US-Cert: Schakel JavaScript en ActiveX uit

Na verschillende securitybedrijven heeft ook het United States Computer Emergency Readiness Team (US-Cert) alarm geslagen over het hacken van meer dan 500.000 websites. De afgelopen week verschenen - soms tegenstrijdige - berichten over Chinese hackers die met kwaadaardige JavaScript-code een kwetsbaarheid in Micrososft's webserversoftware IIS uitbuiten.

Slordige ASP-code

Het bleek echter niet te gaan om een bug in IIS. De hackers misbruikten simpelweg slordig ASP en ASP.Net programmeerwerk bij honderdduizenden website-databases. Dat betekent overigens dat het probleem niet met een patch te verhelpen is, en de webaanval duurt dan ook nog steeds voort.

Onder andere een pagina van het Amerikaanse Department of Homeland Security en de Verenigde Naties bleken geïnfecteerd. Ook op een klein aantal Nederlandse sites vindt Google de kwaadaardige code.

Een geïnfecteerde site tracht bij langssurfende bezoekers kwaadaardige code uit te voeren.

Vandaar ook dat US-Cert gebruikers aanmoedigt om hun software te updaten en JavaScript en ActiveX in de webbrowser uit te schakelen.

JavaScript en ActiveX standaard uit

De groep adviseert wel vaker tijdens webaanvallen om JavaScript uit te schakelen, maar opmerkelijk is nu dat dit advies nu tot standaard beleid wordt verheven - ook voor tijden dat er geen specifieke webdreiging is, zo blijkt uit het 'Securing Your Web Browser' document van de security-organisatie.

Daarin wordt aan organisaties en individuele gebruikers uitgelegd hoe ze hun voorkeursbrowser 'op slot' kunnen zetten. Het uitschakelen van JavaScript heeft verregaande gevolgen voor de gebruikservaring op het web, omdat heel veel websites dan niet meer functioneren.

US-Cert constateert in haar browseradvies verder ietwat spijtig dat 'het verwijderen van IE van de computer niet praktisch is, omdat het zit ingebakken in het besturingssysteem Windows.'