Bug in Internet Explorer lekt alles wat er in adresbalk getypt wordt

Abonneer je gratis op Techzine!

In de nieuwste versie van Internet Explorer bevindt zich een bug waardoor alles wat er in de adresbalk getypt wordt lekt. Dit geldt niet alleen voor internetadressen en zoekopdrachten, maar ook voor anders tekst in de balk. Iedere website die op het moment bezocht wordt, kan tekst inzien zodra een gebruiker op enter klikt.

De kwetsbaarheid zorgt ervoor dat gevoelige informatie die een gebruiker liever niet afstaat aan een andere website toch blootgesteld wordt. Ontdekker en beveiligingsonderzoeker Manuel Caballero schrijft op de website Broken Browser over de bug. Daaruit blijkt dat met behulp van een html/object-tag te zien is wat gebruikers in de balk typen.

Op een andere website toont Caballero een proof-of-concept die transparant maakt dat een aanvallende website meekijkt. De hack is echter eenvoudig aan te passen zodat datadiefstal onopgemerkt uit te voeren is. In beide gevallen kunnen malafide websites informatie bemachtigen die als veilig gezien werd.

Voornemen Microsoft

In een statement aan Ars Technica laat Microsoft weten dat Windows toegewijd is aan het onderzoeken van gemelde beveiligingsproblemen. Getroffen apparaten zullen daarbij op een proactieve manier zo snel mogelijk geüpdatet worden. De techgigant geeft wel aan dat het standaard beleid oplossingen biedt volgens de Update Tuesday-planning.

Het is voor gebruikers verstandig om over te stappen naar een andere browser. Microsoft heeft namelijk het voornemen om de focus meer te leggen op Microsoft Edge (recentelijk verscheen het bericht dat deze browser de grens van 330 miljoen apparaten gepasseerd heeft). Daardoor blijft de ondersteuning voor Internet Explorer achter.

Caballero maakte ook een video van hoe de kwetsbaarheid werkt en zette die op YouTube. De beelden zijn hieronder te bekijken.