Opmerkelijke drag-and-drop IE-bug ontdekt

[Blue-Sky]

<img src="http://upload.userbase.be/upload/ielek_kl.jpg" align="left" width="120" height="100"> Onderdeel van meerdere problemen. Ondanks het feit dat er voor Internet Explorer een flink aantal patches is uitgebracht, blijven berichten opduiken over ernstige - en aantoonbare - lekken. Een opvallend probleem is een drag-and-drop lek in de Microsoft-browser. We testen dit lek via een demonstratiepagina van de ontdekkers. Op een machine met Windows XP, voorzien van alle recente patches, werkt het lek (dat What A Drag is gedoopt) zonder enig probleem.

Wie binnen Internet Explorer via een speciaal opgemaakte pagina een icoontje versleept en loslaat, installeert zonder enige tussenkomst een uitvoerbaar stukje software. Bovendien wordt, wederom zonder enige tussenkomst of terugkoppeling via een dialoogvenster, een verwijzing naar het stukje software gemaakt in de opstartmap, zodat deze bij de volgende herstart geladen wordt. Een lek als deze kan bijvoorbeeld eenvoudig in een online spelletje worden verpakt. De gevolgen kunnen groot zijn, als het geïnstalleerde pakketje een virus, trojan of "wis de harde schijf" commando bevat.

Naast dit drag-and-drop lek zoemen mailinglijsten als Bugtraq en sites als SecurityFocus met diverse meldingen van IE-lekken op de proppen. Een ander geconstateerd gat in al gepatchte versies van IE heet Hijack Click 3 en stelt websites in staat om op eenvoudige wijze - zonder tussenkomst - een link aan de Favorieten toe te voegen.

Dezelfde auteur ontdekte ook een probleem dat hij Overly Trusted Location Variant Method Cache Vulnerability doopte. Het stelt kwaadwillenden blijkbaar in staat programmacode uit te voeren in een venster dat eigenlijk voor een foutmelding is bedoeld. Deze code wordt, naar het zich laat aanzien, uitgevoerd buiten in IE ingestelde veiligheidsmarges.

Wel is dit lek zo onstabiel dat het meestal de browser laat crashen, wat exploitatie een stuk lastiger maakt.

Voor geen van de hier geconstateerde problemen heeft Microsoft momenteel patches beschikbaar. Experts adviseren om in Internet Explorer zaken als Active Scripting uit te schakelen, JavaScript te deactiveren of over te stappen op alternatieve browsers.

Bron: ZDNet.be van 20 juli 2004

[Akira]

da was ook een reden waarom ik overgestapt ben op firefox
al denk ik als de migratie te groot wordt en er meer mozillagebruikers zijn die exploiters zich ook gaan toewijden op mozilla
zo zie ik soms dat je nu al gevraagd wordt om een extension te installeren,
firefox heeft een popupblocker maar als je voorbeeld op packetnews zoekt naar iets opent ie in een nieuw venster reclame

jammer dat ze altijd zulke dingen moeten verpesten

[Krekkie]

Wel is dit lek zo onstabiel dat het meestal de browser laat crashen

Dan moet MS hier maar ff een patch voor uitbrengen. Crashende browsers... dat kunnen we niet hebben

[guess_who]

da was ook een reden waarom ik overgestapt ben op firefox
al denk ik als de migratie te groot wordt en er meer mozillagebruikers zijn die exploiters zich ook gaan toewijden op mozilla
zo zie ik soms dat je nu al gevraagd wordt om een extension te installeren,
firefox heeft een popupblocker maar als je voorbeeld op packetnews zoekt naar iets opent ie in een nieuw venster reclame

jammer dat ze altijd zulke dingen moeten verpesten

mja ik krijg die popups dus niet met IE in combinatie met google toolbar.
ik moet zeggen dat ik nog lange niet overtuigd ben van mozilla.
de meeste sites zijn nog niet 100% volgens de zogenaamde regeltjes gemaakt, dus mozilla kan ze soms niet/deels weergeven. dat maakt voor mij IE nog altijd beter en meer compatibel. ik ga eerlijk gezegd mijn site ook eerst gaan proberen in IE en pas héél wat later in mozilla.
hatelijk dat de mozilla gebruikers dan gaan zagen over een site die niet volgens de html regels gemaakt zijn omdat zij zo nodig een alternatief wilden hebben.
IE in combinatie met avg antivirus en pestpatrol is nog altijd stukken beter dan mozilla!
avg verwijdert hier de helft van de bestanden die er niet mogen zijn, nog voordat ze kunnen uitgevoerd worden (trouwens, altijd leuk om te zien hoe hun installatie dan mislukt: foutmeldingen van het installatieprogramma dat je nooit had mogen zien )
pestpatrol verwijdert voor mij mooi de rest => niets van miserie met IE

mozilla is hier alleszins ook niet de snelste. afbeeldingen bvb , zo traag dat die soms laden :s
vbscript wordt zelfs niet ondersteund. Enkel javascript wordt ondersteund door mozilla, en dan nog zijn er vele commando's die niet meer willen werken. bvb een timeout zetten, dat kan blijkbaar niet meer ofzo , terwijl dat in IE perfect werkt. of is er daar ook weer gevaar voor een lek mss?

nuja voor velen is mozilla gekozen omdat ze er veel van horen en dat ze zo weer mee zijn met datgene waarvan ze denken dat dat het beste is.
think again!

trouwens, de IE in longhorn zag er wel goed uit. ik heb geen sites bekeken waarvan ik wist dat er spyware/adware wordt geïnstalleerd, maar bvb de downloadmanager die er in zit vond ik persoonlijk stukken beter dan die van mozilla. de snelheid van de browser vond ik beter en de browser op zich start vlugger op. hier moet ik soms meer dan 15 seconden wachten totdat mozilla opgestart is , terwijl IE in een paar luttele seconden er al staat.

mozilla is niet in het nederlands beschikbaar. dat is voor mij niet erg, maar voor vele minder ervaren gebruikers is dit een drempel die het overstappen heel wat moeilijker maakt.

nee mozilla heeft me zeker niet overtuigd. IE blijft voor mij de meest compatibele en beste browser, ook al zijn er veiligheidslekken.

[AnD]

Ik werk ook met firefox onder windows, die is heel wat sneller dan IE.

[PHO]

mja ik krijg die popups dus niet met IE in combinatie met google toolbar. ik moet zeggen dat ik nog lange niet overtuigd ben van mozilla. de meeste sites zijn nog niet 100% volgens de zogenaamde regeltjes gemaakt, dus mozilla kan ze soms niet/deels weergeven. dat maakt voor mij IE nog altijd beter en meer compatibel. ik ga eerlijk gezegd mijn site ook eerst gaan proberen in IE en pas héél wat later in mozilla.
hatelijk dat de mozilla gebruikers dan gaan zagen over een site die niet volgens de html regels gemaakt zijn omdat zij zo nodig een alternatief wilden hebben.
IE in combinatie met avg antivirus en pestpatrol is nog altijd stukken beter dan mozilla!

/knip IE blijft voor mij de meest compatibele en beste browser, ook al zijn er veiligheidslekken.

Het lijkt de omgekeerde wereld wel. Als er iemand is die zich absoluut niet aan de geldende standaarden houdt is het wel Microsoft. En veel van hun producten vertonen deze " onhebbelijkheden".

Dat er veel webpagina's enkel op IEx getest worden kan ik langs 1 kant begrijpen, omdat die nu eenmaal het grootste marktaandeel heeft, maar het toont wel duidelijk aan dat de desbetreffende webdesigner absoluut niet professioneel bezig is.

Om daarom direct over te gaan tot het statement :

dat maakt voor mij IE nog altijd beter en meer compatibel

is toch wel serieus bij den os zijn xxx gegrepen.

[Krekkie]

@guess_who: ik weet niet goed waar te beginnen met een antwoord, maar hier toch een poging:

1. Je vindt IE beter dan Mozilla, maar je hebt er wel 3 andere programma's bij nodig:
- google toolbar om popups tegen te houden
- avg om vieze beestjes buiten te houden
- pestpatrol om nog andere ongein buiten de deur te houden

2. Het argument van PHO hierboven (met dank aan PHO )

3. De downloadmanager van IE Longhorn vind je beter dan die van Mozilla. Dit is toch wel een scheve vergelijking: Longhorn is een toekomstig product. Vergelijk Mozilla dan aub met de huidige IE. En dan lijkt mij *een* downloadmanager nog altijd beter te zijn dan helemaal geen.

4. IE start inderdaad sneller op dan andere browsers. Dit komt omdat een deel al opgeladen is bij het starten van Windows. Dit is een bedenkelijk voordeel voor MS dat andere browsermakers gewoonweg niet kunnen toepassen.

5. De ontwikkeling van IE ligt al jaren stil. Nieuwe standaarden worden niet of slechts gebrekkig ondersteund. Dit is zeker niet goed voor de innovatie. Mozilla en anderen proberen wel te vernieuwen.

Conclusie: ik zie maar één voordeel voor IE, nl. dat alle sites werken.

PS: zelf gebruik ik Opera wat ik persoonlijk de beste en snelste browser vind. En met de laatste versies zijn er ook maar heel weinig sites die niet werken.

[The_Borg]

IE is de crappiest browser die er is (lekken + ongestandariseerd). Dat neemt natuurlijk niet weg dat het gewoon de meest gebruikte is.

Sites compleet crossbrowser maken is moeilijker dan de meeste mensen denken. Natuurlijk werken de meesten dan ook nog niet met xhtml strict 1.0 en css. Wanneer je met javascript begint te werken en je wil crossbrowser blijven, trotseer je een hel, daarom dat zelfs ik voor een eindwerkje niet crossbrowser ben gegaan. Het is soms gewoon de investering niet waard.

Daarom pleit ik ervoor om gewoon op je doelpubliek af te gaan. Wanneer je een site voor noobs ontwerpt met een beperkte omvang of belangrijkheid, vind ik de moeite van crossbrowser maken gewoon niet rendabel. Ben je aan een groot project bezig, dan moet je gewoon de "fancy" tricks die niet crossbrowser zijn er uit laten en er voor zorgen dat je minstens mozilla/opera aan kan.

[guess_who]

dat maakt voor mij IE nog altijd beter en meer compatibel

is toch wel serieus bij den os zijn xxx gegrepen.

als de webdesigners zich niet gaan aanpassen aan de standaarden (wat ik nog niet zo'n rare realiteit vindt) , gaan de browsers zich vroeg of laat moeten gaan aanpassen aan de designers, als ze willen dat ze meer gebruikers kunnen overtuigen over te stappen!
geef toe, velen moeten nog IE gebruiken om hun favoriete sites volledig te kunnen benutten.
met compatibel bedoel ik dus: kan het meeste aantal sites aan!

[gamefreak977]

Ik ga het kort houden:
MIE is going down baby