Zero-day lek IE niet gepatcht, wel in exploit kit
Gepubliceerd: Woensdag 10 november 2010
Auteur: Chris Broesder
Het zero-day lek in Internet Explorer 6, 7 en 8 dat actief uitgebuit wordt op het moment, is nu inbegrepen in de Elenore exploit kit. Dat betekent dat iedereen het lek kan uitbuiten tegen betaling. Microsoft heeft het lek deze maand niet kunnen patchen op Patch Tuesday.
Het zero-day gat in Internet Explorer versies 6, 7 en 8 is bewezen misbruikt in het wild. DEP is effectief tegen het lek, maar dat staat standaard niet aan in IE 7 en is niet te gebruiken in IE 6. DEP is automatisch aan te zetten voor gebruikers van IE 7 via de fix die Microsoft hiervoor uit heeft geschreven. Gebruikers van IE 6 wordt simpelweg aangeraden om nu eindelijk eens te upgraden. Ook opperde Microsoft om te updaten naar de bèta versie van IE 9.
Meer exploitatie in het wild
Het opvolgen van het advies van Microsoft wordt met de dag belangrijker omdat er steeds meer meldingen binnenkomen van uitbuiting, bijvoorbeeld via onderstaande e-mail met link naar een kwaadaardige pagina. Het lek wordt steeds meer misbruikt doordat de exploit nu toegevoegd is aan de Elenore exploit kit. Voor enkele honderden euro's kunnen kwaadwillenden nu dus de kit aanschaffen en toegang hebben tot een zero-day.
Patch Tuesday
Het lek in IE is niet afgepleisterd in Microsoft's patchronde van gisteren. Dat betekent dat het lek waarschijnlijk nog een maand zal openstaan, tenzij er een zeldzame out-of-band patch uit wordt gegeven door Microsoft. Beveiligingsonderzoekers vinden dat dit wel zou moeten. In de Patch Tuesday van gisteren werd wel lekken gerepareerd in de VPN-software Forefront Unified Access Gateway en in de Office-versies XP, 2003, 2007, 2010 en Office for Mac 2011. Het eerste kritieke lek werd gerepareerd in Office 2010 in de patchronde.
Bron: Techworld
De rubriek Tips & Tools biedt praktische informatie die IT-professionals in hun dagelijkse werk kunnen toepassen.
