Voor dat beveiligingsgat in Internet Explorer is gisteravond een noodpatch uitgekomen, buiten de normale maandcyclus van Patch Tuesdays om. Die update dicht in totaal acht lekken in de Windows-browser. Het is in wezen de patch die al klaarstond voor de volgende patchronde, die op dinsdag 9 februari plaatsvindt. Microsoft heeft deze patch relatief snel uit kunnen brengen omdat het al maanden op de hoogte was van het Chinese gat.

Eind augustus gemeld

Security-onderzoeker Meron Sellem van het Israëlische bedrijf BugSec heeft de bug op 26 augustus gemeld bij de Windows-propducent. Dat bekent security-woordvoerder Jerry Bryant van Microsoft in de blogpost waarin hij de update presenteert. "We hebben vastgesteld dat de kwetsbaarheid [die is gebruikt bij de aanval op Google en andere bedrijven] dezelfde is als een kwetsbaarheid die aan ons is gemeld en die begin september is bevestigd."

Ontdekker Sellem heeft na zijn melding bij Microsoft later nog geïnformeerd waarom het zo lang duurde voor er een patch kwam. Hem werd toen verteld dat er veel moest worden getest. Het verbaast Sellem niet dat ook anderen de kwetsbaarheid hebben gevonden. “Het lag eigenlijk erg voor de hand en we hadden niet het idee dat het moeilijk was voor anderen om hem te vinden.” BugSec deed er ongeveer twee weken over om de bug te vinden.

Windows' html-engine

Bryant meldt nu dat het lek niet alleen Internet Explorer kwetsbaar maakt, maar ook andere applicaties die de html-rendering engine van IE (specifiek: mshtml.dll) gebruiken voor het weergeven van html-code. Die engine is standaard aanwezig in Windows en kan ook door andere applicaties worden gebruikt als een andere browser staat ingesteld als default browser. Klanten die de update toepassen, hoeven zich geen zorgen meer te maken over misbruik via dergelijke andere applicaties. Die zijn dankzij de patch nu ook beschermd, aldus Bryant.

Volgens experts is het niet verwonderlijk dat het lek pas in februari gepatcht zou worden. Er gaan maanden overheen voordat er code is geschreven en voordat die goed is getest op alle platformen. Zoiets moet grondig gebeuren omdat er veel van afhangt. Bovendien was de bug niet openbaar gemaakt, en er waren geen aanwijzingen dat er misbruik van werd gemaakt. Die aanwijzingen kwamen volgens Bryant pas op 11 januari.

Aanvallen

Toen kwam naar buiten dat Google en zeker 33 andere Amerikaanse bedrijven zijn gehackt. Daaronder bevinden zich ook Yahoo, Adobe en Defensieleverancier Northrop. Ondertussen zijn er al meer hackaanvallen gemeld die gebruik proberen te maken van het lek.

Zo meldt WebSense dat er e-mails worden gestuurd die een trojan installeren op de machine van de slachtoffers. Het simpelweg openen van de mail met het subject "Helping You Serve Your Customers" kan al voldoende zijn om gehackt te worden. Die aanvallen gaan tot nu toe nog gewoon door. Symantec ziet al vanaf woensdag een groot aantal websites die voorbijgangers met IE6 op Windows XP met een trojan proberen op te zadelen.

Met medewerking van Techworld.nl.