Beveiligingsonderzoekers hebben in afwachting op Microsoft zelf een patch voor een lek in Internet Explorer gemaakt. Het beveiligingslek werd twee maanden geleden al ontdekt, maar zou toen alleen voor een denial of service gebruikt kunnen worden. Een nieuw verschenen exploit maakt het echter mogelijk om de computer volledig over te nemen.
De onofficiele patch van Determina is er voor Windows 2000, XP en 2003 en is voorzien van de broncode. De fix patcht de lekke code in het geheugen als de kwetsbare versie van het ActiveX control in Internet Explorer draait. De oplossing zou geen invloed op bestanden hebben en ook niet de functionaliteit van IE beperken. Mocht Microsoft zelf een patch uitbrengen, dan maakt dit niet uit en kan die gewoon naast deze fix geinstalleerd worden.
Nog meer lekken?
Determina laat verder weten dat men ook andere aanvalsvectoren onderzoekt. Het onderliggende probleem van het setSlice beveiligingslek is een integer overflow in COMCTL32.DLL, een belangrijk Windows onderdeel die door veel applicaties gebruikt wordt. De nu gebruikte "WebViewFolderIcon" ActiveX control exploit is dan waarschijnlijk ook één van de aanvalsvectoren.
De patch kan, geheel op eigen risico, via deze link gedownload worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.