Een beveiligingsonderzoeker die in juli van dit jaar tijdens een hackerconferentie een onbekend lek in Internet Explorer wilde demonstreren zag hoe het gras voor zijn voeten door Microsoft werd weggemaaid. De softwaregigant had het probleem namelijk zelf ook ontdekt en een week voor de conferentie gepatcht.

"Dit lijkt erop te wijzen dat Microsoft steeds beter en beter wordt in het gebruik van hun eigen fuzzers tegen Internet Explorer", zegt Todd Beardsley van beveiligingsbedrijf Rapid 7. "Dat is uiteindelijk goed nieuws voor het internet en laat zien dat softwareleveranciers security na de ontwikkeling [van een product] serieus nemen."

Fuzzer

Een fuzzer is een programma dat een systeem of applicatie, zoals een browser, met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen. Fuzzing wordt door allerlei bedrijven gebruikt om kwetsbaarheden in de eigen software op te sporen.

Systeembeheerders en gebruikers die de IE-update van juli niet hebben uitgerold krijgen alsnog het advies dit te doen, want een exploit die misbruik maakt van de kwetsbaarheid, die zowel door de onderzoeker als Microsoft was ontdekt, is aan hackertool Metasploit toegevoegd. Via deze software is het mogelijk om de veiligheid van systemen en netwerken te testen.

Eenvoudig

Microsoft mag dan de lof van Beardsley krijgen, Amit Malik van beveiligingsbedrijf FireEye merkt op dat er ook nog steeds eenvoudige bugs in Microsofts browser worden aangetroffen. De update die Microsoft in juli uitbracht verhielp in totaal 18 IE-kwetsbaarheden. Eén van die kwetsbaarheden is volgens Malik met name interessant omdat die zo eenvoudig is, dat zelfs sommige handleidingen op het internet het kunnen veroorzaken. Het probleem bevindt zich in een bepaald "event" dat alleen door IE wordt ondersteund, zo blijkt uit de analyse van Malik.