2min

Tags in dit artikel

, , , , ,

Vorige week maakte Microsoft bekend dat er een nieuw lek was gevonden in Internet Explorer 6. De bekendmaking heeft er echter voor gezorgd dat veel crackers het lek nu uitbuiten op een internetsite. Microsoft werkt momenteel aan een patch, die wellicht buiten de maandelijkse patchronde uit zal komen. Twee externe partijen hebben echter alvast een eigen patch uitgebracht.

Het nieuwe lek roept herinneringen op aan het inmiddels beruchte WMF lek. Ook toen ontstond er behoorlijk wat onrust onder consumenten en experts. Dit keer zit het lek in de manier waarop Internet Explorer omgaat met de "createTextRange()" tag in websites.

Omdat het lek vorige week dus publiekelijk bekend werd gemaakt hebben een aantal crackers daar gretig gebruik van gemaakt. Momenteel zouden ongeveer 200 sites het lek uitbuiten, waardoor computers van bezoekers mogelijk besmet raken met spyware en trojans. Volgens Microsoft is het aantal sites dat het lek uitbuit momenteel gestabiliseerd en is er geen reden tot paniek. Het bedrijf werkt tevens samen met lokale overheden om de sites uit de lucht te halen.

Terwijl Microsoft dus druk bezig is met een eigen patch hebben twee bedrijven al een alternatieve patch uitgebracht. De patches van eEye en Determina blokkeren alle toegang tot het bewuste lek. Experts adviseren echter om de patches niet te installeren als het niet nodig is. Dit in tegenstelling tot de externe patch voor het WMF lek, die door experts aangeraden werd.

In dat geval was er echter geen tijdelijke oplossing door Microsoft voorgesteld en dat is nu wel het geval. De softwaregigant raadt namelijk aan om tijdelijk ‘Active Scripting’ uit te zetten in IE, totdat de officiële patch er is.
Ook experts raden aan om de patches niet te installeren, tenzij je als consument of bedrijf afhankelijk bent van Active Scripting. Daarnaast is het niet duidelijk in hoeverre de patches nieuwe problemen gaan opleveren, bijvoorbeeld op het gebied van compatibiliteit.

Andreas Marx, antivirus expert aan de Universiteit van Magdeburg in Duitsland heeft zo zijn eigen oplossing voor het probleem: "Zolang je Internet Explorer niet gebruikt, ben je veilig."
Voorlopig moeten mensen die wel IE willen gebruiken wachten tot Microsofts maandelijkse patchronde op 11 april. Daarna kunnen ook deze mensen weer volop gebruik maken van Active Scripting