Home Webfactor
Beveiligingsbedrijf brengt patch uit voor IE-lek (terwijl Microsoft talmt)

Omdat een patch van Microsoft voor een recent ontdekt lek in Internet Explorer nog op zich laat wachten, heeft een beveiligingsbedrijf Eeye Digital zelf een tijdelijke patch uitgebracht voor het lek dat woensdag werd ontdekt. Het probleem bevindt zich in de createTextRange()-functie van de browser. Hierdoor zijn kwaadwillenden in staat om een systeem over te nemen. Het verontrustende is dat actie aan de kant van de gebruiker niet nodig is – een bezoek aan een gehackte site is voldoende. In de eerste uren en dagen na de ontdekking gingen hackers naarstig tewerk om het exploit te verspreiden. Binnen de kortste keren waren meer dan 200 unieke url's on line waarop het lek werd uitgebuit. Nog erger werd het toen bleek dat de hackers hun exploits op 'doodnormale sites' hadden plaatsen. Zo zijn onder meer de sites van diverse vakantie-oorden in Florida en een Amerikaans online adviesbureau misbruikt. Microsoft erkent dat er al pogingen zijn gedaan om het lek te misbruiken. Het bedrijf weet echter nog niet of het een tussentijdse patch gaat uitbrengen of dat het wacht tot de volgende 'patchdag' op 11 april. Die mogelijkheid heeft Eeye Digital Security er nu toe aangezet om zelf het probleem aan te pakken. Eerder raadde Microsoft zijn gebruikers al aan om de active scripting-functie in de browser uit te schakelen, waarmee het risico zou afnemen. Maar volgens Eeye Digital Security is dit niet voldoende. De patch van Eeye Digital Security is gratis te downloaden en zal automatisch worden verwijderd als gebruikers de patch van Microsoft installeren.

geplaatst door Kurt Minnen op 28 maart 2006 om 09:47 | Link
Reacties
Laat een reactie achter