Gepubliceerd: Dinsdag 14 juli 2009
Microsoft waarschuwt voor een gloednieuw beveiligingslek in Internet Explorer-element ActiveX dat de webonderdelen van Excel betreft. Het bedrijf biedt een workaround.
Toon volledig artikel
Alweer een Microsoft bericht, dat zijn er al 10 in twee dagen, minstens. Of jullie weten niks beters dan constant Microsoft, Microsoft, of jullie staan bij ze op de loonlijst. Slecht nieuws houdt je naam ook in het zicht, tenslotte.
Anyway, Internet Explorer is bagger. Net als de rest van rommel uit de Microsoft stal. Gebruik een veilige browser, zoals Firefox.
http://www.mozilla.com/en-US/firefox/upgrade.html
Alweer een Microsoft bericht, dat zijn er al 10 in twee dagen, minstens. Of jullie weten niks beters dan constant Microsoft, Microsoft, of jullie staan bij ze op de loonlijst. Slecht nieuws houdt je naam ook in het zicht, tenslotte.
Inderdaad, ik stel voor dat Webwereld zijn naam veranderd in MS-wereld. En verder gewoon alleen maar MS berichten plaatst.
Ik heb wat zinnigs te melden.
Stap 1: zorg ervoor dat je een goede internetverbinding hebt en een betrouwbare browser.
Stap 2; Uninstalleer MS-Office danwel OpenOffice.
Stap 3; Gebruik in je browser Google Docs of iGoogle.
Scheelt je een hoop MB's locaal op je harddisk. Google Docs is voor mij goed genoeg(ik wil nog wel even agreement lezen wat er mogelijk gebeurt met de opgeslagen bestanden betreft privacy-als deze als hidden geselecteerd zijn-). En vanaf elke machine met internet te gebruiken. handig om op verschillende plakken aan dezelfde document/presentatie/spreadsheet te werken.
Knul toch... straks ga je me ook nog vertellen dat we met z'n allen Linux moeten gaan gebruiken. Dat er hier veel nieuws over Microsoft gebracht wordt is niet zo vreemd, omdat Windows en Internet Explorer de meest gebruikte software is. Of je dat nu leuk vindt of niet, het is nu eenmaal zo.
Gelukkig is Firefox vrij van beveiligingslekken en heeft deze browser nooit updates nodig....... zucht
Gebruik een veilige browser, zoals Firefox.
http://www.mozilla.com/en-US/firefox/upgrade.html
PS:
Misschien nog even wachten met dit advies totdat 3.5.1 uit is. Ik lees net dat drive-by's nu ook mogelijk zijn met de nieuwe FF 3.5. (Ik vind dit ook niet leuk, maar het is niet anders.)
Workaround behelst een aanpassing via about:config (wat resulteert in de snelheid van FF3.0 m.b.t. het verwerken van JavaScripts, oh, de ironie). Zie verder: Stopgap Fix for Critical Firefox 3.5 Security Hole
En allemaal zonder Active-X, trouwens...
Gebruik een veilige browser, zoals Firefox.
Dat is een hele domme opmerking op de dag dat er in Firefox ook een higly critical zero-day vunerability is ontdekt (en exploit code is gepubliceerd!).
secunia.com/advisories/35798/
Firefox lek exploit code
Net als bij het lek van vorige week, kan ook dit zwakke punt in de Active X-omgeving misbruikt worden door malware op een website. Simpelweg het bezoeken van een besmette site levert de pc van de eindgebruiker een besmetting op. Volgens antivirusmaker Sophos is de kwaadaardige code al op verschillende Chinese sites gesignaleerd.
Microsoft heeft nog geen patch voorhanden, maar is druk bezig met de ontwikkeling. “De update komt beschikbaar zodra deze geschikt is voor wereldwijde distributie”, meldt een woordvoerder van Microsofts beveiligingsteam MSRC.
Een sterk gevoel van déjà vu bekruipt me bij het bovenstaande. Alsof ik het allemaal al eens eerder en vaker heb gelezen (zeker m.b.t. Active-X).
@ Kameo:
Anyway, Internet Explorer is bagger. Net als de rest van rommel uit de Microsoft stal. Gebruik een veilige browser, zoals Firefox.
Firefox ondersteund standaard geen Active-X, dat maakt het alleen moeilijker om een drive-by uit te voeren. Blijft nog zat andere gaten-meuk over om te misbruiken bij een andere browser (om het even welke), met name bij eventueel geïnstalleerde plugins (Adobe, QuickTime, JAVA, etc.).
Maar, misschien valt IE's veiligheid extra op te schroeven door Active-X voorgoed en in z'n geheel te deactiveren (geen idee of dat kan en welke consequenties dat heeft, ben niet zo bekend met IE).
Voor het ophalen en installeren van patches heb je toch active X nodig? Ik had het ooit uitgeschakelt omdat ik niet wilde dat onbekenden actief(active xxx) op mijn PC werden. Toen ik de eerste keer patches ging ophalen moest dat active gat weer open gezet. Bummer.
Voor het ophalen en installeren van patches heb je toch active X nodig?
Hmmm... Heel goed mogelijk als je via de browser moet updaten. Ik weet niet hoe dat zit als je dat niet via de browser doet (zoals in Vista, bijv.).
Enfin. Als je Active-X volledig weet te deactiveren zit je dus mogelijk in een soort van catch 22. :-)
Onder Vista niet zoveel meer.
Voorheen kon de verkenner webpagina's uitvoeren maar die worden nu separaat geopend in IE.
Essentie blijft dat je geen IE hoeft te gebruiken om windows te updaten.
Voorheen kon de verkenner webpagina's uitvoeren maar die worden nu separaat geopend in IE.
En waarom gebruikt Windows Update nu dan een .dll ??
Explorer roept nog steeds hetzelfde halfgebakken systeem aan, al is het nu via een "verse" .dll, en het verschil tussen E en IE is nog steeds nihil.
Zeg niet dat FF op dit moment geen bagger is. De ene na de andere hanger na de update naar 3.5. En die beroemde reactiesnelheid van met team achter FF? Waar is die nu?
En dit is geen flame of iets dergelijks want ik gebruik FF ook veel liever dan IE.
Het is gewoon even een opmerking om de zaak even in perspectief te plaatsen. Welk perspectief? Gewoon dat geen enkele software perfect is.
Firefox ondersteund standaard geen Active-X, dat maakt het alleen moeilijker om een drive-by uit te voeren.
Het lek heeft dan ook niks met een lek in activex te maken maarmet een lek in een plugin.
De MS office web component plugin voor spreadsheet wordt door de gebruiker geinstalleerd tegelijk met met MS Office 2003 als gewone plugin (het hele plugin mechanisme van IE valt onder activex).
Dus ook flash of de google toolbar is in IE een activex plugin net al alle andere plugins.
Firefox heeft een eigen plugin mechnisme maar dat beschermt ook niet tegen lekken in de plugins zelf.
Kom er maar in SEDje... Probeer maar te redden wat er nu nog te redden valt.
Wat een ondankbare MS-jobje heb je toch ;-)))
en neem deze van security.nl meteen ff mee:
Volgens Mike Reavey van het Microsoft Security Response Center is men inderdaad vorig jaar al ingelicht en begonnen met de ontwikkeling van een update. Halverwege dit proces ontdekten aanvallers hetzelfde lek en begonnen dit te misbruiken. Aangezien de ontwikkelaars van Microsoft al ver genoeg gevorderd waren, kon men de nodige informatie prijsgeven en de patch voor patchdinsdag afronden en testen.
...
Tijdens het onderzoek van de kwetsbaarheid werden ook 45 andere kwetsbare onderdelen ontdekt, die de aanvallers nog niet misbruikten.
Dat bericht gaat over een vunerability waar webwereld vorige week over berichtte die een jaar daarvoor aan MS was gemeld.
Zie:
http://blogs.technet.com/msrc/archive/2009/07/09/questions-about-timing-and-microsoft-security-advisory-972890.aspx
Je vertaling is security.nl trouwens volstrekt niet accuraat. Ze vonden meerdere lekken in bepaalde interfaces in IE maar er is niet gezegd hoeveel. Daarnaast vonden ze 45 van die interfaces in IE op XP die echter niet gebruikt worden en die bijvoorbeeld op Vista waren uitgeschakeld. Ipv de gevonden losse lekken aan te passen had men besloten om uit voorzorg maar meteen alle 45 gevonden niet gebruikte interfaces uit IE op XP te slopen. Daarmee duurde het echter veel langer om de patch te testen en implementeren.
Misschien voortaan ook wel even goed om te vermelden dat het lek zit in de Office Web Components en wel een spreadsheet plugin.
Dit zijn oude plugins van MS Office voor IE die niet meer actief ontwikkeld worden (worden in Office 2007 niet meer standaard geinstalleerd)
Het lek zit dan ook niet in ActiveX wat in deze slechts het pluginmechanisme van IE is maar zit in de Office plugins zelf.
Als zodanig is het een lek in Office.
Het feit dat er een lek zit in een component die voor zowel een spreadsheet als een browser lekken oplevert deed mij toch wel even de wenkbrauwen fronsen. Wat hebben die in $deity-vredesnaam met elkaar te maken?!?
Als zodanig is het een lek in Office.
...maar te misbruiken via IE. Kom, dat klinkt toch vreemd?
Dat snap ik ook wel, maar dat is dus Niet Goed. Je browser is kwetsbaar omdat je een office-pakket hebt geinstalleerd? Dat zou natuurlijk van z'n levensdagen niet moeten mogen.
je browser kan ook kwetsbaar zijn omdat je een plugin hebt geïnstalleerd. Als er een connectie zit kunnen die elkaar beïnvloeden. Je OS kan kwetsbaar zijn omdat je een flash speler geïnstalleerd hebt of Winamp of een andere mediaplayer.
Goed? Nee natuurlijk niet, maar helaas in de praktijk tekens weer voorkomend ongeacht het OS.
je browser kan ook kwetsbaar zijn omdat je een plugin hebt geïnstalleerd.
Dat vind ik toch een ander verhaal. Als ik de EvilHaxx0r-extensie voor Firefox installeer kan ik me voorstellen dat Firefox vreemd gaat doen. Ik verwacht echter niet dat IE raar gaat doen als ik Office installeer. Hoeveel gebruikers weten dat ze die plugin mee-installeren? Wat ik er zo snel uit opmaak gebeurt het nl. automatisch - insecure by default, dus. Again. Overigens gebruik ik al jaren Office noch IE, dus misschien is het wel iets handmatigs en ligt het verhaal iets genuanceerder, maar de berichtgeving erover impliceert dat het een standaardcomponent is. (Wat gebeurt er trouwens als IE niet mijn standaard-browser is?)
Je OS kan kwetsbaar zijn omdat je een flash speler geïnstalleerd hebt of Winamp of een andere mediaplayer.
Ook dat zou niet moeten mogen, al kan het inderdaad voorkomen. Maar dan nog, OS <> applicatie is een host <> client relatie. Excel en IE zijn beiden 'clients'. Het zou toch raar zijn als je WinAmp installeert, en opeens blijkt dat je Photoshop lek is? Om maar even twee ongerelateerde zaken te noemen.
zoals gezegd, je hebt helemaal gelijk, maar het is niet OS specifiek dus een heel breed probleem.
Mogleijk dat gazelle en Chrome OS daar wat aan doen, die pretenderen beiden een min of meer perfecte scheiding.
Het lek zit dan ook niet in ActiveX wat in deze slechts het pluginmechanisme van IE is maar zit in de Office plugins zelf.
Dankzij Active-X kan de belachelijk eenvoudige methode van de drive-by ingezet worden om het lek in de Office plugins te misbruiken en een systeem te besmetten.
Active-X speelt daardoor een niet te bagatelliseren rol in deze. Ik moet eigenlijk meteen denken aan het bekende adagium "It's not a bug, it's a feature!". :-)
Dat is niet juist.
Ditzelfde kan in principe ook met bijvoorbeel firefox plugins.
De slechte reputatie van activex komt uit een tijd dat IE5 automatisch dergelijk executable plugins kon inladen vanaf het internet. Dat is hier echter niet het geval. De office web plugin is gewoon door de gebruiker geinstalleerd samen met office 2003 net zoals een flash plugin is geinstalleerd.
Nu begin ik me serieus af te vragen of je al werkelijk met IE8 "gewerkt" hebt.
Ik zie hetzelfde gedrag wat je beschrijft van IE5 namelijk nog in IE8.
(Alsof MS eens iets zou leren.., klik maar een keer op OK/ja)
Ik vraag me af of ji wel eens met IE8 gewerkt hebt want er worde zeker niet automatisch executable code gedownload.
Als er plugin nodig zijn om bepaalde content te verwerken dat wordt er in IE8 een gele waarschuwingbalk getoont en moet je zelf actie ondernemen om een eventuele download van een dergelijke plugin goed te keuren. Als je dan op Vista (of Win 7 werkt moet je eventueel ook nog als admin inloggen of (als je al met admin rechten werkt) je rechten verhogen om een plugin te installeren.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
