Internet Explorer 8 is van allerlei nieuwe features voorzien die het makkelijker voor computercriminelen maken om toe te slaan, zo waarschuwt beveiligingsbedrijf Websense. De nieuwe Microsoft browser, waarvan onlangs de eerste beta verscheen, ondersteunt cross-domain requests. Hierdoor kunnen aanvallers beveiligingslekken in websites efficiënter misbruiken. In de meeste gevallen worden cross-site scripting lekken gebruikt via een img tag, omdat dit een van de weinig dingen is die met de buitenwereld mogen communiceren. Door het nieuwe XDR object kan een aanvaller scriptcode injecteren die direct met de kwaadaardige server communiceert.

"Door deze directe communicatie is het de verwachting dat injectie payloads in complexiteit en features zullen evolueren. Kwaadaardige raamwerken kunnen worden gebouwd zodat de client continu met de kwaadaardige server communiceert om te bepalen welke acties ondernomen moeten worden. Het stelen van vertrouwelijke informatie is slechts het begin van wat er met nieuwe technologieën zoals deze mogelijk is," zegt beveiligingsonderzoeker Joren McReynolds.

Websense maakt duidelijk dat het probleem niet uniek voor Internet Explorer 8 is, omdat ook andere browsers zoals Firefox het voorbeeld zullen volgen. "De voordelen van directe communicatie zijn zo groot als het gaat om productontwikkeling en interactiviteit, dat ook andere browsers dit zullen implementeren. Security staat altijd op gespannen voet met functionaliteit, wat leidt tot een afweging zonder duidelijke oplossing."