Microsoft verzweeg ernstig IE-lek

Hackers die het lek gebruiken, maken inbreuk op applicaties die voorzien zijn van de MSVidCtl Active X-control (opgeslagen in msvidctl.dll). Aanvallen op deze videocomponent van het raamwerk zijn de laatste dagen explosief gestegen. Kwaadwillenden kunnen met behulp van bijvoorbeeld advertenties die deze code bezitten de controle overnemen van computers die draaien op XP en Server 2003.

15 maanden geen respons

Volgens onderzoek van techsite The Register heeft Microsoft in april of mei vorig jaar voor het eerst van het lek gehoord. Tot afgelopen maandag had het geen patch beschikbaar. Pas toen hackers de bug daadwerkelijk gingen misbruiken, kwam het bedrijf met een oplossing.

Mike Reavy, directeur van het veiligheidscentrum van Microsoft, zegt dat het bedrijf goede redenen heeft gehad om het verhelpen van het lek uit te stellen. Zo zegt hij dat is gewacht omdat een direct uitgebrachte patch waarschijnlijk te veel features van het Active X-element geblokkeerd zou hebben. "We wisten van tevoren niet of er naast onze informatie ook andere problemen met het lek zouden spelen", zo zegt hij. "Als we een update uitbrengen die functionaliteit terugbrengt, dan zullen verschillende beheerders deze niet installeren."

Een jaar werk

De maandag uitgebrachte patch schakelt 49 CLSID besturingselementen uit die met het lek in Active X te maken hebben, voornamelijk met de API DirectShow. Volgens Reavy is er sinds 2008 aan de fix gewerkt. "We moesten zeker weten dat we niet onnodig elementen zouden uitschakelen."

Het lek werd maandag ontdekt nadat via het Giant Realm-netwerk advertenties werden verspreid met foute code. Via Google worden momenteel ongeveer 3 miljoen webpagina's naar sites met de exploit gelinkt. Enkele dagen geleden lag dat aantal nog op enkele duizenden. Via deze link kan een fix voor XP en Server 2003 gedownload worden.

Bron: Techworld