De Poolse onderzoeker Maurycy Prodeus van iSEC Security Research heeft het lek vrijdag bekend gemaakt en proof-of-concept code vrijgegeven. Om de aanval te laten slagen moet het slachtoffer een kwaadaardige website bezoeken, maar bovendien nog een keer F1 drukken als antwoord op een pop-up. Vooral vanwege dat laatste aspect schat Prodeus het gevaar niet al te hoog in. Gebruikers op Windows Vista en Windows 7 lopen helemaal geen gevaar.

Onveilige bestandstypen

De aanval maakt gebruik VBScript en de Windows Help files in Internet Explorer. Volgens een reactie van Microsoft staan die help files op een lange lijst van ‘onveilige bestandstypen’. Jerry Bryant schrijft op het blog van het Microsoft Security Respons Center dat deze bestandstypen erop zijn gemaakt om een automatische reactie te veroorzaken tijdens het normale gebruik van de computer. “Het kunnen heel waardevolle tools zijn”, schrijft hij, “maar ze kunnen ook door aanvallers worden gebruikt die het systeem willen compromitteren.” Vervolgens linkt hij naar een whitepaper die het begrip van deze bestandstypen moet bevorderen.

Verantwoordelijkheid

Microsoft onderzoekt het lek, aldus Bryant. Verder spreekt hij, al doet hij dat niet direct, de onderzoeker toe die dit lek heeft geopenbaard. Hij roept onderzoekers op om verantwoordelijk om te gaan met hun ontdekkingen, en lekken eerst aan de softwareproducenten te geven. Die kunnen dan maatregelen nemen voordat cybercriminelen de aanvalscode in handen krijgen. Onderzoekers doen dit niet altijd, omdat ze vinden dat softwareproducenten te laks omgaan met lekken als ze nog niet openbaar zijn gemaakt.

Bron: Techworld