Gepubliceerd: Vrijdag 22 januari 2010
Microsoft is eind augustus vorig jaar al geïnformeerd over het nu gepatchte kritieke lek in IE, wat Chinezen hebben gebruikt om onder meer Google te hacken.
Toon volledig artikel
En dat is een trieste zaak. Het toont maar weer eens aan dat ze niet te vertrouwen zijn op dit vlak.
anders deed ze [MS] helemaal niets
Dat is juist in dit geval een volstrekt onterechte opmerking.
Dit issue was al onder handen bij Microsoft.
Het gaat hier namelijk om een patch die al geplanned was voor februari maar die nu 3 weken is vervroegd.
De advisory bevat daardoor ook 7 andere patches die anders in februari gereleased zouden worden.
Het verbaast Sellem niet dat ook anderen de kwetsbaarheid hebben gevonden. “Het lag eigenlijk erg voor de hand en we hadden niet het idee dat het moeilijk was voor anderen om hem te vinden.” BugSec deed er ongeveer twee weken over om de bug te vinden.
Was het dan een bug die er pas in augustus in gekomen was?
Bryant meldt nu dat het lek niet alleen Internet Explorer kwetsbaar maakt, maar ook andere applicaties die de html-rendering engine van IE (specifiek: mshtml.dll) gebruiken voor het weergeven van html-code.
Hmm, zou dat betekenen dat je op Windows 7 kwetsbaar blijft zelfs als je IE helemaal de-installeert?
Misschien had de EU toch harder aan de rem moeten trekken om dit ongewenste distributievoordeel de nek om te draaien. We kunnen nu wel van de schil af komen, maar als er rotte plekken in kern blijven zitten, blijf je last houden. En omdat die kern in 100% van de Windows computers zit wordt concurrentie tussen render-engines nog steeds niet gestimuleerd.
Microsoft is eind augustus vorig jaar al geïnformeerd over het nu gepatchte kritieke lek in IE
Kon je IE maar deinstalleren, microsoft heeft IE in het OS geintegreerd. Niet dat dit technisch noodzakelijk was, nee de ware reden is er een van van pure Marketing. Netscape moest als browser van het bureaublad verdwijnen door de inferieure IE als niet te verwijderen default browser in te stellen.
Misschien had de EU toch harder aan de rem moeten trekken om dit ongewenste distributievoordeel de nek om te draaien. We kunnen nu wel van de schil af komen, maar als er rotte plekken in kern blijven zitten, blijf je last houden.
Ik las de post nog een keer door: Ik kan het niet beter verwoorden en ik ben het voor 100% met je eens.
Wat mij betreft gebruikt de EU deze reeks van zero day exploits inderdaad om de zaak bij de wortel aan te pakken.
Er is mijns inziens maar één oplossing:
Vooledige ontvlechting van de, mijns inziens misdadige, harde koppeling van IE met het Microsoft OS.
Microsoft is eind augustus vorig jaar al geïnformeerd over het nu gepatchte kritieke lek in IE
Shame on you Microsoft!
Bryant meldt nu dat het lek niet alleen Internet Explorer kwetsbaar maakt, maar ook andere applicaties die de html-rendering engine van IE (specifiek: mshtml.dll) gebruiken voor het weergeven van html-code. Die engine is standaard aanwezig in Windows en kan ook door andere applicaties worden gebruikt als een andere browser staat ingesteld als default browser.
Zo zie je maar weer, het browserkeuze scherm is een louter cosmetische operatie. Ook als je een andere browser gebruikt, dan nog krijg je de IE ellende gratis meegeleverd.
IE lift als verstekling mee.
Het browserkeuzescherm is een indirect gevolg van de search engine oorlog tussen Google en MS (daar komen namelijk alle browserinkomsten uit) en heeft niks van doen met de functionaliteit of security.
Het gaat in het browserkeuze scherm puur om het verkrijgen van meer marktaandeel en het bij elkaar schrapen van meer advertentiedollars.
Het browser keuze scherm was opgelegd door de anti-trust commissie voor misbruik maken van monopolie positie.
Zie pers artikel van de EC.
En nu niet meer van de gekke houden, hè bieb?
Is jouw engels echt zo slecht?
Het was en blijft een voorstel van MS dat door de EU geacepteerd is. Idee en uitvoering: MS
Goedkeuring: EU
"Het is in wezen de patch die al klaarstond voor de volgende patchronde, die op dinsdag 9 februari plaatsvindt. Microsoft heeft deze patch relatief snel uit kunnen brengen omdat het al maanden op de hoogte was van het Chinese gat. "
Wat is er snel aan het uitbrengen patch, die al blijkt te hebben gelegen, voor een forse lek waar Microsoft al 4 maanden geleden van op de hoogte is gebracht ?
Ver voor de eerste aanval.
Het is onverstandig om patches zo maar even snel te maken en over de muur te gooien. Zie ook deze quote uit het artikel.
Volgens experts is het niet verwonderlijk dat het lek pas in februari gepatcht zou worden. Er gaan maanden overheen voordat er code is geschreven en voordat die goed is getest op alle platformen. Zoiets moet grondig gebeuren omdat er veel van afhangt. Bovendien was de bug niet openbaar gemaakt, en er waren geen aanwijzingen dat er misbruik van werd gemaakt
Er gaan maanden overheen voordat er code is geschreven en voordat die goed is getest op alle platformen. Zoiets moet grondig gebeuren omdat er veel van afhangt.
Lees: spaghetti code
Lees: vinylat45 weet niks van de betreffende code en lult uit zijn nek.
De complexiteit van een dergelijke release zit meer in de hoeveelheid packages.
Er zijn veel combinaties van verschillende IE en Windows versies waar deze patch voor gebouwd getest en uitgeleverd moet worden. Bovendien is het een pakket van 8 patches die getest moeten worden.
Alleen deze deze vervroegde security update bevat volgens het IE team in totaal 236 verschillende packages voor alle verschillende te updaten varianten.
Er zijn trouwens ondanks allerlei verhalen nog steeds geen succesvolle aanvallen in het wild met de zero day exploit op bijvoorbeeld IE7 en IE8 bekend.
De reden dat ze zoveel packages moeten maken ligt dan ook volledig bij Microsoft. Ze kiezen er zelf voor om software incompatible tussen de releases van Windows te maken, en ze hebben zelf gekozen om IE6 niet te laten upgraden. Dat bedrijven nog steeds afhankelijk zijn van IE6 is ook Microsoft's schuld.
De enige schuld die niet bij Microsoft zou liggen, is als de gebruiker niet zou upgraden naar een nieuwe IE. Waarom een gebruiker niet zou upgraden? Nou, ik kan geen enkele reden bedenken behalve dat de gebruiker vertelt moet worden dat er een nieuwe versie beschikbaar is, omdat hij dat zelf blijkbaar niet weet.
De schuld ligt in zijn geheel bij Microsoft...
"Bovendien is het een pakket van 8 patches die getest moeten worden. Alleen deze deze vervroegde security update bevat volgens het IE team in totaal 236 verschillende packages voor alle verschillende te updaten varianten."
En dat om een (1) bug op te lossen ? Geen wonder dat Microsoft nooit toekomt aan iets ontwikkelen dat echt nieuw en zelfbedacht is.
En dat om een (1) bug op te lossen?
Lijkt me niet.
IE6
IE7 32 en 64
IE8 32 en 64
En dan ook nog voor Windows 2000, XP, Vista, 7, Server 2003, 2007 (enz?).
En dan ook nog voor Windows 2000, XP, Vista, 7, Server 2003, 2007 (enz?).
Ze hebben één mazzel: Het is voor alle Windows versies (bijna) dezelfde codebase.
Zoveel is uit de stortvloed van zero day exploits van de laatste weken wel gebleken:
Dit kan alleen maar lukken als er zeer grote cruciale overeenkomsten zijn over al die Windows versies heen.
*** Verwijderd ***
Geplaatst als reactie op Peter.
Komt toch wel eens vaker voor dat je op een post reageert en datie dan toch als nieuwe entry verschijnt....
Yup, dat komt voor, de reaguur geeft aan dat je reaguurt op "naam", maar plaats het als een nieuwe reaguur.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
