"Het netto resultaat van overstappen naar een alternatieve browser is dat je terecht komt bij een minder veilige browser", vertelt security- en privacy-manager Cliff Evans aan ict-nieuwssite Tech Radar. De Britse hoofd security van Microsoft reageert op ophef over het openstaande beveiligingsgat in Internet Explorer (IE) en op het advies van Franse en Duitse overheidsinstanties om IE niet te gebruiken.

'Bredere security-kwesties'

"Het risico van deze specifieke exploit is minimaal vergeleken met Firefox of andere concurrerende browsers. Je stelt jezelf dan open voor andere security-kwesties." Volgens Evans hebben andere browsers bredere risico's en problemen. Hij zegt dit in vergelijking met de nieuwste versie 8 van IE.

De Microsoft-manager noemt de media-aandacht over dit probleem, waarbij Google en 33 andere bedrijven zijn gehackt vanuit China, niet representatief voor de situatie. "We hebben het over een enkele kwetsbaarheid. De realiteit van het risico is minimaal, zelfs als je IE6 hebt; je zou dan naar een website moeten gaan waar de exploitcode draait." Evans noemt IE8 de meeste veilige browser die er nu is.

'IE8 is veiligste browser'

Hij stelt dit ook aan het einde van een interview met de BBC. "IE8 biedt de gebruiker een veiligere omgeving om op het internet te browsen", antwoordt hij op de vraag van de BBC waarom een gebruiker IE8 zou prefereren boven Firefox of Chrome. Evans benadrukt wel dat IE8 aanvullende beschermingsfuncties biedt die misbruik van het lek voorkomen of beperken. Die ontbreken bij IE6 en zijn in beperkte mate aanwezig bij IE7.

Feit is wel dat het gat aanwezig is in IE versies 6 t/m 8, maar dat succesvol misbruik nu alleen aan de orde is op het antieke IE6. Security-ingenieur Jonathan Ness van Microsoft heeft in een blogpost al gemeld dat IE6 op Windows 2000 en XP kwetsbaar is. Aanvullende beveiligingsfuncties zoals DEP (Data Execution Prevention) en IE Protected Mode zorgen voor bescherming op Windows Vista, Windows 7 en IE8. De mate van beveiliging is afhankelijk van de versie van het besturingssysteem, daarbij geldt: hoe nieuwer hoe veiliger.

Updaten

De nieuwste versie van Microsofts browser is ook veilig op het oudere Windows XP, aldus Ness. Hij reageert op Twitter ook op het advies van overheden om IE te mijden. "Waarom? Als je IE nodig hebt, gebruik IE. Gebruik wel IE8 en zorg dat het geüpdatet is."

Microsoft onderzoekt het lek en werkt aan een patch. Het brengt die mogelijk uit in de volgende ronde van zijn maandelijks patchcyclus, of misschien eerder. Dit meldt het bedrijf in de security advisory over deze kwetsbaarheid.

Inzage in broncode Windows

Saillant detail in deze hele affaire is dat Microsoft de Chinese overheid 6 jaar geleden inzage heeft gegeven in de broncode van Windows, waar IE in is geïntegreerd. Dat was in het kader van Microsofts Government Security Program, waarbij het overheden inzicht biedt in de broncode van zijn software. Dit dient om het oprukken van Linux tegen te gaan. Naast China doen ook Groot-Brittannië, Finland, Oostenrijk, Italië, Spanje, Turkije, Rusland en de NATO mee.

IE6 is het meest kwetsbaar, IE7 minder en IE8 niet, stelt Microsoft.