Microsoft heeft gisteren een patch vrijgegeven voor Internet Explorer waarmee een lek gedicht wordt dat al negen maanden bekend is. De flaw zit in ActiveX en is afgelopen maand gebruikt door een groot aantal sites om onder meer een keylogger te installeren bij de gebruiker; dit lek staat bekend als Download.Ject. Microsoft heeft nu besloten om dit lek te dichten door ActiveX de mogelijkheid te ontnemen om gegevens weg te schrijven naar het besturingssysteem. Dit komt er op neer dat het ADODB.Stream-ActiveX-component niet meer naar de harde schijf van de pc kan schrijven. Het is de bedoeling dat deze wijziging de standaardconfiguratie gaat worden voor Windows. Dat is echter niet in één keer te bereiken en deze patch is dan ook slechts een stap in de goede richting, aldus de verantwoordelijke manager van Microsoft.
Microsoft past mogelijkheden ActiveX-object aan
Lees meer
Microsoft ontvouwt plannen voor hostingproviders
Nieuws van 24 juli 2007
Komende dinsdag drie kritieke Windows-patches
Nieuws van 8 januari 2005
Wired interviewt security program manager Microsoft
Nieuws van 31 augustus 2004
Ongepatchte Windows-pc op internet na 20 minuten besmet
Nieuws van 18 augustus 2004
Microsoft dicht Download.Ject-lek volgende week - update
Nieuws van 30 juli 2004
Opera vergemakkelijkt migratie vanuit Internet Explorer
Nieuws van 13 juli 2004
Marktaandeel IE geslonken; Mozilla gegroeid
Nieuws van 10 juli 2004
Microsofts ActiveX-patch voor IE niet voldoende
Nieuws van 6 juli 2004
Concurrenten IE presenteren alternatief voor ActiveX
Nieuws van 1 juli 2004
Nieuwe malware is IE te snel af
Nieuws van 30 juni 2004
MS belooft beterschap; IIS-lek was echter gepatched
Nieuws van 29 juni 2004
IIS-servers besmet met kwaadaardige JavaScript-code
Nieuws van 25 juni 2004
Microsoft gaat IE-ontwikkeling nieuw leven inblazen
Nieuws van 21 juni 2004
Verschillende spyware-verwijdertools met elkaar vergeleken
Nieuws van 18 juni 2004
Lekken in Internet Explorer 'extreem kritiek' bestempeld
Nieuws van 10 juni 2004
Tijdelijke oplossing voor lek in Internet Explorer
Nieuws van 10 april 2004
Reacties (60)
/u/18025/tape2.JPG?f=community){kind=small}
Indien deze bestanden op je pc staan:
- kk32.dll
- surf.dat
(doe in dos: dir /a /s /b %systemdrive%\kk32.dll en dir /a /s /b %systemdrive%\surf.dat)
Heb je kwaadaardige code (keyloggers) op je pc staan die door dit lek naar binnen zijn gekomen.
- kk32.dll
- surf.dat
(doe in dos: dir /a /s /b %systemdrive%\kk32.dll en dir /a /s /b %systemdrive%\surf.dat)
Heb je kwaadaardige code (keyloggers) op je pc staan die door dit lek naar binnen zijn gekomen.
dos???
Bedoel je wellicht de command prompt?
Bedoel je wellicht de command prompt?
:strip_icc():strip_exif()/u/24756/crop672499fa959cc_cropped.jpg?f=community){kind=small}
Ik snap niet dat een stuk code als ActiveX niet in een Sandbox draait, je hoeft de code nog niet eens veilig te schrijven zolang het maar aan 1 simple regel voldoet. Als iemand er doorheen komt, komt het in een omgeving die niks kan.
In Linux is dat bv een chroot jail, wat over het algemeen alleen toegepast wordt als het echt extreem secure moet zijn, dus zelfs als je een prog kraakt, dan nog kan je alleen maar in die jail bewegen. En dat is meestal zeer beperkte ruimte. Een chroot jail zit zo dicht dat je alle programma's die noodzakelijk zijn ( dat is totaan het programma om een directory te bekijke toe ) erin gekopieeerd moet worden.
Als ActiveX nu geschreven was door een 3e rangs bedrijf die snel een oplossing nodig had, maar dit is MS, een groot bedrijf dat weet dat ActiveX een mooi maar riskante onderneming is, en dat het dus heel verstandig was geweest om de boel goed dicht te timmeren, java vraagt mij wel netjes om toestemming zodra er iets gestart wordt dat meer doet dan een spelletje of menu. ( cq gegevens opslaan op disk, server poort open zetten, programma's uitvoeren ).
In Linux is dat bv een chroot jail, wat over het algemeen alleen toegepast wordt als het echt extreem secure moet zijn, dus zelfs als je een prog kraakt, dan nog kan je alleen maar in die jail bewegen. En dat is meestal zeer beperkte ruimte. Een chroot jail zit zo dicht dat je alle programma's die noodzakelijk zijn ( dat is totaan het programma om een directory te bekijke toe ) erin gekopieeerd moet worden.
Als ActiveX nu geschreven was door een 3e rangs bedrijf die snel een oplossing nodig had, maar dit is MS, een groot bedrijf dat weet dat ActiveX een mooi maar riskante onderneming is, en dat het dus heel verstandig was geweest om de boel goed dicht te timmeren, java vraagt mij wel netjes om toestemming zodra er iets gestart wordt dat meer doet dan een spelletje of menu. ( cq gegevens opslaan op disk, server poort open zetten, programma's uitvoeren ).
Helaas weer een patch die ontoerijkend is zoals deze demo bewijst :
http://62.131.86.111/security/idiots/malware2k/installer.htm
(voert cmd.exe /c pause uit)
http://62.131.86.111/security/idiots/malware2k/installer.htm
(voert cmd.exe /c pause uit)
:strip_exif()/u/5500/10338.gif?f=community){kind=small}
Dit ziet er inderdaad niet lekker uit:
Er zijn natuurlijk wat oplossing voor behalve niet Internetten of alleen op links klikken die je vertrouwt:
Firefox
Mozilla
Opera
Reactie op rewan:
Als je cmd hebt opgestart, kan je natuurlijk ook het commando ftp opstart, daar kan je natuurlijk wel wat mee doen.
Als met zo'n simpele code al een programma kan worden opgestart... Maak er ff van cmd en dan iets met format en er kunnen hele verkeerde dingen gebeuren.var obj=new ActiveXObject("Shell.Application");obj.ShellExecute("cmd.exe","/c pause")
Er zijn natuurlijk wat oplossing voor behalve niet Internetten of alleen op links klikken die je vertrouwt:
Firefox
Mozilla
Opera
Reactie op rewan:
Als je cmd hebt opgestart, kan je natuurlijk ook het commando ftp opstart, daar kan je natuurlijk wel wat mee doen.
Ik gebruik Kaspersky personal op m'n PC en die sloeg meteen alarm bij het openen van deze link in IE. Bij m'n vriendin op haar PC staat nog Norton en die gaf geen kik
/u/6960/Avatar.png?f=community){kind=avatar}
CA doet het nog mooier. Ik krijg mooi een melding maar de cmd.exe wordt evengoed gestart 
:strip_exif()/u/49248/DPCkoeienUD.gif?f=community){kind=small}
LOL Volgens mij is het zo dat sinds Schouw @ GoT Moddie is dat iedere Tweaker zowat Kaspersky draait ??
* 786562 nero355
* 786562 nero355
Ik draai Kaspersky meer sinds we op mijn werk ook hierop zijn overgestapt. Het is gewoon een stuk stabieler en betrouwbaarder dan Norton, en je merkt minder performance verlies
Met versie 5 is dit helaas anders.
Vooral de real time scanner.
Op e.e.a. manier voert de scanner ontzetten veel checks uit waardoor bij een tragere PC het 5 minuten langer duurt voordat ie is opgestart.
Vooral de real time scanner.
Op e.e.a. manier voert de scanner ontzetten veel checks uit waardoor bij een tragere PC het 5 minuten langer duurt voordat ie is opgestart.
:strip_icc():strip_exif()/u/67934/download.jpg?f=community){kind=small}
AntiVir meldt het ook
@ eymey
lijkt me erg onwaarschijnlijk dat Norton het niet meldt en freeware scanners wel. weet je zeker dat ie up2date is?
@nero355
welke Schouw @ GoT Moddie?
@ eymey
lijkt me erg onwaarschijnlijk dat Norton het niet meldt en freeware scanners wel. weet je zeker dat ie up2date is?
@nero355
welke Schouw @ GoT Moddie?
:strip_icc():strip_exif()/u/3550/S2462.jpg?f=community){kind=small}
Als ik de pagina open, zie ik een popup verschijnen. Als ik het laat doorgaan zie ik inderdaad de cmd verschijnen met een pauze. Dit op XP Pro SP1 met alle updates tot en met 3 juli 2004 + IE 6.0.28 SP1.
Als ik het voor de tweede keer doe en de popup meteen afsluit met kruisje, krijgt de eerste pagina een error en gaat het feest niet door.
Zou een popup killer werken?
Als ik het voor de tweede keer doe en de popup meteen afsluit met kruisje, krijgt de eerste pagina een error en gaat het feest niet door.
Zou een popup killer werken?
Volgens mij schrijft "cmd.exe /c pause" nix naar je hd??gegevens weg te schrijven
Dat neemt niet weg dat het idd schadelijk is dat ze zomaar programma's kunnen uitvoeren, lang leve Opera
( no flame intended )
tja en als t nu eens cmd.exe /c del c:\windows was ? 
of een ftp aanroep om een bestandje op je schijf te zetten
dit is alleen maar een onschuldig demotje maar ga er maar gerust vanuit dat je hiermee alles op je pc kan doen
die patch van microsoft is een lachertje
of een ftp aanroep om een bestandje op je schijf te zettendit is alleen maar een onschuldig demotje maar ga er maar gerust vanuit dat je hiermee alles op je pc kan doen
die patch van microsoft is een lachertje
:strip_icc():strip_exif()/u/1950/crop673609ac4f243_cropped.jpg?f=community){kind=small}
Krijg daar alleen maar een melding van McAfee (JS/Exploit-DialogArg.b) te zien.
virus scanners zijn vrij nutteloos in de regel, een paar letters aanpassen in de programmacode en hij herkent hem niet meer, dus daarop vertrouwen moet je absoluut niet
:strip_exif()/u/11874/clownsmall.gif?f=community){kind=small}
werkt niet in ie6 
:strip_icc():strip_exif()/u/44529/800V.jpg?f=community){kind=small}
Hier ook niet. Mozilla 1.7, Suse 9
:strip_exif()/u/41628/Tigerweb.gif?f=community){kind=small}
In de tekst staat: "Dat is echter niet in één keer te bereiken en deze patch is dan ook slechts een stap in de goede richting, aldus de verantwoordelijke manager van Microsoft."
Mcafee slaat ook alarm
NOD32 ook
@darkraver8
Norton ziet hem dus echt niet... (2002 helemaal geupdate)
Norton ziet hem dus echt niet... (2002 helemaal geupdate)
Niet dat je NAV2002 echt up-to-date kan noemen naar 2004 doet 't ook niet.
Daarom,
hiero NAV2004. Geeft geen sjoege, totally up to date
hiero NAV2004. Geeft geen sjoege, totally up to date
:strip_icc():strip_exif()/u/94045/crop66c1b4250e8a2_cropped.jpg?f=community){kind=small}
Gek, maar bij mij zonder patch (Windows 2000 SP4 en IE6) wordt helemaal niks opgestart. Norton grijpt overigens ook niet in...
bij mij geeft Sophos een alert dat het Win32/Psyme-AA virus geinstalleerd wordt op bovengenoemde site..
:strip_icc():strip_exif()/u/30846/crop624404d93a803_cropped.jpg?f=community){kind=small}
9 maanden
Zelfs het Amerikaanse Department of Homeland Security raadt het gebruik van Internet Explorer af:
Zelfs het Amerikaanse Department of Homeland Security raadt het gebruik van Internet Explorer af:
'The Department of Homeland Security's U.S. Computer Emergency Readiness Team touched off a storm this week when it recommended for security reasons using browsers other than Microsoft's Internet Explorer.'"
Het is daarom des te verbazingwekkender dat ditzelfde Homeland Security een exclusief contract heeft met Microsoft voor de software.
:strip_exif()/u/33008/rabbit2a.gif?f=community){kind=small}
Het is ADODB.Stream, niet ADODB.screen.
Zie Microsoft KB870669.
Zie Microsoft KB870669.
Hmm, ik heb even op die link in het artikel naar de MS-site geklikt, maar daar staat dat er geen patch is, maar een "configuration change", wat dat ook moge zijn.
Sterker nog: als je goed leest (dat doet dus blijkbaar niemand), staat er zelfs dat het lek helemaal niet gedicht is, maar dat deze wijziging beschermt tegen deze specifieke aanval: "...that improves system resiliency to protect against the Download.Ject attack."
Er staat ook dat ze de komende weken een serie patches gaan uitbrengen die "additional protections" bieden (klinkt vertrouwenwekkend als je zoiets leest op de MS-site, niet?), later deze zomer komt WinXP SP2, die onder andere "unwanted downloads" moet "reducen" (elimineren lijkt mij een beter streven), en daarnaast hebben ze het er nog over dat er ooit een "comprehensive update" van IE komt die nog meer problemen oplost of zo (er staat gewoon niet wat die update moet gaan opleveren, alleen maar dat ze hem eerst goed zullen testen).
Met andere woorden: dit lek is helemaal niet gedicht, maar ze beloven dat het ooit goed komt.
Gelukkig hebben tweakers weer nergens last van want die gebruiken gewoon geen internet explorer ;-)
Sterker nog: als je goed leest (dat doet dus blijkbaar niemand), staat er zelfs dat het lek helemaal niet gedicht is, maar dat deze wijziging beschermt tegen deze specifieke aanval: "...that improves system resiliency to protect against the Download.Ject attack."
Er staat ook dat ze de komende weken een serie patches gaan uitbrengen die "additional protections" bieden (klinkt vertrouwenwekkend als je zoiets leest op de MS-site, niet?), later deze zomer komt WinXP SP2, die onder andere "unwanted downloads" moet "reducen" (elimineren lijkt mij een beter streven), en daarnaast hebben ze het er nog over dat er ooit een "comprehensive update" van IE komt die nog meer problemen oplost of zo (er staat gewoon niet wat die update moet gaan opleveren, alleen maar dat ze hem eerst goed zullen testen).
Met andere woorden: dit lek is helemaal niet gedicht, maar ze beloven dat het ooit goed komt.
Gelukkig hebben tweakers weer nergens last van want die gebruiken gewoon geen internet explorer ;-)
Het werd tijd dat Microsoft eens wat aan active-x ging doen want dat is zo lek als een mandje. Het lijkt tegenwoordig wel of er steeds sneller gaten worden gevonden in producten van MS terwijl je toch zou mogen verwachten dat ze de meeste gaten inmiddels wel gedicht hebben.
Het ziet er ook naar uit dat ze heel wat gaten te stoppen hebben. Straks hebben ze active-x zo gepatched dat er ook eigenlijk niets meer mee te doen valt.Dat is echter niet in één keer te bereiken en deze patch is dan ook slechts een stap in de goede richting, aldus de verantwoordelijke manager van Microsoft.
:strip_icc():strip_exif()/u/18149/catfish60.jpg?f=community){kind=small}
beveiliging stond voor het inet tijdperk (dus alle win9x) niet als belangrijk op het lijstje
het is echt maar sinds een jaar dat men er actief iets probeerd aan te doen
die dingen zoals active-x zijn heus niet op 1 dag ontwikkelt hoor, achteraf blijkt gewoon dat er een backdoor in zit voor misbruik
het is echt maar sinds een jaar dat men er actief iets probeerd aan te doen
die dingen zoals active-x zijn heus niet op 1 dag ontwikkelt hoor, achteraf blijkt gewoon dat er een backdoor in zit voor misbruik
/u/40481/crop63f777c898038_cropped.png?f=community){kind=small}
win9x en windows xp zijn totaal verschillend
win9x is duidelijk voor de users
terwijl winxp een afstammeling is van win2k wat weer een NT product is. hierin staat 'veiligheid' voor alles. de grote fout naar mijn idee zit 'm er dan ook in dat in windows alles teveel wordt geintegreerd waardoor je exploits als dit wel erg vergemakkelijkt.
kun je het direct een troll noemen.. maar onder andere browsers komt deze fout niet voor omdat deze los van het systeem staan.
wat ik trouwens ook wel leuk vind aan deze fout is altijd dat windows een doel is omdat het de meerderheid gebruikt. echter deze exploit komt in combinatie met een fout in IIS. IIS is niet het meest vertegenwoordigd op het internet maar apache. hieruit valt dan ook maar 1 ding te concluderen en dat is dat windows tegenover andere producten van lagere kwaliteit gegrammeerd is. ik ben dan ook van mening dat microsoft hetgeen waar ze nu al meer dan een jaar druk over doen (veiligheid voor de rest te stellen) ook eens daadwerkelijk doet en niet na 9 maanden met een patch aankomt
win9x is duidelijk voor de users
terwijl winxp een afstammeling is van win2k wat weer een NT product is. hierin staat 'veiligheid' voor alles. de grote fout naar mijn idee zit 'm er dan ook in dat in windows alles teveel wordt geintegreerd waardoor je exploits als dit wel erg vergemakkelijkt.
kun je het direct een troll noemen.. maar onder andere browsers komt deze fout niet voor omdat deze los van het systeem staan.
wat ik trouwens ook wel leuk vind aan deze fout is altijd dat windows een doel is omdat het de meerderheid gebruikt. echter deze exploit komt in combinatie met een fout in IIS. IIS is niet het meest vertegenwoordigd op het internet maar apache. hieruit valt dan ook maar 1 ding te concluderen en dat is dat windows tegenover andere producten van lagere kwaliteit gegrammeerd is. ik ben dan ook van mening dat microsoft hetgeen waar ze nu al meer dan een jaar druk over doen (veiligheid voor de rest te stellen) ook eens daadwerkelijk doet en niet na 9 maanden met een patch aankomt
:strip_icc():strip_exif()/u/4167/bacall8.jpg?f=community){kind=small}
FYI:
In de write-up bij deze regkey (want dat is de fix eigenlijk) staat ook dat het potentieel intranet apps die de functionaliteit gebruiken kan breken.
Een stap nemen die een functionaliteit breekt (net zoals SP2 voor XP een aantal software leveranciers problemen gaat bezorgen) doe je niet in één keer.
En voor wat betreft je IIS "argument"...
Alleen IIS5/6 (windows2000/2003) servers die niet in april gepatched zijn met ms04-011 en misconfigured zijn konden misbruikt worden als delivery mechanisme voor de backdoor.
In de write-up bij deze regkey (want dat is de fix eigenlijk) staat ook dat het potentieel intranet apps die de functionaliteit gebruiken kan breken.
Een stap nemen die een functionaliteit breekt (net zoals SP2 voor XP een aantal software leveranciers problemen gaat bezorgen) doe je niet in één keer.
En voor wat betreft je IIS "argument"...
Alleen IIS5/6 (windows2000/2003) servers die niet in april gepatched zijn met ms04-011 en misconfigured zijn konden misbruikt worden als delivery mechanisme voor de backdoor.
/u/88794/dj_henk4b.png?f=community){kind=small}
En voor wat betreft je IIS "argument"...
Alleen IIS5/6 (windows2000/2003) servers die niet in april gepatched zijn met ms04-011 en misconfigured zijn konden misbruikt worden als delivery mechanisme voor de backdoor.
Je beseft toch wel dat je met dit feit zijn argument juist versterkt?
Alleen IIS5/6 (windows2000/2003) servers die niet in april gepatched zijn met ms04-011 en misconfigured zijn konden misbruikt worden als delivery mechanisme voor de backdoor.
Je beseft toch wel dat je met dit feit zijn argument juist versterkt?
:strip_icc():strip_exif()/u/83337/countess6-nice.jpg?f=community){kind=small}
dat MS er actief wat aan probeerd te doen,het is echt maar sinds een jaar dat men er actief iets probeerd aan te doen
bij solaris, unix, en later linux, stond veiligheid al veel eerder op de prioriteiten lijstje.
:strip_icc():strip_exif()/u/26612/droptikkels_icon.jpg?f=community){kind=icon}
Uiteraard, maar daar werden al veel eerder multi-user systemen gebruikt, met belangrijke data. Dat wil je natuurlijk wat beter beveiligen dan een home-pc\\\\\\\'tje om wat spelletjes te doen en briefjes te typen (win95 computer)
:strip_icc():strip_exif()/u/91018/dgtw.jpg?f=community){kind=small}
je zou je bijna dingen gaan afvragen...die dingen zoals active-x zijn heus niet op 1 dag ontwikkelt hoor, achteraf blijkt gewoon dat er een backdoor in zit voor misbruik
'windowsupdate stuurt geen gegevens naar microsoft'
/u/13469/ada.png?f=community){kind=small}
Men "doet" helemaal niks aan ActiveX. Als je het artikel leest kun je zien dat Microsoft alleen dit Active-X component iets wijzigd.
Wat nou niet bepaald het enige Active-X component is wat standaard op je windows PC staat en schrijfrechten heeft op je hardeschijf.
Wat nou niet bepaald het enige Active-X component is wat standaard op je windows PC staat en schrijfrechten heeft op je hardeschijf.
Dit is inderdaad een verstandige zet van Microsoft. Ik vraag mij alleen toch nog steeds af waarom kwaadwillige code zo gemakkelijk kan 'inbreken' met de deuren open; daar moeten de programmeurs toch eerder aan gedacht hebben. De ActiveX technologie opzich (buiten de lekken ) vind ik wel goed en handig.
) vind ik wel goed en handig.
Als de programmeurs op al die kleine details (ik weet het sommige zijn gigantisch) moet letten, geraakt zo'n active-X-component nooit af. Je kan als programmeur nu eenmaal geen waterdicht programma/script schrijven. Neem het hen niet kwalijk (kijk naar mezelf die het moeilijk vind alle lekken te dichten in zijn site )
Als je dan toch "iets" de schuld wil geven, steek het dan op het feit dat men 9 maanden heeft gewacht om de patch uit te geven. Zo heeft men nu eenmaal de kans gegeven om al die keyloggers en andere spyware zich te laten installeren. Hieraan kan men integendeel wel iets doen. *kuch*sneller uitgeven*kuch*
)Als je dan toch "iets" de schuld wil geven, steek het dan op het feit dat men 9 maanden heeft gewacht om de patch uit te geven. Zo heeft men nu eenmaal de kans gegeven om al die keyloggers en andere spyware zich te laten installeren. Hieraan kan men integendeel wel iets doen. *kuch*sneller uitgeven*kuch*
Wat een enorme onzin. Als programmeur moet je beginnen met een VEILIG ONTWERP. Als je ontwerp niet veilig is (toestaan schrijfacties naar disk / OS / etc) wordt je software nooit veilig. Ik wil het al helemaal niet hebben over de tijd die het gekost heeft dit te patchen, terwijl Bill beweert dat ze binnen 48 uur een oplossing voor security problemen hebben.
Ik denk ook niet dat Felix ontkent dat een goed ontwerp een garantie is voor foutloze software, alleen zei je in je post daarvoor heel wat anders. Je zegt dat je als programmeur niet op de details hoeft te letten, en dat is absoluut niet juist om verschillende redenen. Om eens wat te noemen gaat dat van de veronderstelling uit dat dit soort lekjes details zijn: als je echter een gedegen beveiligingsmodel had ontworpen was dat niet zo geweest.Ik vind jouw verhaaltje over lekdichte ontwerpen wel héél mooi, maar beveiligingslekken kunnen nu eenmaal in jouw verwezenlijking van dat ontwerp insluipen.
(om maar eens een heel simpel voorbeeld te noemen: in een model waarin software voor elke handeling specifieke toestemming moet krijgen (van de security manager, gebruiker, wat dan ook) is de kans op een component dat per ongeluk te veel mag doen erg veel kleiner dan in een model waarin je dingen die niet mogen specifiek moet verbieden; in het eerste geval kan je component nog zo buggy geschreven zijn, maar als je security manager geen expliciete toestemming verleent kan ie niks schadelijks doen)
Ik vind jouw verhaaltje over lekdichte ontwerpen wel héél mooi, maar beveiligingslekken kunnen nu eenmaal in jouw verwezenlijking van dat ontwerp insluipen. Het ontwerp van mijn software/webapplicaties is ook waterdicht, ook al vind ik in mijn code regelmatig lekken!
Hetgener hieraan wel te verhelpen is om zo snel mogelijk een patch uit te brengen die jouw codeerfout oplost! En dit liefst zo snel mogelijk.
Hetgener hieraan wel te verhelpen is om zo snel mogelijk een patch uit te brengen die jouw codeerfout oplost! En dit liefst zo snel mogelijk.
/u/113709/galactic_empire_60pix.png?f=community){kind=small}
vanaf dag 1 dat microsoft met activeX uitkwam, hoorde je al van alle kanten dat dit misbruikt zou kunnen worden. en dat gebeurt ook om de haverklap.
het idee is leuk, maar de gekozen oplossing lijkt wel op dweilen met de kraan open.
het idee is leuk, maar de gekozen oplossing lijkt wel op dweilen met de kraan open.
Huh ,
een beetje fatsoenlijk programmeur , zeker als je iets bouwt waarvan je weet dat het enorm veel security risks met zoch mee kan brengen (code om via internet naar eimands harde schijf schrijven schreeuwt gewoon om extra aandacht), schrijft met zijn code ook de nodige test-cases .
Die code zal echt niet ff'tjes in elkaar worden geflanst . (althans, dat zou niet mogen gebeuren)
een beetje fatsoenlijk programmeur , zeker als je iets bouwt waarvan je weet dat het enorm veel security risks met zoch mee kan brengen (code om via internet naar eimands harde schijf schrijven schreeuwt gewoon om extra aandacht), schrijft met zijn code ook de nodige test-cases .
Die code zal echt niet ff'tjes in elkaar worden geflanst . (althans, dat zou niet mogen gebeuren)
Deze fix heeft niets met de mogelijkheden van ActiveX te maken. Het zorgt er alleen voor dat het component ADODB.Stream niet meer vanuit IE aangemaakt kan worden. Das compleet iets anders.
:strip_icc():strip_exif()/u/94180/normaal.jpg?f=community){kind=small}
ActiveX=disabled= No problemos
Ik zet bij klanten die erop staan dat ze IE willen blijven gebruiken, sowieso ActiveX uit.
Wat heb je nou aan die blurry shit
Ik zet bij klanten die erop staan dat ze IE willen blijven gebruiken, sowieso ActiveX uit.
Wat heb je nou aan die blurry shit
Op dit item kan niet meer gereageerd worden.