Alle Internet Explorer-versies last van nieuwe bug
De ongepatchte bug in Internet Explorer 7 blijkt nu ook gebruikers van versie 5.01, 6.0 en 8.0 beta 2 te treffen.
Dit liet Microsoft gisteren weten in een bijgewerkte beveiligingsadvisory. Tevens heeft Microsoft nieuwe stappen voor gebruikers afgegeven om uitbuiting te voorkomen omdat bleek dat de eerdere stappen niet voldoende bescherming boden.
Gebruikers die Internet Explorer 5.01, 6.0, 7.0 of versie 8.0 beta 2 op Windows 2000, XP, Vista, Server 2003 of Server 2008 draaien lopen risico slachtoffer te worden van een van de vele exploits beschikbaar voor het lek.
Tevens is gebleken dat een exploit ook geïnjecteerd kan worden op legitieme sites en dat het lek wereldwijd wordt uitgebuit. Via de exploit kunnen aanvallers keyloggers en andere malware zonder medeweten van de gebruiker installeren.
Toch wist Microsoft de bedreiging te bagatelliseren. "Op dit moment zijn we op de hoogte van een beperkt aantal aanvallen die proberen om het lek in Windows Internet Explorer 7 uit te buiten," vertelde de softwaregigant op zijn website.
In tegenstelling tot eerdere berichten bleek het lek niet aanwezig te zijn in de HTML-renderingcode, maar juist in de data binding-functionaliteit. "Het lek bevindt zich in een ongeldige pointer reference in de data binding-functionaliteit van Internet Explorer," zo weet Microsoft.
"Als databinding ingeschakeld is (wat standaard het geval is), is het mogelijk om onder bepaalde omstandigheden een object vrij te geven zonder de arraylengte bij te werken, waardoor de mogelijkheid bestaat dat de verwijderde geheugenruimte van het object toegankelijk wordt. Dit kan ervoor zorgen dat Internet Explorer onverwachts afsluit wat leidt tot staat die vatbaar is voor exploits," gaat de verklaring verder.
Microsoft heeft ook gehint naar het bestand dat het lek zou veroorzaken. Het zou gaan om oledb32.dll dat gebruikers het beste zouden uitschakelen. Dat dll-bestand is een component van Microsoft Data Access, een verzameling technologieën om toegang te krijgen tot verschillende soorten data. OLEDB staat overigens voor Object Linking and Embedding Database.
Het Kopenhaagse bedrijf Secunia claimt dat zijn onderzoek, dat inmiddels doorgespeeld is naar Microsoft, de ware identiteit van het lek achterhaalde. "Na het publiceren van ons eerste advisory betreffende dit zero-day-exploit, kreeg een van mijn medewerkers de opdracht uit te zoeken wat precies de oorzaak is van het probleem," aldus Carsten Eiram, chief security specialist bij Secunia.
Hieruit bleek dat een boel aannames en informatie incorrect was. Zo werd eerst gedacht dat het lek zich bevond in het verwerken van XML en alleen Internet Explorer 7-gebruikers trof. Ook bleek het verhogen van de beveiligingszone en het uitzetten van scripting als oplossing voor het lek deels incorrect te zijn. Dit bemoeilijkt alleen de aanval.
De enige oplossing die op dit moment voorhanden is, is dat gebruikers het Windows-register aanpassen om het bestand oledb32.dll op non-actief zetten.
Wanneer Microsoft met een patch voor het probleem komt, is nog niet bekend. De softwaregigant heeft nog niet gereageerd op vragen over het probleem. Beveiligingsonderzoekers verwachten een patch buiten de dinsdagpatchcyclus om nu het lek een stuk ernstiger is geworden.
De laatste keer dat Microsoft een noodpatch de deur uitdeed, was in oktober dit jaar toen het een Windows-probleem verhielp dat tevens uitgebuit werd.
Internet Explorer is nog altijd de meestgebruikte browser ter wereld. Uit cijfers van Net Applications Inc. blijkt dat nog altijd bijna zeventig procent van alle gebruikers met de browser surft. Het merendeel daarvan met versie 7.0 en 6.0.
Dit liet Microsoft gisteren weten in een bijgewerkte beveiligingsadvisory. Tevens heeft Microsoft nieuwe stappen voor gebruikers afgegeven om uitbuiting te voorkomen omdat bleek dat de eerdere stappen niet voldoende bescherming boden.
Gebruikers die Internet Explorer 5.01, 6.0, 7.0 of versie 8.0 beta 2 op Windows 2000, XP, Vista, Server 2003 of Server 2008 draaien lopen risico slachtoffer te worden van een van de vele exploits beschikbaar voor het lek.
Tevens is gebleken dat een exploit ook geïnjecteerd kan worden op legitieme sites en dat het lek wereldwijd wordt uitgebuit. Via de exploit kunnen aanvallers keyloggers en andere malware zonder medeweten van de gebruiker installeren.
Toch wist Microsoft de bedreiging te bagatelliseren. "Op dit moment zijn we op de hoogte van een beperkt aantal aanvallen die proberen om het lek in Windows Internet Explorer 7 uit te buiten," vertelde de softwaregigant op zijn website.
Lek in data binding-functionaliteit
In tegenstelling tot eerdere berichten bleek het lek niet aanwezig te zijn in de HTML-renderingcode, maar juist in de data binding-functionaliteit. "Het lek bevindt zich in een ongeldige pointer reference in de data binding-functionaliteit van Internet Explorer," zo weet Microsoft.
"Als databinding ingeschakeld is (wat standaard het geval is), is het mogelijk om onder bepaalde omstandigheden een object vrij te geven zonder de arraylengte bij te werken, waardoor de mogelijkheid bestaat dat de verwijderde geheugenruimte van het object toegankelijk wordt. Dit kan ervoor zorgen dat Internet Explorer onverwachts afsluit wat leidt tot staat die vatbaar is voor exploits," gaat de verklaring verder.
Microsoft heeft ook gehint naar het bestand dat het lek zou veroorzaken. Het zou gaan om oledb32.dll dat gebruikers het beste zouden uitschakelen. Dat dll-bestand is een component van Microsoft Data Access, een verzameling technologieën om toegang te krijgen tot verschillende soorten data. OLEDB staat overigens voor Object Linking and Embedding Database.Incorrecte informatie
Het Kopenhaagse bedrijf Secunia claimt dat zijn onderzoek, dat inmiddels doorgespeeld is naar Microsoft, de ware identiteit van het lek achterhaalde. "Na het publiceren van ons eerste advisory betreffende dit zero-day-exploit, kreeg een van mijn medewerkers de opdracht uit te zoeken wat precies de oorzaak is van het probleem," aldus Carsten Eiram, chief security specialist bij Secunia.
Hieruit bleek dat een boel aannames en informatie incorrect was. Zo werd eerst gedacht dat het lek zich bevond in het verwerken van XML en alleen Internet Explorer 7-gebruikers trof. Ook bleek het verhogen van de beveiligingszone en het uitzetten van scripting als oplossing voor het lek deels incorrect te zijn. Dit bemoeilijkt alleen de aanval.
De enige oplossing die op dit moment voorhanden is, is dat gebruikers het Windows-register aanpassen om het bestand oledb32.dll op non-actief zetten.
Wanneer Microsoft met een patch voor het probleem komt, is nog niet bekend. De softwaregigant heeft nog niet gereageerd op vragen over het probleem. Beveiligingsonderzoekers verwachten een patch buiten de dinsdagpatchcyclus om nu het lek een stuk ernstiger is geworden.
De laatste keer dat Microsoft een noodpatch de deur uitdeed, was in oktober dit jaar toen het een Windows-probleem verhielp dat tevens uitgebuit werd.
Internet Explorer is nog altijd de meestgebruikte browser ter wereld. Uit cijfers van Net Applications Inc. blijkt dat nog altijd bijna zeventig procent van alle gebruikers met de browser surft. Het merendeel daarvan met versie 7.0 en 6.0.
1