'ActiveX lek' is toch zo ongeveer een pleonasme.

Het idiote is alleen dat je zonder ActiveX (en dus IE) weer geen windows updates kunt draaien. Het hele patch-proces toont de zwakte van het Windows-platform aan: Microsoft patched lekken, maar de patches bleken problemen op te leveren. Daarom ging 1 keer per maand patchen zodat systeembeheerders maar 1 keer per maand hoefden te controleren of de patch in hun systemen iets beschadigde. Nu zie je dat dat zero-day exploits vlak na patch-Tuesday komen, omdat er dan de grootste kans is dat het een maand lang niet wordt gerepareerd.

"Het idiote is alleen dat je zonder ActiveX (en dus IE) weer geen windows updates kunt draaien."

Euh, volgens mij wel hoor!

http://www.h-online.com/security/Offline-Update...

@2:

Je hebt gelijk :)

"'ActiveX lek' is toch zo ongeveer een pleonasme. "
Nou, nou, dat is een beetje overdreven. ActiveX in IE verschilt niet echt van wat bij Firefox en andere browsers "plugins" heten: in principe is er niets onveiligs aan, zolang je geen onveilige plugin (of ActiveX component) installeert. Toen ActiveX rond 1996 werd geïntroduceerd leverde het inderdaad nogal wat problemen op, vooral omdat sites zonder waarschuwing zelf een active-x onderdeel konden installeren en starten, maar dat is alweer een tijdje geleden.
Het gaat hier ook niet om een probleem met Internet Explorer of ActiveX, maar om een probleem met een (zeer) onveilige active x component- toevallig ook van Microsoft.
Als je geen Office (en dus ook geen Office active-x component) hebt geïnstalleerd, heb je nergens last van. (en als microsoft zo netjes was geweest ook een firefox-office-plugin te maken zou Firefox mogelijk met hetzelfde probleem te kampen hebben.)

Type foutje in het bericht.
Het zijn CRACKERS als ze misbruik maken van een bug en GEEN HACKERS!

http://db.glug-bom.org/lug-authors/philip/docs/...

http://journalism.berkeley.edu/projects/biplog/...

En dan in de description neerzetten dat ook Firefox een lek heeft (die btw ernstiger is), terwij het IE probleem breed uitgemeten wordt. Microsoft bashing is zo 2006

@7: met noscirpt erbij maak ik me niet zo heel veel zorgen op mijn linux systeempje.

@8
zou het probleem van Firefox op alle systemen zich voordoen?
Die van IE treedt in ieder geval alleen in Windows op... ;-)

*8

Met noscript op een windows systeem zou het ook geen probleem moeten zijn.

De firefox fix is in "about:config" Je moet dan "javascript.options.jit.content" in "false" te veranderen. (zie secunia site --- http://secunia.com/advisories/35798/2/ )

Windows, onbegrijpelijk dat het nog gebruikt wordt.

'Malafide websites gebruiken de beveiligingsfout om kwaadaardige software op getroffen computers te installeren'

De simpelste oplossing: niet op malafide websites terechtkomen door niet te reageren op spammails met: 'Harry Potter 6 gratis downloaden'. Als iedereen nou eens doorheeft dat gratis niet bestaat op internet dan zou je al een heel eind komen.

Uit de tekst van NU.nl:
".....een lek waarvan misbruik wordt gemaakt voordat de fabrikant van de software het gat heeft kunnen dichten....."
Ja, na het dichten van het gat wordt er geen misbruik van gemaakt. Poeheee.

@5: als er in een artikel het woord 'gay' gebruikt wordt in een andere betekenis dan het oorspronkelijke 'blij'? Beetje flauw. Het woord 'hackers' wordt nu eenmaal in 2 betekenissen gebruikt (als synoniem voor 'cracker' en als geuzennaam voor experimenteerders), en uit de context is praktisch altijd prima duidelijk welke betekenis bedoeld wordt.

@7: hoe kom je erbij dat het firefox-lek ernstiger is? zo te zien leiden ze beiden mogelijk tot het uitvoeren van willekeurige code. Het windows-lek wordt actief misbruikt, en er is een workaround (maar geen patch) voor. Het firefox-lek wordt voorzover ik gezien heb niet actief misbruik, en er is ook een workaround (maar geen patch) voor.

Tot nu toe lijkt me het IE-lek nog wel schadelijker - maar firefox moet wel *snel* een oplossing publiek maken!

@14: Na het dichten van het lek kan er nogsteeds misbruik van gemaakt worden: bij gebruikers die nog met een oude versie werken. Dat is het onderscheid dat bedoeld wordt.

(bij die eerste zin hoorde nog: "loop je ook altijd zo in de reacties te klagen als....". zal volgende keer m'n reactie beter nalezen voor ik reageer :) )

@#15
"Na het dichten van het lek kan er nogsteeds misbruik van gemaakt worden: bij gebruikers die nog met een oude versie werken. Dat is het onderscheid dat bedoeld wordt."
Als het lek gedicht is kan er geen gebruik meer van worden gemaakt, toch?
Of kan het dan toch nog omdat het niet echt dicht is?
Of bedoel jij dat alleen de nieuwste versie wordt gedicht? Dat staat er echt niet.

@17: Als de producent een fix heeft gepubliceerd, maar jij die nog niet hebt geinstalleerd, dan kan een hacker bij jou van het lek misbruik maken, maar heet het geen zero-day. Het heet alleen een zero-day als er misbruik van gemaakt wordt nog voordat de producent een fix heeft kunnen publiceren. Meer info: http://en.wikipedia.org/wiki/Zero_day_attack

Of dat er staat of niet kan me niet erg schelen, dat wordt wel bedoeld. Als jij dat niet uit de tekst begreep dan heeft nu.nl haar werk niet goed gedaan - gelukkig ben ik er nog om het in de reacties wel goed uit te leggen ;).

Het firefox-probleem was overigens in de nieuwste 'nightly' al opgelost voor de publicatie. Ze zijn nu bezig de oplossing ook voor de gebruikers van de stabiele versies zo snel mogelijk uit te rollen. Meer info: http://blog.mozilla.com/security/2009/07/14/cri...

@#18
Dank voor je uitleg!

Yesterday's news.

Ofwel, een dag later dan elders.
http://webwereld.nl/nieuws/61616/nieuw-ie-excel...

Er is overigens ook voor Firefox een exploit. Dus:

- kijk in 'Help->About' welke versie je hebt
- heb je <3.0: geen direct probleem, maar het wordt wel tijd voor een upgrade.
- heb je 3.0: geen probleem
- heb je 3.5:
-- ga naar 'about:config'
-- zoek op 'jit'
-- zet 'javascript.options.jit.content' op 'false'

Zogauw de fix er is kun je hem het beste wel weer op 'true' zetten, dan heb je weer lekker snel javascript :).

Meer info zoals gezegd op http://blog.mozilla.com/security/

Blijkbaar is het woord linux al voldoende om bemind te worden.

Je wordt zo langzamerhand kotsmisselijk van de aanvallen op jou computer.
Die lui die dit de hele dag zitten te etteren hebben zeker niets beters te doen dan andere gebruikers te irriteren.

Wat een slecht opgezet artikel...

Kop: "Hackers STORTEN ZICH op lek in IE-plugin"
Eerste zin: "Hackers maken vooralsnog op beperkte schaal misbruik..."

Ja hoor, verzin gewoon een schreeuwerige titel met dramatische lading en ontkracht het meteen in je eerste zin. Zodra dit soort dingen bekend worden, nemen de grote corporaties toch onmiddelijk actie omdat ze niet willen dat hun produkt belachelijk wordt gemaakt.

Goed punt van @raboof "Het firefox-probleem was overigens in de nieuwste 'nightly' al opgelost voor de publicatie", geldt trouwens ook voor het microsoft-probleem: het doet zich alleen voor wanneer mensen het zes jaar oude Office 2003 gebruiken.

@25: klopt. verschil is natuurlijk wel dat je voor een major upgrade van office eerst moet betalen (bol.com: 80 euro voor de 'home en student'-editie, een kleine 300 euro per installatie voor de 'standaard' en nog meer voor 'professional' of 'small business'-varianten).

Dat maakt de drempel voor upgraden wel een stuk hoger, aangezien het bij firefox slechts een kwestie van een gratis download is.

mensen willen jullie veiligheid stap dan gewoon over op Linux.

ActiveX is jarenlang al zo lek als een vergiet,hoop dat MS snel voor een oplossing kijkt.
Of de gebruiken zoekt naar een oplossing (FireFox/Chrome/Opera)

Firefox 3.5.1 is uit, en hierin is dit probleem opgelost: http://www.mozilla.org/security/known-vulnerabi...