Het beveiligingslek in Internet Explorer 8 dat deze week door een Amerikaans beveiligingsbedrijf werd onthuld zal worden gepatcht, zo heeft Microsoft aangekondigd. De kwetsbaarheid werd vorig jaar oktober ontdekt en door beveiligingsbedrijf TippingPoint aan Microsoft gerapporteerd.

TippingPoint hanteert een deadline van zes maanden waarin bedrijven de tijd krijgen om het gerapporteerde probleem te verhelpen. Aangezien Microsoft nog altijd geen update had uitgebracht besloot het beveiligingsbedrijf enkele details te openbaren. Via het lek is het mogelijk om kwetsbare computers in het ergste geval volledig over te nemen.

Microsoft stelt in een verklaring aan de media dat het nog geen aanvallen via het IE8-lek heeft waargenomen. "Sommige updates zijn complexer dan andere, en we moeten elke update tegen een groot aantal programma's, applicaties en verschillende configuraties testen. We zijn bezig om dit probleem op te lossen en zullen, wanneer gereed, een beveiligingsupdate uitbrengen om onze klanten te beschermen", aldus een woordvoerder van Microsoft. Het gaat in dit geval alleen om updates voor Vista en Windows 7, aangezien IE8 op Windows XP niet meer wordt ondersteund.

Waarschuwing

De ontdekker van het lek, de Belgische beveiligingsonderzoeker Peter Van Eeckhoutte, stelt dat de nu verschenen advisory eerder een waarschuwing voor het IE8-lek is dan een handleiding om het lek te misbruiken. "De advisory bevat verschillende details over de bug, maar wees gerust, het zal niet eenvoudig zijn om het lek gebaseerd op alleen de advisory te reproduceren", zo laat de Belg op zijn eigen website weten.

Volgens Van Eeckhoutte is er vast een goede reden waarom Microsoft het lek nog niet gepatcht heeft. Op deze pagina van het Zero Day Iniative van TippingPoint, het beloningsprogramma waar onderzoekers tegen een financiële vergoeding kwetsbaarheden kunnen rapporteren, staan nog veel meer Microsoft-lekken vermeld, die nog ouder zijn dan het nu onthulde IE8-lek. In het verleden werd Microsoft ook al eens "bestraft" omdat het sommige lekken niet op tijd patchte.

In dit geval merkt Van Eeckhoutte op dat 180 dagen inderdaad erg lang is, maar dat het geen aanwijzing is dat Microsoft bugmeldingen negeert of niet om de veiligheid geeft. "Laten we de dingen dus niet overdrijven. Sterker nog, Microsoft levert fantastisch werk met het verwerken van bugmeldingen, het uitbrengen van patches en bedanken van onderzoekers."

Tijdelijk maatregel

Gebruikers van IE8 kunnen zich op verschillende manieren tegen misbruik van het lek beschermen. De eerste maatregel betreft instellingen die via de Internetopties zijn in te stellen. Zo moet het beveiligingsniveau van de 'Internet zone' op 'Hoog' worden gezet en moet het "Uitvoeren van scripts" en het "Actief uitvoeren van scripts" worden uitgeschakeld.

Een andere optie is het installeren van de gratis Enhanced Mitigation Experience Toolkit (EMET). Deze twee maatregelen zullen IE8-gebruikers beschermen, aldus Microsoft. Gebruikers van Windows 7 krijgen van het CERT Coordination Center (CERT-CC) van de Carnegie Mellon Universiteit het advies om naar Internet Explorer 11 te upgraden. In het geval van Windows Vista kunnen gebruikers alleen naar IE9 upgraden, omdat IE110 en IE11 niet voor dit platform beschikbaar zijn.