Internet Explorer 6 op XP is tot nu toe de enige configuratie die succesvol is aangevallen, maar alle versies van IE zijn kwetsbaar, aldus Microsoft zelf. Dat geldt vooral voor IE7 op XP, maar voor die configuratie werken de huidige exploits niet door een andere geheugen layout. IE7 op Vista is volgens Microsoft niet kwetsbaar, omdat daarin Protected Mode is ingeschakeld. Volgens het Duitse BSI wordt de aanval daardoor echter alleen moeilijker, niet onmogelijk. Configuraties met IE8 zijn niet kwetsbaar, ondanks het lek in de browser, omdat daarin Data Execution Prevention (DEP) standaard staat ingeschakeld, aldus Microsoft.

Toch komen er stilaan meer exploits dan volgens Microsoft mogelijk zijn. Zondag beweerde onderzoeker Dino Dai Zovi via Twitter dat hij een Aurora exploit had gemaakt die niet alleen op IE6 op XP werkt, maar ook op IE7 op XP en zelfs op IE7 op Vista. In een telefoongesprek bevestigde hij dat nog eens. “Mijn versie implementeert een ander algoritme. Het werkt op IE7 op XP en Vista, omdat die browser DEP niet standaard aan zet.”

Volgens Dai Zovi is zelfs Internet Explorer 8 niet veilig als die browser op Windows XP SP2 of eerder draait, of op Windows Vista RTM. Ook op die configuraties wordt DEP niet standaard ingeschakeld. Microsoft heeft een fix beschikbaar gesteld waarmee gebruikers DEP makkelijk aan kunnen zetten. Maar volgens de laatste berichten is het voor aanvallers zelfs mogelijk om DEP te omzeilen.

Het Franse bedrijf VUPEN heeft naar eigen zeggen een exploit gemaakt waarmee DEP wordt omzeild. Het heeft via het lek code uitgevoerd op een systeem met Internet Explorer 8 en DEP ingeschakeld. De code van de exploit is niet openbaar gemaakt, en wordt alleen beschikbaar gesteld aan beveiligingsvendoren voor penetratietests. Wel wil VUPEN kwijt dat de exploit werkt met JavaScript, dus raadt het bedrijf aan om dat uit te schakelen tot er een patch beschikbaar is.

Microsoft heeft kennis genomen van de ontwikkelingen en is de claims nog aan het onderzoeken. Toch houdt het vol dat Internet Explorer veiliger is dan alternatieve browsers als Firefox en Chrome. Het bedrijf komt zeer waarschijnlijk nog voor komende Patch Tuesday met een extra patchronde om het lek te dichten. Dat is vooral nodig omdat de eerste websites die passanten willen besmetten al zijn gesignaleerd. Bron: Techworld