieuwd!
tel. 020 500 1500
Klachten? (En terecht...)
Microsoft Nederland B.V.
Correspondentieadres:
Postbus 12377
1100 AJ Amsterdam Z.O.
En dan kun je nog live-chatten, twitteren, faceboekselen, langsgaan, of zelf iets creatiefs verzinnen met deze pagina:
http://support.microsoft.com/contactus/?ws=support&SegNo=2#livehelp_contact
Veel succes, ben benieuwd!
@ Anoniem 15:07,
Heb je zelf ooit al eens geprobeerd Microsoft klantenservice te benaderen?
Telefonisch: meermaals doorverwezen naar Microsoft Community.
Door Microsoft aan me toegewezen mail-adres specifiek om een bepaald probleem te melden: mijn melding werd genegeerd, in een ander geval hetzelfde. Beide keren bij opnieuw contact opnemen: doorverwezen naar Microsoft Community.
Twitter: lees je wel wat er staat? Dat is om Microsoft Help te kunnen volgen, niet om wat te kunnen indienen.
Facebook: voor het posten van een reactie zou ik nota bene eerst een Facebook-account moeten aanmaken, en denk je dat Microsoft dan vervolgens werkelijk antwoord geeft op dat waarmee ik deze thread opende?
Hoe serieus ben je nou zeg?
Was zoiets simpel even aan Microsoft te vragen, dan deed ik dat wel.
Omdat dat niet zo is, doe ik een beroep op de Security.NL gebruikersgroep. Nog niet zo heel lang geleden was dat een actieve groep waarin veel personen met veel kennis en inzicht, waarvan er doorgaans diverse waren die een vraag als die ik hierboven stelde met enthousiasme konden fileren en beantwoorden.
Dat is waarom ik mijn die vraag hier stelde en geen energie verspeel aan Microsoft klantenservice en Microsoft Community.
Heb je zelf ooit al eens geprobeerd Microsoft klantenservice te benaderen?
Telefonisch: meermaals doorverwezen naar Microsoft Community.
Door Microsoft aan me toegewezen mail-adres specifiek om een bepaald probleem te melden: mijn melding werd genegeerd, in een ander geval hetzelfde. Beide keren bij opnieuw contact opnemen: doorverwezen naar Microsoft Community.
Twitter: lees je wel wat er staat? Dat is om Microsoft Help te kunnen volgen, niet om wat te kunnen indienen.
Facebook: voor het posten van een reactie zou ik nota bene eerst een Facebook-account moeten aanmaken, en denk je dat Microsoft dan vervolgens werkelijk antwoord geeft op dat waarmee ik deze thread opende?
Hoe serieus ben je nou zeg?
Was zoiets simpel even aan Microsoft te vragen, dan deed ik dat wel.
Omdat dat niet zo is, doe ik een beroep op de Security.NL gebruikersgroep. Nog niet zo heel lang geleden was dat een actieve groep waarin veel personen met veel kennis en inzicht, waarvan er doorgaans diverse waren die een vraag als die ik hierboven stelde met enthousiasme konden fileren en beantwoorden.
Dat is waarom ik mijn die vraag hier stelde en geen energie verspeel aan Microsoft klantenservice en Microsoft Community.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur compliance
Ministerie van Buitenlandse Zaken
Er gebeurt ontzettend veel bij ons Cyber Security Center. We zijn over de hele wereld 24 uur per dag actief, nemen risico’s voor verbeteringen en zijn continu op zoek naar vernieuwing. Als adviseur compliance ga jij aan de slag in dit dynamische centrum. Zo bescherm je Nederland tegen privacydreigingen en cybercrimes.
Technical Security Trainer
Ben je net als de rest van ons team bovenmatig geïnteresseerd in security en vind je het leuk om je hacker mindset en security-skills over te dragen? Dan ben je bij ons aan het juiste adres!
Are you ready for a challenge?