Microsoft werkt aan patch voor maanden oud IE8-lek
Het beveiligingslek in Internet Explorer 8 dat deze week door een Amerikaans beveiligingsbedrijf werd onthuld zal worden gepatcht, zo heeft Microsoft aangekondigd. De kwetsbaarheid werd vorig jaar oktober ontdekt en door beveiligingsbedrijf TippingPoint aan Microsoft gerapporteerd.
TippingPoint hanteert een deadline van zes maanden waarin bedrijven de tijd krijgen om het gerapporteerde probleem te verhelpen. Aangezien Microsoft nog altijd geen update had uitgebracht besloot het beveiligingsbedrijf enkele details te openbaren. Via het lek is het mogelijk om kwetsbare computers in het ergste geval volledig over te nemen.
Microsoft stelt in een verklaring aan de media dat het nog geen aanvallen via het IE8-lek heeft waargenomen. "Sommige updates zijn complexer dan andere, en we moeten elke update tegen een groot aantal programma's, applicaties en verschillende configuraties testen. We zijn bezig om dit probleem op te lossen en zullen, wanneer gereed, een beveiligingsupdate uitbrengen om onze klanten te beschermen", aldus een woordvoerder van Microsoft. Het gaat in dit geval alleen om updates voor Vista en Windows 7, aangezien IE8 op Windows XP niet meer wordt ondersteund.
Waarschuwing
De ontdekker van het lek, de Belgische beveiligingsonderzoeker Peter Van Eeckhoutte, stelt dat de nu verschenen advisory eerder een waarschuwing voor het IE8-lek is dan een handleiding om het lek te misbruiken. "De advisory bevat verschillende details over de bug, maar wees gerust, het zal niet eenvoudig zijn om het lek gebaseerd op alleen de advisory te reproduceren", zo laat de Belg op zijn eigen website weten.
Volgens Van Eeckhoutte is er vast een goede reden waarom Microsoft het lek nog niet gepatcht heeft. Op deze pagina van het Zero Day Iniative van TippingPoint, het beloningsprogramma waar onderzoekers tegen een financiële vergoeding kwetsbaarheden kunnen rapporteren, staan nog veel meer Microsoft-lekken vermeld, die nog ouder zijn dan het nu onthulde IE8-lek. In het verleden werd Microsoft ook al eens "bestraft" omdat het sommige lekken niet op tijd patchte.
In dit geval merkt Van Eeckhoutte op dat 180 dagen inderdaad erg lang is, maar dat het geen aanwijzing is dat Microsoft bugmeldingen negeert of niet om de veiligheid geeft. "Laten we de dingen dus niet overdrijven. Sterker nog, Microsoft levert fantastisch werk met het verwerken van bugmeldingen, het uitbrengen van patches en bedanken van onderzoekers."
Tijdelijk maatregel
Gebruikers van IE8 kunnen zich op verschillende manieren tegen misbruik van het lek beschermen. De eerste maatregel betreft instellingen die via de Internetopties zijn in te stellen. Zo moet het beveiligingsniveau van de 'Internet zone' op 'Hoog' worden gezet en moet het "Uitvoeren van scripts" en het "Actief uitvoeren van scripts" worden uitgeschakeld.
Een andere optie is het installeren van de gratis Enhanced Mitigation Experience Toolkit (EMET). Deze twee maatregelen zullen IE8-gebruikers beschermen, aldus Microsoft. Gebruikers van Windows 7 krijgen van het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit het advies om naar Internet Explorer 11 te upgraden. In het geval van Windows Vista kunnen gebruikers alleen naar IE9 upgraden, omdat IE110 en IE11 niet voor dit platform beschikbaar zijn.
Er zijn zat andere browsers die ook nog veel beter werken!
Er zijn zat andere browsers die ook nog veel beter werken!
Er zijn zat andere browsers die beter lekken dan IE :-O.
Er is al eens geoppered om een dynamiesche browser te maken die steeds de minst (bekend) kwetsbare browser opstart.
Wanneer je dit nog zou combineren met actuele aanval gegevens dan zou je mogelijk redelijk veilig kunnen surfen?
IE10, IE11 en zelfs IE12 is zo lek als een mandje, met beetje code heb je alsnog toegang tot de pc.
Elke browser die een programma code kan uitvoeren is lek namelijk, toch mooi dat Java zo goed werkt:)
XP lek? dan is Windows8 net zo lek als een mandje.
Wat een HOAKS allemaal, en die grote bedrijfen zoals Google verzameld uw gegevens om vervolgens de bedrijfen te informeren wat jij graag zoekt en je vrolijk een mailtje kan sturen met de info die jij zo graag wil ontvangen en je pc van nodige gegevens voorziet om de zoekmachine en websites de juiste info te geven.
Ofwel jou gegevens op jou pc worden GESTOLEN door Google en andere websites!
Juist ja, JIJ die daar om vraagd en met z'n allen dit allemaal heel fijn vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.