Hackers druk in de weer met IE-lek
Beveiligingsexperts slaan alarm nu hackers aan de haal zijn gegaan met het nieuwste lek in Internet Explorer. De situatie wordt met het uur slechter.
Beveiligingsexperts slaan alarm nu hackers aan de haal zijn gegaan met het nieuwste lek in Internet Explorer. De situatie wordt met het uur slechter.
Hackers druk in de weer met IE-lek
Beveiligingsexperts slaan alarm nu hackers aan de haal zijn gegaan met het nieuwste lek in Internet Explorer. De situatie wordt met het uur slechter.
"Tot op heden hebben we meer dan 200 unieke url's ontdekt die via het lek exploits verspreiden", zo meldde Websense Security Labs zondag op zijn site.
Websense heeft diverse 'honeypots' opgezet om te kunnen vaststellen welke sites de codes versturen. In de meeste gevallen gaat het om codes die met een downloader nog meer codes binnenhalen, zoals bots, spyware, backdoors en andere downloaders, aldus Websense.
Kwetsbaar
Het lek in IE, dat woensdag werd ontdekt, bevindt zich in de createTextRange()-functie van de browser. Kwaadwillenden zijn in staat om een compleet systeem over te nemen, nadat een IE-gebruiker een gehackte site heeft bezocht.
Verontrustend is dat hackers hun exploits op 'doodnormale sites' plaatsen. Zo zijn onder meer de sites van diverse vakantie-oorden in Florida, een online adviesbureau en een verzekeringsmaatschappij gehackt, bericht Brian Krebs van The Washington Post.
Microsoft raadt gebruikers in een advisory aan active scripting voorlopig uit te zetten. Of Microsoft het lek dicht op zijn eerstvolgende patchdag (dinsdag 11 april) of deze al eerder zal verspreiden, is nog niet bekend.
IE is een slecht product en dat komt omdat IE standaard bijgeleverd wordt en daarmee de eerste
ervaringen worden opgedaan.
Waardoor ook vele negatieve berichten over IE naar
voren komen en dit is gewoon een escalatie in het
roddel gedrag van mensen.
Een natuurlijke psychologische effect.
We kunnen beter stellen dat een PC gewoon een brak
iets is want dat is een doorborduurd concept.
Je begrijpt het niet goed.
Er is er gewoon jarenlang niet ontwikkeld.
Vanwege de enorme stapels rechtszaken en het geld dat moets worden betaald is er gewoon gekozen om geen verder investeringen te maken in IE die zouden kunnen leiden tot nog meer klachten over oneerlijke concurrentie.
Er is dus enkel gereageerd op bugs met af en toe securitypatches.
Pas nu er andere browsers competatief zijn en vooral ook ivm de release van vista waarvoor IE security zwaar moest worden aangepast is het IE team weer bemand en pas sinds 2005 weer vol aan de slag met IE 7.
Wat een onzin! Dus als het stuur zomaar kan afbreken tijden het rijden, de deuren niet op slot kunnen (ondanks dat je een dure radio hebt) vind je niet erg? Simpelheid/eenvoud waar jij het over hebt is heeeeel wat anders dan veiligheid en correct functionerende technologie.
Waarom hebben sommige mensen hier moeite toe te geven dat IE gewoon een ontzettend slecht produkt is. Het is toch niet te geloven dat na al die jaren van ontwikkeling er nog steeds niets verbeterd is. Tuurlijk hebben andere browsers ook zo hun problemen, maar die staan niet in verhouding tot de problemen met IE. Ik kan mij nog de tijd herinneren (vlak voor de opkomst van firefox) dat bijna geen enkele met internet verbonden pc niet 1 of ander probleem had met spyware. Sterker nog, je kon niet eens normaal internetten. Helemaal je op zoek ging naar porno, dan werd je oevrspoeld met dialogs om dialers e.d. te installeren. Dat is niet erg op zich, maar wel als je die dialogs niet weg kunt krijgen zonder de installatie te moeten accepteren. IE werkt misschien lekker, maar faalt hopeloos op vele andere, minstens zo belangrijke vlakken. Dus hou alsjeblieft op met het verdedigen van IE, aangezien MS gewoon jarenlang schijt aan de IE-gebruikers heeft gehad(er waren tenslotte toch geen serieuze alternatieven....Die had MS al eerder om zeep geholpen)... Nu er ineens concurrentie komt, gaan ze ineens weer aan slag.
@Repelsteeltje en nog wat anderen:
Ondanks dat ik die betere en veiligere alternatieven heb (bv Opera) ga ik ongemerkt weer steeds vaker MSIE gebruiken. Om de één of andere reden werkt ie toch lekker. De fouten neem ik voor lief.
Misschien vergelijkbaar met auto's. Mijn huidige heeft wat toeters en bellen en zo en ziet er goed uit, maar af en toe verlang ik naar de simpelheid van mijn oude C-Kadett, met al z'n fouten....
@droelofs
Iets dergelijks is ook gerealiseerd in de volgende versie van Windows, Vista. Daar draaien risicovolle processen zoals de internet explorer met verlaagde privileges zelfs als de gebruiker met hoge privilegs is ingelogd.
Er is niets veranderd bij MS:
- winst komt eerst
- dan evenniets en daarna: "meer features", afgekeken van echte uitvinders
- daarna komt "testen", daar heeft MS kennelijk eigenlijk geen geld en tijd voor over
- daarna komt de PR voor veiligheid
- en de veiligheids man van MS is aan het solliciteren bij een bedrijf dat wel geinteresseerd is in veilige software.
Ik verwijs MS fans steeds maar naar de site secunia.org
@ mdeweerd die schreef:
"Het lijkt wel alsof veel MS-Fans het normaal vinden dat software grove fouten en security-gaten hebben."
Volgens mij is het bij grote beursgenoteerde ondernemingen heel gebruikelijk en dus ook te verwachten dat er produkten worden weggezet die functioneren. Maar nooit op het niveau waarbij upgrades (en dat is wat anders dan een update) onnodig zijn. Nu IE en XP al weer jaren gebruikt zijn wordt het dus tijd voor alle aandeelhouders om nieuwe versies te verlangen. Het klinkt mogelijk cynisch, maar volgens mij zit de wereld zo in elkaar. Dat gaat op voor gloeilampen en ook voor software. In dit verband acht ik het inderdaad cruciaal dat er alternatieven zijn die geen last hebben van dit verschijnsel. Daar worden upgrades ook veel sneller doorgevoerd. Linux en OSX komen veel vaker met een upgrade. En dat zijn altijd zinvolle verbeteringen.
Ja en wat ik niet snap, er is iets als Sandbox, een programma wat software in een beschermede omgeving laat draaien waardoor alle onaangename of onveilige
situatie's zich beperken tot die omgeving.
Ik had als ontwikkelaar zoals M$ er allang naar toe
gewerkt om dit te realiseren in windows.
Eigenlijk mischien moeten ze het concept meer
benaderen van een Linux met user en group toegangs configuratie's voor programma's.
Het lijkt wel alsof veel MS-Fans het normaal vinden dat software grove fouten en security-gaten hebben. Treurig is dat, want dergelijke fouten verwacht je niet van de garage die de APK van je auto doet of van de monteurs die het vliegtuig onderhouden waar je mee op vakantie gaat.
Heel veel MS-Fans reageren 'schouderophalend' over dergelijke problemen en doen het met opmerkingen als 'diep geworteld' en 'complex' van de hand. Als een soort van plaatsvervangende schaamte wachten de meeste 'schaapjes' op weer een nieuwe IE-Bugfix en vullen de tijd met het verdedigen van de programmeurs van MS.
Wanneer beseffen jullie nou eens dat bugs helaas nooit uit te sluiten zijn, maar dat een goede programmeur wel zijn/haar best doet om bugvrij te programmeren. Een security bug zou in goede software slechts 2 keer per lifecycle voor hoeven te komen, de mate van security bugs in MS producten zetten je (hopenlijk) diep aan het nadenken.
Nou laat de Apple, Linux en andere OS gebruikers maar weer komen met hun M$ afkraak verhalen. Orgineel is het al lang niet meer. Maar goed dat heeft M$ dan ook wel an zichzelf te danken. Wel verontrustend dat de patch misschien pas 11 april komt.
Opvallend dat JIJ de S van Microsoft schrijft met een '$'... 8-)
@repelsteeltje
Ik zit al heel lang op internet, maar begeef me nu pas op webwereld. Dus even wennen ;) al die vriendelijkheid
Klopt, en dan gaan we zien of zij sneller patchen. Ik heb er eerlijk gezegd wel vertrouwen in.
Je hebt zeker een punt, maar helaas is machinecode voor crackers niet zo onleesbaar als je zou willen - daar zijn allerlei tools voor.
"het laatste lek", mijn excuses.
@h.siteur
" Bil Heets: En FF dan? Is ie echt wel beter? "
zoek jij even de laatste lek op dat daadwerkelijk ge-exploit is?
tot morgen!
@linuxpro
Er is alleen één belangrijk verschil, in tegenstelling tot linux is die betere dikke Audi RS4 niet gratis helaas.
@eurocanne
Iemand die reageert op je post hoeft het niet altijd met je oneens te zijn :-)
Hoe rendabel is het wanneer FF 80% v.d. browser market heeft? Binnen de kortste keren is er een patch uit zonder te hoeven wachten op een patch dag. Met auto update aan ben je helemaal klaar. Is al die moeite het waard als alle vuurvosjes maar 2 dagen open staan?
@repelsteeltje
Ik zei
Dus we zijn het eens dan toch...???
Het verkrijgen van spambots via firefox is gewoon nog niet rendabel maar bij voldoende gebruikers komt het vanzelf wel. Hoewel je enerzijds meer kans hebt om programmeerfouten te onderscheppen bij open source is de kans dat bugs ook tot exploits lijden weer veel groter omdat je dan kan debuggen met symbolen ipv onleesbare machinecode.
Bil Heets: En FF dan? Is ie echt wel beter?
@eurocanna
Verontrustend is dat er nog steeds mensen zijn die IE gebruiken terwijl er genoeg betere en veiligere alternatieven zijn. Dit heeft niets met MS bashing te maken, ze zijn blijkbaar na ruim 10 jaar nog steeds niet in staat een normaal functionerend produkt te leveren. MS is notabene ook de maker van het OS waar IE op draait, als je dan nog niet het zaakje kan dicht timmeren dan ben je of een softwarebedrijf met gebrekkige kennis van je eigen produkt of je bouwt de gaten er bewust in om wat voor reden dan ook.
Ik weet niet waarom mensen vervallen in een MS flame als het zoveelste kritieke lek in een MS product is gevonden. Inmiddels weten we dat sommige OS-en minder gebruikt worden en kwalitatief beter in elkaar zitten dan MS. Dat is al genoeg bewezen, onderzocht en bekritiseert. Iets wat veel gebruikt wordt, hoeft nl. niet ook het beste te zijn. Er zijn tenslotte ook veel betere auto's dan een Opel Astra en toch is die Astra mateloos populair.
Als macgebruikers moet ik vaststellen:
Het is stil aan de overkant...
Sja, foutje kan gebeuren, maar laten we wel hopen dat de patch snel komt (en niet 11 april pas, komop zeg...)
@eurocanna.
Ben een Win Lin gebruiker.... lanf leve m'n Opera;-)
Bil Heets: Inderdaad, dit is niet goed zo. Maar FF en andere hebben ook vele nukken! Iedere browser heeft zijn voor- en nadelen en gaten. Niets is volmaakt.
Maar mij moet van het hart dat IE onterecht te veel
wordt afgekraakt en dat vooral FF zo wordt opgehemeld en dat deze zoveel beter is.
Maar men weet wel beter.
of gebruik gewoon firefox
dat is nog het best
Als ze nu eens met zo'n virus linux bij iedereen installeren die op de microsoft site komt. Dan is iedereen meteen gepatched en hoeven ze niet 2 weken te wachten.
Beste Lezers,
Ehh, 'doodnormale sites' ??
Die hoogst waarschijnlijk met een z.g. "pagemaker" van die (in)famous firma, nu ja, gemaakt zijn...
Iedereen die echt iets van ICT afweet en van servers en de beveiliging ervan kan sites opzetten die verdraaid moeilijk te kraken zijn - als zij dat al zijn.
Helaas zijn sites zoals bedoel in het artikel inderdaad maar al te "normaal" (en, eigenlijk nogal ABnormaal, behalve met "dat ene beruchte "systeem" voor alle anderen vrijwel ontoegankelijk) maar jammer genoeg nog lang niet dood genoeg... ;-) )
Jammer, het wordt tijd dat sites die puur opzettelijk `anti-W3C` gemaakt zijn (ik heb het nu niet over kleine foutjes, iedereen maakt die - ik ook) door iedereen gemeden worden als een zeer gevaarlijke besmettelijke ziekte - en die vergelijking is eigenlijk op meer dan 1 manier zeer toepasselijk.
Wat betreft de "stinkernet-exploiter" (welke dan ook, 1 pot nat) , dat dit een (zeer onaangenaam ruikende) gatenkaas is wisten wij natuurlijk nog niet, maar bij deze...! :-)
Tot op heden is er nog nimmer zelfs maar 1 enkele site die door mijn collegae en mij gemaakt is met succes gekraakt.
Maar ja, wij werken dan ook niet met een, ehh, "pagemaker" en dergelijken. God zij dank !
Groeten van Diogenes.
Nou laat de Apple, Linux en andere OS gebruikers maar weer komen met hun M$ afkraak verhalen. Orgineel is het al lang niet meer. Maar goed dat heeft M$ dan ook wel an zichzelf te danken. Wel verontrustend dat de patch misschien pas 11 april komt.
@h.siteur:
Blijf je nog steeds volhouden dat IE zo geweldig is?
Reageer
Preview