Het laatste zero-day lek in IE is nog maar net gepatcht, of er duikt weer een volgend probleem op. Het zijn deze keer security-onderzoekers die het probleem bekend maken, in plaats van dat het lek in het nieuws komt doordat het is gebruikt bij een aanval, zoals dat de laatste keer het geval was. Tot op heden zijn er nog geen aanvallen gesignaleerd die dit allernieuwste gat gebruiken.

Alle versies kwetsbaar

Het probleem is al twee jaar geleden ontdekt, en Microsoft heeft al twee pogingen gedaan om het op te lossen. Dat zegt Jorge Luis Alvarez Medina, beveiligingsexpert van Core Security Technologies, die op 3 februari een presentatie geeft over dit probleem op de hackersconferentie Black Hat in Washington.

Kwaadwillenden kunnen door dit gat in Microsofts webbrowser alleen leesrechten krijgen, dus ze kunnen geen malware installeren. Toch is het een behoorlijk beveilingsprobleem, aldus Medina. Het lek is aanwezig in alle versies van IE, inclusief de nieuwste IE8, op alle versies van Windows, van NT tot Windows 7.

Geen gat, maar feature

Om besmet te raken, moet een slachtoffer naar een kwaadaardige website gelokt worden. Vervolgens moeten 4 of 5 features van Internet Explorer gemanipuleerd worden. Daarmee laat de aanvaller de browser bestanden produceren op de pc die niet puur html zijn, zo omschrijft Medina de hack.

Het gaat dus niet letterlijk om gaten in de browser, maar om features die worden misbruikt. Daarom is het moeilijk voor Microsoft om dit probleem op te lossen.

Bron: Techworld.nl.