Oud browserlek gevaarlijker dan gedacht

Willekeurige code uitvoerbaar

22 november 2005 | Lars Pasveer Het heeft een paar maanden geduurd, maar een Internet Explorer-lek dat al sinds eind mei bekend is, blijkt ineens gevaarlijker dan menigeen dacht. Het bezoeken van een gemodificeerde website is voldoende om code op een computer te laten uitvoeren.

Het grootste probleem is dat Intenret Explorer (IE) zelfs op compleet gepatchte Windows XP SP2-machines kwetsbaar is. Het lek in IE leidt meestal tot een crash, wat vervelend maar niet heel ernstig werd geacht.

Een Britse beveiligingsexpert heeft nu aangetoond dat het mogelijk is om via zo'n crash code op de machine te laten uitvoeren. Stuart Pearson van Computer Terrorism demonstreert dat het mogelijk is om tijdens de crash een willekeurig programma te starten (in zijn voorbeeld de Windows rekenmachine).

In proeven op de redactie bleek de demonstratie van Computer Terrorism ook Firefox niet lekker te zitten: met 98 procent processorbelasting moest deze worden afgesloten.

Microsoft heeft het bestaan van het lek inmiddels bevestigd en verklaart dat alle Windows-versies vanaf 98 en Internet Explorer vanaf versie 5 kwetsbaar zijn. Tot het bedrijf een pleister heeft ontwikkeld, adviseert Microsoft om Active Scripting binnen IE uit te schakelen of alleen voor betrouwbare sites toe te staan.

Veiligheidssite Secunia noemt herwaardering van het lek inmiddels 'extremely critical', de hoogste staat van paraatheid. Zonder pleister valt er echter weinig aan te doen en is extra voorzichtigheid geboden met achteloos surfen. Lees meer artikels over : explorer, internet, lek, microsoft

bron: ZDNet