image

Microsoft waarschuwt voor actief aangevallen lek in Internet Explorer

zaterdag 18 januari 2020, 08:33 door Redactie, 23 reacties

Microsoft waarschuwt voor een zerodaylek in Internet Explorer dat actief wordt gebruikt om gebruikers aan te vallen en een beveiligingsupdate is nog niet beschikbaar. Via de kwetsbaarheid kan een aanvaller in het ergste geval systemen volledig overnemen. Alleen het bekijken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende. Er is geen verdere interactie van de gebruiker vereist.

Het beveiligingslek is aanwezig in Internet Explorer 9, 10 en 11 en wordt veroorzaakt door de manier waarop de scripting-engine van IE geheugenobjecten verwerkt. Via de kwetsbaarheid kan een aanvaller willekeurige code uitvoeren met rechten van de ingelogde gebruiker. Hoewel een beveiligingsupdate nog niet voorhanden is kunnen gebruikers wel maatregelen nemen. Hiervoor moet toegang tot het bestand JScript.dll worden beperkt.

Microsoft stelt dat deze maatregel voor verminderde functionaliteit van de browser kan zorgen. Om volledig beschermd te zijn wordt aangeraden de update te installeren zodra die beschikbaar komt. Het lijkt erop dat deze patch tijdens de patchdinsdag van februari zal verschijnen die voor 11 februari gepland staat. Wat betreft de waargenomen aanvallen spreekt Microsoft over "beperkte, gerichte aanvallen", maar geeft geen verdere informatie. In Nederland heeft Internet Explorer op de desktop nog een marktaandeel van 4,4 procent, aldus StatCounter.

Reacties (23)
18-01-2020, 09:50 door spatieman
Ik heb een bepaald iemand voor jaartjes terug horen roepen, IE is de veiligste browser ooit, hihi.
18-01-2020, 10:13 door karma4
Door spatieman: Ik heb een bepaald iemand voor jaartjes terug horen roepen, IE is de veiligste browser ooit, hihi.
Nog verder terug Internet wat kan er nu mis mee gaan. Niemand heeft toch kwade bedoelingen laten we vooral geen lastig beperkingen opleggen.
18-01-2020, 11:30 door [Account Verwijderd]
@spatieman, @Karma4,

Waarom kunnen jullie als aantoonbare ICT specialisten niet gewoon als advies geven: gebruik IE voorlopig niet en dat onderbouwen? Daar hebben de geachte minder computerbegaafde lezertjes die het advies om toegang tot het bestand JScript.dll te beperken niet snappen tenminste nog iets aan i.p.v. jullie persoonlijke brouillement hier uitsmeren!
18-01-2020, 12:13 door Anoniem
Goede informatie over de keuze voor een veilige browser is hier te vinden:
https://www.privacytools.io/

En ook in het Nederlands:
https://toolbox.bitsoffreedom.nl/playlist/veiligbrowsen/1/

Meer algemene info over privacy-bescherming op deze site van de Electronic Frontier Foundation:
https://ssd.eff.org/module-categories/tool-guides
(noot: ik gebruik geen WhatsApp, wel Signal, dus op dit punt vind ik het EFF advies te zwak)
18-01-2020, 12:21 door karma4 - Bijgewerkt: 18-01-2020, 12:32
Door Philias: @spatieman, @Karma4,
Waarom kunnen jullie als aantoonbare ICT specialisten niet gewoon als advies..
Philias, IE een marktaandeel van 4%. Het is de verouderde browser van Windows-7. Al tijden wordt geadviseerd een modernere brosser te gebruiken welke bijgehouden wordt. Mij maakt het niet uit welke. Dat is het hoofd advies.

Nu zullen er situaties zijn die nog met een oudere browser moeten werken.
Voor thuis is dat vermoedelijk niet van toepassing, indien wel at zijn er meer afhankelijkheden. In dat geval verwacht ik dat de betreffende die keuze bewust gemaakt heeft. Die moet dan ook in staat zijn het risico te beoordelen.
Inderdaad dan niet voor willekeurig op het internet gebruiken, alleen waar dat om die bijzondere reden nodig is.

Je hebt gelijk dat de positieve opbouwende wijze beter is dan het bashen.
18-01-2020, 14:03 door Anoniem
Waarom biedt MS niet de mogelijkheid IE geheel van het OS te verwijderen?
Of kan dat niet eens vanwege "die andere explorer", die er nog steeds onder hangt.
IE is dus "the royal way of malcode into your device".
IE nooit meer gebruiken dus - afblijven en dat woord gespeld in kapitalen en drie dikke uitroeptekens.
Doe ik nu niet want hoofdlettergebruik op een forum staat gelijk aan "schreeuwen"
en een schreeuwer ben ik niet.

Het zou bij speciaal geprepareerde onveilige websites bezoeken flink wat risico schelen geen IE gebruiken.
Het aanraken of openen van IE daar zou een red alert op moeten volgen.
Net als die specifieke dropsoort, "het zou verboden moeten worden".

Waarom hebben ze toch mensen in de USA gemanipuleerd om te denken dat IE ("Blue E)
de enige manier was die gelijk stond aan "het internet opgaan". "IE-dumbed down folk".

J.O.
18-01-2020, 16:53 door Anoniem
Goh. Waar blijft nu de aanbeveling van het NCSC om alles uit te zetten? De IT specialisten bij DWDD? De AIVD bij Jinek? Of ben ik nou te cynisch?
18-01-2020, 18:40 door karma4
Door Anoniem: ....
Waarom hebben ze toch mensen in de USA gemanipuleerd om te denken dat IE ("Blue E)
de enige manier was die gelijk stond aan "het internet opgaan". "IE-dumbed down folk".

J.O.
Je kunt de browser ie er vanaf halen als w10 draait.
Er zijn nogal wat applicaries gebouwd die alleen met e werken.
Op andere plekken alleen met een onveilige achterhaalde firefox
Je krijgt het nu dat het alleen met chrome goed gaat.
De open html standaard is ten grave gedragen.
18-01-2020, 19:18 door linux4 - Bijgewerkt: 18-01-2020, 19:24
Door karma4:
Door Anoniem: ....
Waarom hebben ze toch mensen in de USA gemanipuleerd om te denken dat IE ("Blue E)
de enige manier was die gelijk stond aan "het internet opgaan". "IE-dumbed down folk".

J.O.
Je kunt de browser ie er vanaf halen als w10 draait.
Er zijn nogal wat applicaries gebouwd die alleen met e werken.
Op andere plekken alleen met een onveilige achterhaalde firefox
Je krijgt het nu dat het alleen met chrome goed gaat.
De open html standaard is ten grave gedragen.

Bij Windows 10 LTSC krijg je standaard alleen IE en als je die opent adviseert de openingspagina om Edge te installeren, waarom niet meteen enkel Edge?

Onveilige achterhaalde Firefox?

Chrome wordt inderdaad de standaar browser waar vrijwel alles goed op werkt, geen goede zaak zo'n monopoly.

Dat de Open HTML standaard ten grave is gedragen is zeker jammer hoewel jij een groot tegenstander van Open standaarden blijkt te zijn gezien veel van jouw reacties.
18-01-2020, 21:59 door Anoniem
Door Anoniem: Goh. Waar blijft nu de aanbeveling van het NCSC om alles uit te zetten? De IT specialisten bij DWDD? De AIVD bij Jinek? Of ben ik nou te cynisch?
Ja te cynisch. Je hebt de informatie van de AIVD niet in deze kwestie.
19-01-2020, 06:59 door The FOSS
Door linux4: Bij Windows 10 LTSC krijg je standaard alleen IE en als je die opent adviseert de openingspagina om Edge te installeren, waarom niet meteen enkel Edge?

Heb je wel eens een deel van een spaghetticodebouwwerk proberen te vervangen? Schier onmogelijk! Nee, dat IE zit erin en dat krijgen ze er nooit meer uit...
19-01-2020, 09:00 door Anoniem
gebruik IE voorlopig niet en dat onderbouwen?
Eh... Dat advies geldt toch al meer dan 20 jaar??
19-01-2020, 13:11 door karma4
Door linux4: Onveilige achterhaalde Firefox?
Als je het niet doorhad, het was één van de problemen met limux. Een vendor lockin met SAP en een zelfbouw gebeuren met een lockin op die ene achterhaalde FF versie.

Chrome wordt inderdaad de standaar browser waar vrijwel alles goed op werkt, geen goede zaak zo'n monopoly.
Duidelijk niet goed dat soort monopolies of de betreffende leverancier zich nu opstelt in de promotie als open source of niet. Een monopolie is een volledige afhankelijkheid. Het shitrix gebeuren is een fraai voorbeeld, dat deel draait toch op BSD?.

Dat de Open HTML standaard ten grave is gedragen is zeker jammer hoewel jij een groot tegenstander van Open standaarden blijkt te zijn gezien veel van jouw reacties.
Integendeel in ben voor open standaarden en openheid van zaken.
Ik laat me echter niet manipuleren door grote commerciëlen die het woord in de mond nemen maar anders in de praktijk brengen. Wil je zeggen dat Amazon zo'n ethisch bedrijf is met open standaarden?

Je zou componenten in de verwerkingsketens eenvoudig moeten kunnen vervangen. Er wordt niet maar de verwerkingsketen gekeken, men koopt een standaard pakket of loopt achter anderen in de hoop dat het probleem daarmee verdwijnt. Verdwijnt het niet, is het niet erg voor het beleid, de reden: iedereen heeft de zelfde problemen ook de concurrent.
19-01-2020, 18:55 door Anoniem
Karma4 heeft hierboven wel gelijk. Het zijn de problemen van de codeurs, die open source code moesten "bijbuigen" tot vendor lock-in code, dat nu al tot ongelooflijk veel problemen heeft gevoerd. Want geen open disclosure, security through obscurity en een snel aftakelend trust-gebouw, dat instort als er te veel te vaak onderuit gaat.

Hoe valt er anders dan wat te verdienen? vraagt onze clevere vragensteller. Wel, daar zal het over moeten gaan om onszelf uit dit moeras te kunnen tillen, de code-prut zal dan nog wel eventjes aan onze schoenen blijven zitten en flink blijven stinken.
Het in regel "het ene verkondigen en juist iets geheel anders doen"zal hen nog wel eens lelijk op gaan breken. Maar eigenlijk hebben we hier al veel te lang op gewacht. Op de een of andere manier worden de heersers over de code overal flink uit de wind gehouden, monopolisten tot het gaatje en bezuinigen waar het maar enigszins eraf kan voor winst-optimalisatie. De ineenstorting komt er m.i. nu aan.

En dan gaat het niet over goede of slechte propriety-owned code of goede of slechte open of gelsoten source code. Het gaat om goede en betrouwbare code zonder meer en als mensen dat niet meer neer kunnen zetten, moet iets anders dat maar gaan genereren.

luntrus
20-01-2020, 06:27 door The FOSS
@luntrus Waar heb je het over? Welke open source code moest closed source worden 'bijgebogen'. Ik weet niet eens wat ik me daarbij zou moeten voorstellen, eerlijk gezegd. Laat staan wat dit met Internet Explorer te maken zou moeten hebben. Geef eens specifieke voorbeelden van wat je bedoelt met 'bijbuigen' van open source software in closed source oplossingen? En hoe dit dan tot kwaliteitsproblemen zou leiden. Ik ben zeer benieuwd!
20-01-2020, 09:21 door Anoniem
convince a user to view the website, for example, by sending an email.

Betekent dit dat de engine in Outlook tegenwoordig niet meer IE is?
Want dit soort kwetsbaarheden in IE konden in het verleden ook gewoon misbruikt worden door een HTML mail te sturen met daarin de aanval. Je hoeft het slachtoffer niet eens een website laten bezoeken.

Peter
20-01-2020, 09:25 door _R0N_


Bij Windows 10 LTSC krijg je standaard alleen IE en als je die opent adviseert de openingspagina om Edge te installeren, waarom niet meteen enkel Edge?

Van de EU mag MS die niet meteen mee installeren.


Onveilige achterhaalde Firefox?
Ja


Chrome wordt inderdaad de standaar browser waar vrijwel alles goed op werkt, geen goede zaak zo'n monopoly.

Zeker jammer, zal er binnenkort wel weer een rechtzaak komen vanuit de EU.
20-01-2020, 10:27 door The FOSS - Bijgewerkt: 20-01-2020, 10:30
Door _R0N_:
Bij Windows 10 LTSC krijg je standaard alleen IE en als je die opent adviseert de openingspagina om Edge te installeren, waarom niet meteen enkel Edge?

Van de EU mag MS die niet meteen mee installeren.
Oké maar waarom dan wel IE mee-installeren?
20-01-2020, 11:21 door Anoniem
Zou EMET het risico mitigeren?
20-01-2020, 14:24 door Anoniem
Door karma4:
Door linux4: Onveilige achterhaalde Firefox?
Als je het niet doorhad, het was één van de problemen met limux. Een vendor lockin met SAP en een zelfbouw gebeuren met een lockin op die ene achterhaalde FF versie.

Chrome wordt inderdaad de standaar browser waar vrijwel alles goed op werkt, geen goede zaak zo'n monopoly.
Duidelijk niet goed dat soort monopolies of de betreffende leverancier zich nu opstelt in de promotie als open source of niet. Een monopolie is een volledige afhankelijkheid. Het shitrix gebeuren is een fraai voorbeeld, dat deel draait toch op BSD?.

Dat de Open HTML standaard ten grave is gedragen is zeker jammer hoewel jij een groot tegenstander van Open standaarden blijkt te zijn gezien veel van jouw reacties.
Integendeel in ben voor open standaarden en openheid van zaken.
Ik laat me echter niet manipuleren door grote commerciëlen die het woord in de mond nemen maar anders in de praktijk brengen. Wil je zeggen dat Amazon zo'n ethisch bedrijf is met open standaarden?

Je zou componenten in de verwerkingsketens eenvoudig moeten kunnen vervangen. Er wordt niet maar de verwerkingsketen gekeken, men koopt een standaard pakket of loopt achter anderen in de hoop dat het probleem daarmee verdwijnt. Verdwijnt het niet, is het niet erg voor het beleid, de reden: iedereen heeft de zelfde problemen ook de concurrent.

".. Een vendor lockin met SAP en een zelfbouw gebeuren met een lockin op die ene achterhaalde FF versie .."
Een (vendor) lock-in is inderdaad een minpunt, maar het doet vreemd aan om dat juist in combinatie met Firefox (open source, dus een vendor lockin is onmogelijk) te suggereren. Firefox wordt zeer regelmatig van updates voorzien, dus een "lockin" op een oude "achterhaalde" versie is niet de schuld van Firefox. Ben je het daarmee eens, Karma4?

".. Duidelijk niet goed dat soort monopolies of de betreffende leverancier zich nu opstelt in de promotie als open source of niet. Een monopolie is een volledige afhankelijkheid. Het shitrix gebeuren is een fraai voorbeeld, dat deel draait toch op BSD?."

Als je kort-door-debocht alles mixt wordt het onduidelijk.
Citrix is closed source software.
BSD (Berkeley Software Distribution) is inderdaad een open source Operating System, maar Citrix is een gesloten source modificatie daarvan.
https://en.wikipedia.org/wiki/List_of_products_based_on_FreeBSD

Citrix is dus in die zin vergelijkbaar met Apple: dat is ook closed-source, maar mede gebaseerd op open source BSD.
https://en.wikipedia.org/wiki/Darwin_(operating_system)

Het "Citrix-lek" zit in de closed source code.
".. de exploit code even gegoogled. Is een curl call met ../../.. in de URL. Dit soort path traversals zijn al bekend probleem sinds de eerste CGIs live gingen. Dat het in netscaler zit is dus triest.."
Zie 19-01-2020 17:54.
https://tweakers.net/nieuws/162464/meeste-nederlandse-ministeries-hebben-citrix-servers-uitgezet.html?mode=nested&niv=0&order=desc&orderBy=rating&page=1#reacties
20-01-2020, 15:07 door Anoniem
Door karma4:
Je krijgt het nu dat het alleen met chrome goed gaat.
De open html standaard is ten grave gedragen.

Jullie weten dat Edge tegenwoordig ook Chromium gebaseerd is toch? Zeer kwalijk, dat Google monopolie imnsho.
21-01-2020, 00:23 door Anoniem
Door Anoniem:
Door karma4:
Je krijgt het nu dat het alleen met chrome goed gaat.
De open html standaard is ten grave gedragen.

Jullie weten dat Edge tegenwoordig ook Chromium gebaseerd is toch? Zeer kwalijk, dat Google monopolie imnsho.
Ja, en wanneer Mozilla er de brui aan heeft gegeven en in Chromium, die dan 95% marktaandeel heeft, een dergelijk mega gat wordt ontdekt,dan ligt de hele economie plat tot er een update wordt uitgebracht. Hmm...
21-01-2020, 06:08 door The FOSS
@luntrus Waar heb je het over? Welke open source code moest closed source worden 'bijgebogen'. Ik weet niet eens wat ik me daarbij zou moeten voorstellen, eerlijk gezegd. Laat staan wat dit met Internet Explorer te maken zou moeten hebben. Geef eens specifieke voorbeelden van wat je bedoelt met 'bijbuigen' van open source software in closed source oplossingen? En hoe dit dan tot kwaliteitsproblemen zou leiden. Ik ben zeer benieuwd!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.