1 min

Tags in dit artikel

, ,

Het lek in Internet Explorer, dat uit wraak door een onderzoeker is bekend gemaakt, blijkt veel groter te zijn dan in eerste instantie werd aangenomen. De kwetsbaarheid, die ontstaat door de manier waarop de browser "nested OBJECT tags" verwerkt, zou volgens Microsoft de browser alleen laten crashen. Onderzoekers zijn er nu in geslaagd om dankzij het lek een compleet systeem over te nemen.

Om van het lek misbruik te maken, hoeft een aanvaller Internet Explorer gebruikers alleen maar een website te laten bezoeken. Hierdoor zou dan spyware en andere malware geinstalleerd kunnen worden. Het is nog niet bekend of Microsoft buiten de patchcyclus om voor dit ernstige lek met een update zal komen.

Het lek kwam aan het licht dankzij Michal Zalewski. In plaats van Microsoft in te lichten ging hij voor "full-disclosure". Microsoft zou dreigingen namelijk bagatelliseren, niet op een zinnige manier meedoen aan de onderzoeksgemeenschap. Daarnaast zou het bedrijf valse berichten afgeven, wanneer een onderzoeker een lek meldt en dit volgens Microsoft op een verkeerde manier is gedaan.

Zalewski heeft nu veel kritiek gekregen voor de manier waarop hij het lek heeft bekendgemaakt. Veel mensen verwijten hem dat hij Microsoft hier niet mee treft, maar juist de information security gemeenschap.