De ontdekker van het lek, Ronald van den Heetkamp, heeft een proof of concept van het beveiligingslek in IE online gezet. Onder meer SecurityFocus en Security.nl besteedden de afgelopen dagen aandacht aan de ongepatchte kwetsbaarheid in IE.

Met behulp van de door Van den Heetkamp bedachte proof of concept is het mogelijk om de in de browser ingebakken security-beperkingen voor het uploaden van bestanden te omzeilen. Bij gebruik op een website kan de exploit misbruikt worden voor het ophalen van bestanden van iemands harde schijf, zonder dat het slachtoffer dat doorheeft.

De beveiligingsexpert kreeg het idee voor het beveiligingslek naar aanleiding van een al bestaande kwetsbaarheid in Firefox. "Als ik een nieuw lek heb gevonden, probeer ik het altijd om deze in meerdere browsers werkend te krijgen", legt hij uit. "Regelmatig vind ik wel iets nieuws, zoals verscheidene malen in Firefox. In dit geval was het net wat specialer omdat het moeilijk was om het werkend te krijgen in Internet Explorer."

Het lek is mogelijk door een ontwerpfout in de browser. "Het blijkt dat het html-attribuut 'htmlFor' scriptable is. Dat probleem hadden ze over het hoofd gezien", stelt Van den Heetkamp, die eerder veiligheidsproblemen bij zeven Nederlandse banken aan het licht bracht.

Van den Heetkamp heeft Microsoft niet ingelicht over het lek. "Ik hanteer full disclosure, omdat ik niet het Microsoft-traject in wil gaan. Meestal hoor je dan niets meer van ze namelijk." Overigens is het softwarebedrijf al wel op de hoogte, stelt de security-deskundige tegenover Webwereld. "Ze bezoeken mijn website elke week."

Het Microsoft Security Response Center heeft het lek in onderzoek, zo bevestigt Ruud de Jonge van Microsoft Nederland. "We zijn druk bezig om het te reproduceren en te kijken hoe we het gaan oplossen." De Jonge kan niet zeggen op welke termijn er meer duidelijkheid komt over de omvang van het probleem een eventuele patch.

"Ik heb wel contact opgenomen met de vinder van het lek om een keer onder het genot van een cappuccino bij te praten", zegt De Jonge. "Ik ken hem nog niet, dus ik weet niet wat voor ervaringen hij met Microsoft heeft. We willen graag dat mensen het bij ons komen melden als ze een mogelijk beveiligingslek hebben ontdekt. Dan blijven we in continu contact staan over wat de status is van het mogelijke probleem en hoe we het gaan oplossen."