Exploit voor IE 7 per ongeluk online gezet
Gepubliceerd: Donderdag 11 december 2008
Auteur: Michiel van Blommestein
Vlak voor Patch Tuesday is in China een zero-day exploit opgedoken voor Internet Explorer 7. Ook volledig gepatchte systemen zijn kwetsbaar. 'Het is een nare'.
Dat meldden verschillende beveiligingsbedrijven. De exploit misbruikt een fout van IE in de omgang met xml, zodat het een heap overflow kan uitlokken.
Door het slachtoffer naar een website te lokken en bloot te stellen aan kwaadaardige JavaScript-code, kan de hacker een installer voor een trojanop het systeem uitvoeren. Deze haalt op zijn beurt weer andere malware naar binnen. McAfee noemt de Downloader-AZN als de gebruikte trojan.
IE 7 hapt volgens de onderzoekers toe in 1 op de 3 gevallen op hun testsysteem met Windows XP SP2. Maar McAfee geeft aan dat systemen met XP SP3 en Vista SP1 ook kwetsbaar zijn. Bovendien is het lek eergisteren met Patch Tuesday niet gedicht, zo staat te lezen op het blog van een klein beveiligingsbedrijf, Lumension Security.
Nare exploit
Het Chinese security-team 'knownsec' publiceerde de exploit per ongeluk. Ten minste, ze waren in de veronderstelling dat er al een patch was uitgegeven voor de kwetsbaarheid. "Dit is onze fout", aldus de Chinese beveiligers.
iDefense constateert dat de exploit een 'erg nare' is, die security professionals nog hoofdbrekens kan gaan bezorgen, meldt de IDG Nieuwsdienst.
Microsoft laat weten kennis genomen te hebben van het lek. Het is nog onbekend of het bedrijf een noodpatch zal uitbrengen of wacht op de volgende Patch Tuesday in januari 2009.
