Onderzoekers van HP hebben een kwetsbaarheid in Internet Explorer onthuld waarvoor nog geen beveiligingsupdate beschikbaar is en waarvan Microsoft heeft aangegeven dat er ook geen patch voor zal verschijnen. In februari van dit jaar ontvingen de HP-onderzoekers een bedrag van 125.000 dollar van Microsoft wegens de ontdekking van een nieuwe aanvalstechniek en het ontwikkelen van een oplossing hiervoor.
Via de techniek was het mogelijk om de ASLR-beveiliging in de meest recente IE-versie te omzeilen. ASLR is een maatregel die misbruik van beveiligingslekken lastiger moet maken De onderzoekers besloten in februari de details van de aanval niet te openbaren, omdat Microsoft nog niet alle bugs had opgelost. "We wilden ze iets meer tijd geven en gingen ervan uit dat een oplossing voor alle gemelde problemen in de maak was. Helaas liet Microsoft het team uiteindelijk weten dat een volledige oplossing niet zou komen", zegt Dustin Childs van HP.
Volgens Microsoft zouden de problemen niet in de standaardconfiguratie van IE aanwezig zijn. Iets waar de onderzoekers het niet mee eens zijn. Ze besloten dan ook om demonstratiecode van de aanval te publiceren, zodat gebruikers het probleem zelf kunnen zien en kunnen bepalen wat voor maatregelen ze voor hun eigen installaties moeten nemen. "We vinden dat het belangrijk is dat iedereen van deze dreiging weet, zodat ze het risico voor hun netwerk beter kunnen begrijpen", merkt Childs op. Naast de demonstratiecode en een YouTube-video die de aanval laat zien, is er ook een whitepaper (pdf) over de aanval en onderliggende problemen online gezet.
Deze posting is gelocked. Reageren is niet meer mogelijk.