Het lek dat laatst is gevonden in Internet Explorer (IE) is inmiddels weer gedicht. Maar iedereen die nu denkt dat ze veilig zijn met IE hebben het goed mis.

Computer expert Mr. Moore heeft een programma gemaakt dat d.m.v. pakket- en data-fuzzing browsers kan laten crashen. Het programma maakt gebruik van de manier waarmee IE omgaat met CSS (Cascading Style Sheets). De onderzoeker meent in enkele weken honderden manier te hebben gevonden waarmee hij IE kan laten crashen.

Dit geldt trouwens niet alleen voor IE. De expert zegt ook andere browsers met zijn programma de kunnen laten crashen. Er zijn echter niet meer manieren dan bij IE om het browser te laten crashen. Echter is er bij elk browser één fout waarmee het systeem kan worden overgenomen.

"Fuzzing is waarschijnlijk de makkelijkste manier om fouten te vinden, omdat je niet exact hoeft na te gaan hoe een browser omgaat met input", zegt H.D. Moore.

Bij een demonstratie op de beveiligingsconferentie CanSecWest. Liet Moore zien hoe snel hij fouten kon vinden. Moore ontdekte binnen een uur vijftig fouten in de Internet Explorer-browser van Microsoft. Sommige fouten kunnen zelfs zo misbruikt worden dat het systeem van het slachtoffer kan worden overgenomen!

Het hele artikel is hier na te lezen.

Weet je wat ik me steeds meer ga afvragen? Hebben ze het door een stagair ofzo laten schrijven ;)

Nee maar volgens mij zouden ze het hele pakket vanaf de grond opnieuw moeten bouwen, nu blijft het dweilen met de kraan open. Ok, het kost veel tijd, maar als je het dan goed aanpakt, scheelt het veel volgens mij..

Opmerking:
Waarom alleen IE, FF is er ook niet tegenbestand!
Beetje Flame vind je niet?

Dit geldt trouwens niet alleen voor IE. De expert zegt ook andere browsers met zijn programma de kunnen laten crashen. Er zijn echter niet meer manieren dan bij IE om het browser te laten crashen. Echter is er bij elk browser één fout waarmee het systeem kan worden overgenomen.

Nee het is geen flame, in het stuk staat duidelijk vermeld dat het ook zo is bij andere browsers. Het onderzoek dat Moore heeft gedaan gingalleen vooral over IE. IE kwam tevens ook als slechtste uit de 'test'. Bij IE waren de meeste fouten ontdekt, bij FF en andere browsers waren die fouten er ook, maar minder.

Ik vind het best logisch dat er zoveel lekken worden gevonden in IE, omdat het gewoon de meest gebruikte, standaard, browser is. Iedereen gebruikt het...

De laatste tijd worden er toch ook steeds meer lekken gevonden in FF?

Het is hetzelfde als dat er haast geen virussen zijn voor Mac OS-X, er is gewoon geen 'markt' voor. Bij Windows wel, iedereen gebruikt het!

Ik vind het best logisch dat er zoveel lekken worden gevonden in IE, omdat het gewoon de meest gebruikte, standaard, browser is. Iedereen gebruikt het...

Ik eigenlijk niet, als het door zoveel mensen gebruikt wordt, dan lijkt me dat je meer budget hebt om een betere browser in elkaar te bouwen. Zeker als je ook het besturingssysteem voor de browser schrijft, dan zou je helemaal op de hoogte moeten zijn van zwakke plekken en mogelijkheden.

Origineel gepost door Cas Wolters

Opmerking:
Waarom alleen IE, FF is er ook niet tegenbestand!
Beetje Flame vind je niet?

Ho ho! Even gas terug. Absoluut niet als een flame bedoeld, maar het is een feit dat er veel fouten worden gevonden in IE, dat kan niet worden ontkend. Maar mijn gedachte is dat je soms beter vanaf de onderste steen opnieuw kan beginnen, i.p.v. gaten blijven dichten.

Origineel gepost door gast153

Ik vind het best logisch dat er zoveel lekken worden gevonden in IE, omdat het gewoon de meest gebruikte, standaard, browser is. Iedereen gebruikt het...

Op dit onzinargument reageer ik altijd maar met: Apache vs. IIS.
Mag jij zeggen welke meer gebruikt wordt en of die ook de meeste security problemen heeft.

Origineel gepost door Mathijs Huis

Ho ho! Even gas terug. Absoluut niet als een flame bedoeld, maar het is een feit dat er veel fouten worden gevonden in IE, dat kan niet worden ontkend. Maar mijn gedachte is dat je soms beter vanaf de onderste steen opnieuw kan beginnen, i.p.v. gaten blijven dichten.

ALs ik me niet vergis, zitten er meer fouten in IE, in FF worden ook fouten gevonden. EN daarbij in beide gevallen kan maar met één bug in ALLE genoemde browers willekeurige code worden uitgevoerd. Dus zo erg is het niet. IE is gewoon zondenblok omdat van die beginnende webmasters anti MS denken. Terwijl ze zelf erg veel gebruik van MS spul maken. En zoals eerder genoemd, IE krijgt meer aandacht van hackers, als FF dat ook eens kreeg mag je eerlijk vergelijken!!

Je zegt hier wel IE krijgt meer aandacht van hackers, maar dat stukje hierboven he. Daar hebben ze dezelfde methode gebruikt bij beide browsers en toch had IE meer fouten. Just a fact ;)

Origineel gepost door Mathijs Huis

Je zegt hier wel IE krijgt meer aandacht van hackers, maar dat stukje hierboven he. Daar hebben ze dezelfde methode gebruikt bij beide browsers en toch had IE meer fouten. Just a fact ;)

Daar heb je een punt in, maar wie zegt dat het programma niet gewoon eigenlijk voor IE bugs zoeken gebouwd is!

Origineel gepost door Cas Wolters

IE is gewoon zondenblok omdat van die beginnende webmasters anti MS denken. Terwijl ze zelf erg veel gebruik van MS spul maken. En zoals eerder genoemd, IE krijgt meer aandacht van hackers, als FF dat ook eens kreeg mag je eerlijk vergelijken!!

De huidige IE is nog steeds gebaseerd op IE 3 ofzo. Als je weet dat er in die tijd een echte oorlog was tussen Netscape en Internet Explorer (waar ze op zo kort mogelijke tijd zoveel mogelijk funties in hun browser bouwden), is het wel slim om te besluiten dat de huidige versies gewoon een slechte basis hebben.
In die tijd was er ook nog geen sprake van veiligheid. Mozilla is van de grond af opgebouwd en heeft zich onmiddellijk gericht op stabiliteit en veiligheid.

Dat heb je natuurlijk wel altijd, programmeertalen en benodigdheden evolueren heel snel, nieuwe programma's zijn daarom meestal direct mee met de mode, terwijl de oude nog op een verouderde backend werken.
Het enige probleem is dat microsoft daarop blijft werken en gewoon de front end bijwerkt terwijl andere softwarebedrijven ook hun corebestanden gaan herschrijven.

Origineel gepost door Martijn Engler

Op dit onzinargument reageer ik altijd maar met: Apache vs. IIS.
Mag jij zeggen welke meer gebruikt wordt en of die ook de meeste security problemen heeft.

Naar mijn weten zijn ze allebei even lek, aangezien IIS nog steeds het execute probleem heeft wat ook het geval is bij de versie van MySQL in Apache.

Michiel, als je goed leest zie je dat ik vroeg naar de meeste security problemen. Verder heb ik MySQL totaal niet genoemd?