image

"Microsoft fix voor ernstig IE-lek is onacceptabel"

donderdag 13 januari 2011, 10:46 door Redactie, 0 reacties

Een tijdelijke oplossing van Microsoft voor een ernstig beveiligingslek in Internet Explorer is onacceptabel, aangezien het lek al meer dan een maand bekend is. Dat zegt Marco Giuliani van beveiligingsbedrijf Prevx. De kwetsbaarheid werd op 8 december onthuld, terwijl Microsoft hier op 22 december pas voor waarschuwde. Via het lek kunnen aanvallers kwetsbare systemen overnemen.

Volgens Giuliani is het dubieus dat Microsoft het lek niet tijdens de patchcyclus van afgelopen dinsdag patchte. Ook de tijdelijke oplossingen zijn niet de juiste manier om het probleem aan te pakken, aangezien dit de tijd tussen de ontdekking van het lek en het uitbrengen van een patch vergoot. "Het uitbrengen van workarounds is goed als een tijdelijke oplossing om het lek te verhelpen. Het is echter onacceptabel als het lek al meer dan een maand bekend is." Daarnaast wordt er vanuit gegaan dat elke gebruiker de fix-it oplossing weet te vinden en zal toepassen.

Stuxnet
De situatie doet Giuliani denken aan Stuxnet. De worm gebruikte vier zero-day exploits, waarvan er eentje al geruime tijd bekend was. "Misschien werd het lek niet veel misbruikt, maar later bleek dat het werd toegepast in de meest geraffineerde aanval die we ooit gezien hebben. De vraag is dus of het een goede strategie is om een patch uit te stellen omdat er geen bewijs is dat het lek niet veel misbruikt wordt?"

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.