Microsoft: zet active scripting uit in IE

Het eerste lek, dat voor het weekend als eerst gemeld werd op het BugTraq-forum van Security Focus, is de minst ernstige van de drie. Hackers kunnen via een geprepareerde webpagina de browser van een bezoeker laten crashen. Bij het tweede lek, dat ontdekt werd door de Nederlandse programmeur Jeffrey van der Stad, is zelfs een complete systeemhack mogelijk.

Het derde lek, dat woensdag werd ontdekt, zou het makkelijkst te misbruiken en daarom het gevaarlijkst zijn. Het bevindt zich in de createTextRange()-functie van de browser. Kwaadwillenden zijn naar verluidt in staat het complete systeem over te nemen door met kwaadaardige codes het geheugen te corrumperen.

"We zijn het lek nog aan het onderzoeken. Een Security Advisory is momenteel in de maak", schrijft Lennart Wistrand van het Microsoft Security Response Center op zijn blog. De Beta 2 Preview van IE7 zou niet vatbaar zijn.

Volgens Wistrand is er een work-around waarmee gebruikers problemen kunnen omzeilen. "Onderzoek wijst uit dat je met het uitzetten van active scripting een aanval kunt voorkomen."

Of alle lekken worden gedicht op de eerstvolgende patchdag (dinsdag 11 april), of dat één of meerdere updates eerder zullen worden verspreid, is nog niet bekend.