Microsoft: alle IE-versies kwetsbaar voor aanvallen door bug

Microsoft heeft toegegeven dat een gevaarlijk beveiligingslek niet alleen in Internet Explorer 7 voorkomt, maar in vrijwel alle versies van zijn browser. Kwaadwillenden misbruiken inmiddels de bug om malware te installeren.

Het lek kwam vorige week onverwacht bovendrijven, toen een team van Chinese beveiligingsonderzoekers per ongeluk code publiceerde waarmee Internet Explorer 7 kan worden aangevallen. De exploit zou al sinds november op de zwarte markten tegen betaling verkrijgbaar zijn. Daarbij zouden bedragen tot 15.000 dollar zijn geboden.

De kwetsbaarheid wordt veroorzaakt door een fout in de zogeheten data binding-functionaliteit van Internet Explorer, en niet zoals eerder werd gedacht in de rendering van xml-tags. Door de bug ontstaat een heap-overflow, waardoor kwaadaardige code gestart kan worden. Met behulp van javascript installeren aanvallers aanvullende downloadcode. Vervolgens kan de aanvaller malware naar het getroffen systeem overhevelen.

Aanvankelijk werd de exploit op relatief bescheiden schaal gebruikt om inloggevens van Chinese gamers te stelen, maar inmiddels duikt de aanvalscode op steeds meer plekken op. Hackers maken daarbij onder andere gebruik van sql-injecties, waardoor ook ogenschijnlijk veilige websites de gebruiker ongemerkt kunnen besmetten met malware.

Microsoft heeft inmiddels in een revised security report laten weten dat niet alleen Internet Explorer 7 kwetsbaar is, maar ook IE5.01, IE6 en IE8 b?ta 2 het lek hebben. De gebruikte Windows-versie speelt verder geen rol. Aangezien de bug nog niet met een update is verholpen, stelt Microsoft een aantal noodoplossingen voor. Zo kan de dep-beveiliging in IE7 ingeschakeld worden. Ook kan active scripting in IE worden uitgeschakeld of toegang tot oledb32.dll worden ontzegd. Beveiligingsbedrijf Secunia laat echter weten dat uitsluitend de laatste maatregel effectief is en de eindgebruiker voorlopig beter kan uitwijken naar een alternatieve browser. Of Microsoft met een tussentijdse patch uitkomt om het gat te dichten, is nog onbekend.

Lees verder op tweakers.net