image

Race tussen hackers en Microsoft over IE-lek

woensdag 25 november 2009, 15:49 door Redactie, 1 reacties

Weet Microsoft het zeer ernstige zero-day lek in Internet Explorer op tijd te patchen of zijn het straks hackers die een betrouwbare en werkende exploit als eerste naar buiten brengen, is een vraag die beveiligingsexperts bezighoudt. Microsoft waarschuwde begin deze week voor de nieuwe kwetsbaarheid die in IE6 en IE7 aanwezig is, en aanvallers volledige controle over het systeem geeft als de gebruiker een kwaadaardige of gehackte website bezoekt. De gepubliceerde aanvalscode werkt, maar is niet betrouwbaar.

"Dit is duidelijk een ernstig lek en zo slecht als het wordt", zegt Ben Greenbaum van Symantec. "Het is een race, ja dat is het zeker." Ook Wolfgang Kandek van Qualys ziet het als een race. "Het komt erop neer of Microsoft het als eerste kan patchen of dat de aanvallers iets maken dat betrouwbaar werkt." Inmiddels zijn er al verschillende varianten van de originele aanvalscode verschenen. "Aanvallers werken dus aan meer betrouwbare versies." Het ontwikkelen van een altijd werkende exploit is niet eenvoudig, maar ook geen onmogelijke opgave. "Het is niet triviaal, maar ook weer niet de heilige graal van computing", gaat Greenbaum verder.

Patchdinsdag
Microsoft adviseert om DEP in te schakelen of de beveiliging van IE6 en IE7 aan te scherpen. Daarnaast kunnen gebruikers ook naar IE8 overstappen, aangezien deze versie niet kwetsbaar is. Kandek noemt Microsoft's suggesties vrij complex. "En niet bruikbaar voor de meeste gebruikers." Door de configuratie aan te passen zou JavaScript niet meer werken, wat de browser zo goed als onbruikbaar maakt. Verder is het voor bedrijven onbegonnen werk om snel naar IE8 te migreren.

De volgende patchdinsdag staat voor dinsdag 8 december gepland, maar de experts verwachten niet dat Microsoft het lek op tijd gepatcht krijgt. "Ik denk niet dat het zal gebeuren. IE is belangrijke software en Microsoft zal de patch goed willen testen", gaat Kandek verder. In het verleden had de softwaregigant altijd minimaal een maand nodig om een lek in de browser te dichten, tenzij het aantal aanvallen in "het wild" toenam. Microsoft heeft nog geen aanvallen gezien. "Maar er is zeker activiteit gaande. Aanvallers testen het water om te zien hoe goed de verschillende exploits werken", besluit Kandek.

Reacties (1)
26-11-2009, 17:47 door spatieman
waarom patchen, hup iedereen DWINGEN om ie8 te gebruiken..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.