IE8 nog steeds vatbaar voor oud xss-lek
Gepubliceerd: Dinsdag 26 mei 2009
Auteur: Sander van der Meijs
Een cross-site scripting-lek (xss) dat onlangs leek te zijn verholpen met de komst van IE8, blijkt toch nog aanwezig te zijn.
Dit lek dat browsers kwetsbaar maakt voor een bepaald type (UTF-7) xss-aanvallen is al in februari 2007 ontdekt. Het is lang geleden al gedicht in Firefox 2.0.0.2 en in Opera 9.20. Onlangs leek het lek, met de komst van Internet Explorer 8, ook verholpen in de browser van Microsoft. Die versie heeft een nieuw filter tegen xss-aanvallen, wat volgens Microsoft zelf moet beschermen tegen zo'n 70 procent van alle webdreigingen.
Maar het oude lek blijkt toch nog te bestaan in die nieuwste versie van de in Windows meegeleverde browser. Dat schrijft hacker Inferno op zijn blog. Hij biedt daar ook demonstratiecode voor dit beveiligingsgat, zogeheten proof of concept. Die code blijkt inderdaad te werken in IE8, maar niet in Firefox.
Maanden
Inferno heeft het lek eerder deze maand maar publiekelijk bekend gemaakt nadat hij - naar eigen zeggen - al twee maanden in gesprek is met de beveiligingsafdeling van Microsoft. De IE-ontwikkelaars van het bedrijf laten Inferno weten dat ze hard bezig zijn om dit lek te dichten. De hacker schrijft: de fix wordt verwacht in de volgende versie van Internet Explorer, IE9.
