Na het debacle van het WMF-lek en de lekken in Internet Explorer in april van dit jaar zou men verwachten dat het met de overige fouten in deze browser wel mee zou vallen. Helaas heeft een nieuw grondig onderzoek door middel van Data Fuzzing honderden nieuwe crash-mogelijkheden en fouten in de browser van Microsoft opgeleverd.
De techniek, pakket- of data fuzzing, wordt frequent gebruikt om ernstige lekken in netwerk applicaties te ontdekken. Security reschearcher H.D. Moore heeft daarop een simpel programma geschreven en vervolgens losgelaten op Internet Explorer en andere browsers.
De verbaasde onderzoeker constateerde honderden crash-mogelijkheden en fouten in IE. Wie gedacht had dat alleen IE ten onderging aan dit onderzoek heeft het mis: ook andere browsers bleken vol met security problemen te zitten, zij het in mindere mate dan bij Internet Explorer. Maar daar bleef het niet bij: ook tijdens de CanSecWest conferentie vorige week wisten Moore en student Matthew Murphy bij een andere test van de cascading style sheets (CSS) opnieuw een dozijn aan crash-mogelijkheden bij de browsers te ontdekken. Zij vonden dit in slechts 1 uur tijd.
Al met al heeft Moore meer dan 50 fouten gevonden in Internet Explorer. "Een handvol daarvan kan gebruikt worden om de volledige controle over te nemen van het Windows systeem na het bezoeken van een website", aldus Moore. "Andere browsers hadden tenminste 1 exploit die het systeem van de gebruiker kon overnemen", zo liet de onderzoeker weten.
Microsoft zou inmiddels de zaak aan het onderzoeken zijn.
Met dank aan Peter V. voor het melden van dit nieuws
Deze posting is gelocked. Reageren is niet meer mogelijk.