HTTPS Inspection crashes IE10

Hi Justin,

Have a look to this thread that i´ve created: 

https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46895

I think it´s related - on my case, it was happening also with IE9 (IE8 was not affected).

From my testing, it was happening when some URLs were being denied (by policy) in https.

Greetings all, just installed an SG115w at a client's site and they are experiencing odd behavior on certain websites in IE10, wondering if this may be the same bug talked about here. When they sign onto a secure site, sometimes IE will crash with an Illegal Exception error in NTDLL.DLL, does this sound familiar? UTM is running on 9.350-12 firmware which is currently a staged release to be completed sometime in mid-October.

Interestingly enough at the same location I had a machine that would not run Quickbooks 2015 of all things. Same error with NTDLL.DLL which felt oddly co-incidental. After rabbit holing with Intuit for most of the day re-installing and repairing Quickbooks numerous times I finally started messing with msconfig. Tried turning different things off at startup, nothing seemed to help. Then I rebooted with minimal config and the machine came up with no network connection, suddenly Quickbooks worked, WTF? Mind you this is a fully installed version loaded locally, not a cloud version. Decided to reboot normally but this time before starting Quickbooks, I disabled the network card. Wouldn't you know it, Quickbooks worked again. Enable the network card, launch Quickbooks, looks like it is going to work and then BAM, ntdll.dll error. Since the only thing we had changed recently was the Sophos I decided to have a look in there just for giggles.

Never in a million years would I even begin to suspect a UTM as the thing preventing an app from working on a PC, but hey there's a first for everything. Decided to go in an mess around with web filtering a little, added intuit.com to the whitelist for websites in case that was being blocked somehow, made no difference. Turned web filtering completely off, launched Quickbooks, NO CRASH!!! If I had not spent the better part of a day working on this I would have told someone they were crazy for suspecting the UTM, now I know better. Ended up adding that PC to the Skip Transparent Mode hosts list so they could use Quickbooks, not the best solution but at least they can function. I don't half wonder if that computer is on IE 10 and Quickbooks is somehow using IE10 to do something in the background causing the crash. Could also explain why another computer in the same location is running Quickbooks without a problem, that machine is probably on IE11.

Update: I checked on the respective machines, as I suspected the one with the "working" Quickbooks is running IE11, the "broken" one is running IE10. Looks like other programs can be effected as well, not just Internet Explorer. Solution right now is to turn off HTTPS scanning in Transparent mode, ultimately getting rid of IE10 would be ideal.

You cannot get rid of ie10 but upgrading to ie11 or not using ie at all are other solutions..[:)]

You cannot get rid of ie10 but upgrading to ie11 or not using ie at all are other solutions..[:)]

Yes, by get rid of I meant upgrade to 11, however, alternatives may not be an option at some clients. Certain sites require the use of ActiveX which is only available in IE. Not sure what they will do when Windows 10 starts becoming a requirement, from what I understand Edge (the replacement for IE) has none of the legacy support for things like ActiveX. I think 10 supports having IE11 as an alternative, have not messed with it enough to see if it will work though. It is really getting out of hand with all of the different browsers, we have clients where some sites work with one browser while other sites work with another. We end up having to create special shortcuts just to launch websites with the proper browser, gets annoying real fast.

The biggest problems is activex.  once that dies it gets much easier and it is dying albeit slowly.

The biggest problems is activex.  once that dies it gets much easier and it is dying albeit slowly.

And let's not forget about Adobe Flash, that one needs to go away as well.

Way too many DVRs and video cameras as well as other embedded devices that have activex plugins that simply won't work anymore, they are one of the main reasons we still have XP machines floating around. Don't even get me started with JAVA (Just Another Vulnerability Announcement), that is in such a state now that barely anything works, again, we have to keep old XP machines alive so we can use old JAVA verions to access old equipment.

that is dying at an extreme pace...much much faster than activex will die.

We have an Avocent KVM (Keyboard, Video, Mouse) solution for our lab - all the hardware is plugged into one device, which you can log into and launch a Java app which is the KVM into the machine (like remote desktop or VMWare Console, it gives you access to the machine from anywhere).  However given that most of our machine don't have Java installed anymore, most computers cannot run the KVM app.  We now have a few specific machines with Java that all KVM access is done from.

But there are no plans to replace the old >$10k KVM switch just to get rid of Java.

As for the original problem, there is not much I can offer except googling "ntdll crash" has lots of hits.

What websites are you going to? Some websites have HTTP Strict Transport Security which does end to end checking from the browser and server side and if there's anything wrong (like a proxy/MITM) then it closes the connection. That version of IE10 may be incompatible with the HSTS. Not sure but this may apply here.

If it's all HTTPS websites then not sure what it could be.

We have an Avocent KVM (Keyboard, Video, Mouse) solution for our lab - all the hardware is plugged into one device, which you can log into and launch a Java app which is the KVM into the machine (like remote desktop or VMWare Console, it gives you access to the machine from anywhere).  However given that most of our machine don't have Java installed anymore, most computers cannot run the KVM app.  We now have a few specific machines with Java that all KVM access is done from.

But there are no plans to replace the old >$10k KVM switch just to get rid of Java.

As for the original problem, there is not much I can offer except googling "ntdll crash" has lots of hits.

Why not devote one old machine that has the 'right' java to being the 'server' and RDP into it to access the KVM? Unless you need multiple people accessing at once, terminal services maybe? Should be plenty of old 2003 servers out there with term serv licenses just wasting away, maybe get a hold of one of those? Someone on here might even send you the licenses for nothing if you ask nicely.

We had a similar problem with a multi-function copier/scanner/fax at a client, when we upgraded all of the computers to Win 7 the new java simply refused to run the embedded java app that was in the firmware of the device. It was a simple app that allowed a person to map a share on their computer to the scan feature on the device. Unfortunately that was the only way you could do this, they didn't give any other way to set the path to where the scans would go so many people lost the ability to scan to their PC after the 'upgrade' to Windows 7. Device was a Lexmark X736de in case anyone wondered.