Beveiligingsonderzoeker Chris Evans heeft de details onthuld van een lek in Internet Explorer, waardoor kwaadwillende websites bezoekers ongewenste Twitter-berichten kunnen laten versturen. Via de kwetsbaarheid, die bijna 2 jaar oud is, kan een aanvaller geauthenticeerde sessies van de gebruiker overnemen en niet alleen in het geval van Twitter. Het probleem is in alle versies van IE aanwezig en werd eerder al als een 'akelig lek' omschreven.

Evans publiceerde eind december al een blogposting over "cross-browser cross-domain theft". Inmiddels is het probleem, dat ook werkt als plugins en JavaScript zijn uitgeschakeld, in alle andere browsers verholpen.

Patch
Wanneer Microsoft met een update komt blijft echter onbekend. De onderzoeker zelf spreekt niet van een zero-day, omdat het probleem al bijna twee jaar bij Microsoft bekend is.

"Dat is een gevaarlijk lange tijd voor zo'n lek om bij hackers bekend te zijn. Browser zijn complexe stukken software en zullen altijd lekken bevatten. Op tijd patchen is belangrijk voor een browser. Als je beveiliging een rol speelt bij je browserkeuze, dan adviseer ik je om naar Opera of Chrome te kijken. Deze browsers patchen lekken het snelst."