Ernstig lek in Internet Explorer wordt misbruikt - vrijdag beveiligingsupdate

Er zit een ernstig lek in Internet Explorer 6, 7, 8 en 9 dat door internet criminelen momenteel uitgebuit wordt via een drive-by download. Dit wil zeggen dat door het slechts bezoeken van een schadelijke website met Internet Explorer er al malware op je pc geplaatst kan worden (zelfs zonder iets aan te klikken).

Microsoft komt vrijdagavond 21 september met een update om het lek te repareren. Mensen die Internet Explorer gebruiken wordt aangeraden om een andere browser te gebruiken (en als standaard in te stellen) totdat Microsoft de beveiligingsupdate gereed heeft.

Update 19.15u:
Het leek er eerder vandaag op dat alleen Internet Explorer 7 en 8 onder Windows XP kwetsbaar waren, maar naar nu blijkt zijn alle Internet Explorer-versies voor Windows XP, Vista en 7 bevattelijk voor de aanval - zo meldt Security.nl. Tekst van dit artikel is daarom aangepast.

Update 18 september:
Microsoft erkent dat het lek in Internet Explorer 9 en eerder zit. Een beveiligingsupdate heeft de softwaregigant nog niet, maar wel een behoorlijk omslachtig stappenplan om Internet Explorer extra te beveiligen met de Enhanced Mitigation Exploit Toolkit (EMET) en het uitschakelen van Active Scripting.

Ons advies is om - totdat Microsoft een update voor Internet Explorer uitgeeft - een andere browser te gebruiken én als standaard in te stellen (zodat niet per ongeluk aangeklikte linkjes in bijvoorbeeld e-mail in IE geopend worden!). Als je een andere browser installeert en opstart wordt hier naar gevraagd.

Update 19 september:
Het Nederlands Ministerie van Veiligheid en Justitie adviseert om in ieder geval EMET te installeren als je Internet Explorer wilt blijven gebruiken. De Duitse overheid raadt aan om een andere browser te gebruiken. Ook de Consumentbond stelt dat je tijdelijk beter geen Internet Explorer kunt gebruiken.

Update 20 september:
Microsoft heeft een Fix it-oplossing vrijgegeven om de kwetsbaarheid tijdelijk dicht te plakken. Klik op Fix it onder Enable en volg de instructies. Morgen staat een definitie oplossing voor het lek in Internet Explorer gepland.

Update 21 september:
Microsoft heeft een tussentijdse noodupdate voor Internet Explorer uitgebracht om dit lek en vier andere lekken te dichten.

Reacties

Internet security should be taken seriously. With malicious cyber attacks becoming more direct and advanced, a user needs to be well-informed to stay protected. - Jeffrey Nimer

Geld dit ook voor Internet explorer 10 op windows 8 ?

afbeelding van redactie

Nee, die is niet kwetsbaar.

Bij gebruik van Firefox i.c.m de add-on IE-Tab niet vergeten om bij de Opties van de laatste (rechts-klikken op het IE-Tab-icoontje) op tabblad Site-filter het vinkje weg te halen voor "Onderstaande sites worden altijd in IE-Tab geladen".
Anders wordt Internet Explorer alsnog in/via Firefox geopend.

Sluit ik mij bij aan echter wel met een kanttekening: soms ontkom je er helaas niet aan als je, zoals ik, bijvoorbeeld in een ELO omgeving of met bedrijfs-software moet werken die alleen maar compatibel is met Microsoft shit...

Tja, op het werk heb je meestal geen keuze, thuis gelukkig wel.
Bij ons moeten we helaas ook werken met die Microsoft troep.
Ze hebben daar duurbetaalde licenties voor, dus mogen we ook alleen daar maar mee werken.

Gelukkig gebruik ik die IE klucht al jaren niet meer.
Wat een gedoe elke keer weer om toch eens redelijk veilig te kunnen surfen.
Gebruik gewoon een alternatieve browser.

Voor wie EMET (Enhanced Mitigation Exploit Toolkit) wil toepassen op IE,
heeft Security.nl vanochtend een mooi duidelijk stappenplan geplaatst.
Zie:
http://www.security.nl/artikel/43129/1/Stappenplan_voor_nieuw_IE-lek.html

Voor de gemiddelde thuisgebruiker, zoals ik, toch nog teveel gedoe.
Al dan niet tijdelijk overstappen op een andere browser, zoals Firefox, lijkt me een stuk eenvoudiger.
Overigens voel ik me, gezien de perikelen rond Windows, steeds gelukkiger met mijn in april 2012 geïnstalleerde Linux/Ubuntu12.04.

Denk dat het grootste gedeelte van de IE gebruikers ook deze waarschuwing in de wind slaat en stug door surft, ignorance is bliss. De gemiddelde IE gebruiker spaart toch toolbars en heeft de schijf volgemept met zooi, daar komt elke hulp te laat.

Goede waarschuwing. En intussen meldt MSN vandaag nog "IE9: Veiliger dan ooit". Alsof ik Bill Gates hoor praten.

Volgens:
http://www.security.nl/ar...
zijn alle ondersteunde IE-versies op Windows XP, Vista en Windows 7 kwetsbaar.

afbeelding van redactie

Bedankt, tekst is aangepast.

Redactie,

Wat is jullie bron dat IE9 niet kwetsbaar zou zijn?
Ik vind in de bronnen die ik ben tegengekomen slechts de volgende vermeldingen:

"You will also see that tests are done, in order to target Windows XP 32-bit and Internet Explorer 7 or 8."
http://eromang.zataz.com/...

"The exploit was targeting Windows XP 32-bit with IE7 or IE8"
http://www.youtube.com/wa...

Geen beschrijving of ook IE9 onderzocht is.
Geen Vista/ Win7 met IE9 bij de hand om te testen, of niet kwetsbaar?
Onduidelijk.

Wel is er nu een recente reactie op Security.nl door MrBil,
12:59 uur:
"Ik heb de exploit op IE9 getest en de exploit wordt niet geactiveerd met deze versie. Ook niet met IE8 op een Windows 7 machine."
http://www.security.nl/ar...

afbeelding van redactie

Dat is een goed punt inderdaad. Er wordt alleen gewag gemaakt van IE 7 en 8 onder Windows XP, maar onduidelijk is of Vista en 7 ook kwetsbaar zijn en of IE9 kwetsbaar is.

zogenaamde interessante lektuur. Of een gewone, normale pc gebruiker er iets aan heeft? denk dat de site langzamerhand door bepaalde omstandigheden zijn doel kompleet voorbij aan het streven is, vb: wat is het forum nog waard geplaatst tegenover (zogenaamde) specialistencommentaar bij elk nieuw bericht.
hier wordt niks meer opgelost enkel bekommentarieerd en liefst in de overtreffende trap, en daar zijn we nu niks mee, er zijn andrre sites daarvoor.

Of een gewone, normale pc gebruiker er iets aan heeft?
Ja, dit soort meldingen informeren, en kunnen die gebruikers op wiens/wier systeem het van toepassing is stimuleren maatregelen te nemen, zoals in dit geval het gebruiken van een andere browser dan IE7 of IE8 op Windows XP.

Waarom vind je dat daar op GratisSoftware.nl geen plaats voor zou moeten zijn? Het betreft immers software die de meeste gebruikers ervaren als 'gratis', want meegeleverd met Windows en in de meerderheid van de gevallen meegeleverd met de computer, én de geboden informatie past mijns inziens binnen de doelstelling van GratisSoftware.nl om informatie te bieden waarmee de gebruiker programma's kan beoordelen en vergelijken.

Prima reactie, Spiff!

Aangezien die browser (Internet Explorer) hier op de site (GS) als gratis software wordt aangeboden, is het alleen maar een goede zaak om dan ook via deze site gewaarschuwd te worden voor actuele gevaren aangaande IE, dus is het zeker wel relevante informatie en wordt het doel van GS niet compleet voorbij gestreefd, bovendien zullen de meeste bezoekers niet vaak op het forum komen. Het getuigd, mijns inziens, juist van verantwoordelijkheid, aangezien GS zelf ook naar de IE software linkt. We mogen dus blij zijn dat we ook hier, of elders, op dit soort heersende problemen worden gewezen...

Reageer

Plain text

  • Toegelaten HTML-tags: <a> <em> <strong> <br> <br /> <i> <b> <p>
  • Regels en alinea's worden automatisch gesplitst.
  • Adressen van webpagina's en e-mailadressen worden automatisch naar links omgezet.
  • <img> elements are lazy-loaded.
Controlevraag tegen spam
wit-ruslan_