Volgens The Register reageert Microsoft hiermee waarschijnlijk op een e-mail van Chris Evans, een beveiligingsonderzoeker van Google. Hij schreef dat hij van een ernstige kwetsbaarheid in Internet Explorer 8 afwist, en dat het hem niet gelukt was om Microsoft over te halen om het lek te dichten.

Twitter en URL-verkorters

Een paar uur later kwam Microsoft met een Tweet met daarin de boodschap dat het bedrijf een bug zou gaan onderzoeken in Internet Explorer die openbaar gemaakt zou zijn.

De bug waar Evans het over heeft zou een slachtoffer dwangmatig laten Tweeten. Hij stelt verder bewijs te hebben dat Microsoft al vanaf 2008 op de hoogte is van de bug en dat het vertrouwen van mensen in URL-verkorters wel eens aangetast zou kunnen worden.

Evans geeft in zijn e-mail een link naar een ongevaarlijk demonstratie van de bug. die lijkt het verlengde te zijn van het probleem dat hij afgelopen december omschreef. Ook andere versies van Internet Explorer dan versie 8 zouden wellicht kwetsbaar zijn.

Microsoft laat het afweten

Rik Ferguson, een senior beveiligingsconsultant bij het bedrijf Trend Micro legt uit dat door het lek de credentials gestolen kunnen worden van een beveiligde browsersessie zoals Twitter. Deze credentials worden vervolgens misbruikt om vervalste content te versturen. Het lek kan net zo goed misbruikt worden door andere diensten die URL-verkorters gebruiken. De browsers Opera, Chrome, Firefox en Safari hebben dit lek al gedicht volgens Ferguson.

In juni van dit jaar was Travis Ormandy volgens velen te vlug met het openbaar maken van een bug in Windows. Het lijkt er echter op dat Chris Evans erg geduldig is geweest. Hij heeft Microsoft behoorlijk wat tijd gegeven om actie te ondernemen en hij heeft gewacht tot de andere browsers het lek gedicht hadden, alvorens in de openbaarheid te treden. Wat dat betreft treft Evans waarschijnlijk geen blaam voor zijn communiqué.

Bron: Techworld