Google-medewerker Michal Zalewski heeft met een door hem geschreven tooltje meer dan honderd bugs in browsers gevonden. Daaronder bevindt zich ook een gevaarlijk CSS-gat (cascading style sheet) in Microsofts browser Internet Explorer. Omdat de details van dat beveiligingsgat volgens hem al in het bezit waren van Chinese hackers besloot hij zijn tool vrij te geven. Dat was tegen de zin - en zelfs een expliciet verzoek - van Microsoft.

Groter risico op misbruik

Volgens de softwaregigant verhoogt Zalewski hiermee het risico dat IE-gebruikers lopen om slachtoffer te worden van kwaadwillenden die dit gat misbruiken. Cybercriminelen kunnen het gat nu uitbuiten voordat er een goed geteste patch voor de browserbug is, aldus Microsoft. Het gedrag van Zalewski zou dus onverantwoordelijk zijn.

Er is bovendien veel onduidelijkheid over welk gat wanneer gevonden is. Zalewski stelt dat de eerste versie van zijn tooltje, die in juli al uitkwam, het desbetreffende gat in Internet Explorer al vond. Hij zou deze fout zelfs al in 2008 aan Microsoft gerapporteerd hebben, maar kreeg geen enkele reactie. Het softwarebedrijf had bovendien toen al de beschikking over die eerdere versie van zijn programma.

'In juli nog niets gevonden'

Microsoft heeft een andere lezing van de voorgeschiedenis. Woordvoerder Jerry Bryant van Microsofts securitygroep zegt in een reactie tegen Ars Technica dat zowel Google als Microsoft niets konden vinden met de eerste versie van Zalewskis tool. Dat veranderde volgens hem toen er op 21 december een nieuwe versie van de tool uitkwam. Volgens Microsoft is er pas met die versie een ernstige fout in IE gevonden, die ook nog eens succesvol uit te buiten blijkt.

Dat was ook de versie van de tool die Zalewski openbaar maakte. Samen met enkele gegevens van de crash waarmee het gat echt misbruikt kan worden. Voordat dit bestand publiek werd gemaakt, was het overigens al per ongeluk geïndexeerd door Google en gevonden vanaf een Chinees ip-adres.

'Chinees heeft het zelf ontdekt'

Vanaf dat adres is er op 30 december heel specifiek gegoogled op twee functies die alleen in dit beveiligingslek voorkomen, zegt Zalewski op zijn blog. Hij gaat er van uit dat de Chinees die hiernaar zocht dit specifieke lek zelf al ontdekt had. Er was namelijk nog helemaal niets over geschreven op internet, behalve in het per ongeluk al geïndexeerde bestand van de Google-werknemer. Vervolgens is de informatie, compleet met de Zalewski's fuzzing tool, gedownload naar dat ip-adres in China, aldus Zalewski.

Hoewel het dus waarschijnlijk is dat de details over het lek in verkeerde handen zijn gekomen, zegt Microsoft niet op de hoogte te zijn van aanvallen die het gat gebruiken. Het bedrijf brengt wellicht volgende week dinsdag op Patch Tuesday al een patch voor dit gat uit. Het kan ook zijn dat het bedrijf buiten de maandelijkse patchdag een lapmiddel voor het gat vrijgeeft.