Management

Zakelijke software
IE-logo

Oude IE-versies kopzorg voor beheer

Iedere Windows gebruiker is kwetsbaar ook als je Internet Explorer niet gebruikt.

22 januari 2016

Doorgaans is de kans dat veiligheidsproblemen in software worden misbruikt uiterst klein, zo lang de betreffende software maar niet wordt gebruikt. Zo niet met Internet Explorer. Zoals Microsofts senior software developer Pat Altimore tegen CNN duidelijk maakte, heeft ­Microsoft jarenlang gewerkt aan een nauwe ­integratie van deze browser met het Windows-besturingssysteem. Webbased was immers de toekomst, dus is het handig ook voor het besturingssysteem een browser als interface te nemen, was de gedachte.

Nu komt Microsoft van een koude kermis thuis, of liever de beheerders van Windows-systemen. Ook al wordt een verouderde IE-browser niet meer gebruikt, het besturingssysteem kan wel componenten van deze browser aanroepen om bijvoorbeeld HTML weer te geven of scripts ten uitvoer te brengen. Om deze componenten veilig te houden, moet er een ondersteunde versie van Internet Explorer op de machine zijn geïnstalleerd. En daar zit het probleem. Microsoft heeft sinds 12 januari de ondersteuning van Internet Explorer-versies ouder dan IE 11 gestaakt voor de meeste Windows-platformen. Gezien het tempo waarin de afgelopen tijd softwarelekken in Internet ­Explorer werden ontdekt en gerepareerd, ligt het voor de hand dat al deze browserversies binnenkort een hackerswalhalla worden.

Er zit dus in de meest gevallen niets anders op dan de IE-versie op te waarderen naar IE 11 of de nieuwe Edge-browser.

Microsoft gaat gebruikers daar de komende tijd ook op wijzen. Tussen de laatste patches die Microsoft aanstaande dinsdag 12 januari ­verspreidde, zat namelijk ook een waarschuwingspatch. Bij het openen van een niet meer ondersteunde versie van IE opent automatisch een pagina die aanspoort tot een upgrade. Bij Windows 7-gebruikers geldt dat als ze nog niet op versie 11 zitten, voor mensen met Windows Vista als ze niet naar IE 9 zijn verhuisd, en voor installaties met Windows Server 2012 als daar een oudere variant dan Windows 10 wordt ­gebruikt. Die waarschuwing kan straffeloos worden weggeklikt, maar na drie dagen komt deze weer terug. Als de oude IE-versie ­alleen maar vanuit het besturingssysteem wordt aangeroepen omdat gesurfd wordt met een alternatieve browser zoals Chrome of Firefox, komt deze waarschuwing niet langs.

 

Als overstappen niet mogelijk is

Voor sommige organisatie is de overstap naar de nieuwste versies nog niet mogelijk. Werknemers hebben oudere versies – en dan voornamelijk IE 9 – nodig om websites te bezoeken van derden die de inhoud van hun website nog niet hebben aangepast voor gebruik van nieuwe browsers. Ook kan het gebruik van maatwerk in eigen webapps die specifieke functies van Internet Explorer 9 aanroepen, roet in het eten gooien.

Onlangs demonstreerde de IT-beveiliger J.F Rice in Computerworld een work-around. Hij koos er voor op alle pc’s van werknemers IE11 te installeren naast IE 9, die hij in een virtuele container plaatste. Met de beleidsregels in de Active Directory Group Policy maakte hij het voor werknemers onmogelijk met de oude browser andere sites te bezoeken dan die zijn opgenomen in een whitelist voor IE 9.

Microsoft zelf wijst er op dat Internet Explorer 11 Enterprise Mode inmiddels een aantal wijzigingen heeft ondergaan zodat deze toch met oudere Web Apps overweg kan. De document modus bijvoorbeeld kan nu IE 5, IE 7, IE 8, IE 9 en IE 10 rendering emuleren. Verder heeft het bedrijf Enterprise Site Discovery uitgebracht als gereedschap om na te gaan welke apps de ­site bezoekers gebruiken en hoe deze apps zijn opgebouwd, bijvoorbeeld welke Active X-elementen worden gebruikt. De afhankelijkheid van Active X is doorgaans het grootste probleem voor oudere web-apps. Uitleg en aanbevelingen rond het gebruik van de Enterprise Mode en de Enterprise Site Discovery zijn ondergebracht in een softwaregereedschap genaamd Web Application Compatibility Lab Kit.

Wie toch gek wordt van Microsofts waarschuwing, heeft de mogelijkheid om de waarschuwing definitief te verwijderen. Dat vraagt wel aanpassing van de registry. Deze mogelijkheid is vooral bedoeld voor organisaties die al bezig zijn met vervanging.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!