Microsoft overweegt vervroegde release van patch. Een ernstig lek in Internet Explorer dat Microsoft donderdag wereldkundig maakte, wordt ondertussen gretig misbruikt door hackers. Zondagavond had beveiligingsfirma WebSense al weet van een tweehonderd hacksites. Vooralsnog is er geen patch beschikbaar om het lek te dichten.
Exploit-code voor het browserlek werd eind vorige week reeds ontdekt. Sindsdien nemen het aantal hacksites dat de code gebruikt om in te breken op pc's snel toe.
Met behulp van automatische zoekrobotten (zogenaamde honey-clients) speurt WebSense naar dergelijke hacksites. Zaterdag wist het bedrijf er een honderdtal te detecteren; gisterenavond was dat cijfer opgelopen tot tweehonderd unieke URL's. Meestal staat op de sites code die automatisch wordt uitgevoerd als de surfer de webpagina opent. De code start doorgaans een trojan-downloadroutine die op zijn beurt een bot, spyware, achterdeur of een meer gesofistikeerde trojan installeert, zegt WebSense.
Verontrustend is dat de kwetsbaarheid niet beperkt blijft tot webpagina's. Hoewel Microsoft zegt dat het probleem zich enkel stelt in IE, kan het lek volgens SANS Internet Storm Center ook per mail misbruikt worden. Gelukkig zijn er vooralsnog geen aanvallen via e-mail bespeurd.
Een softwarepleister om het nieuwe IE-lek te dichten, is er momenteel niet. Normaal gezien verschijnt die ten vroegste op dinsdag 11 april - de eerstvolgende 'patchdag' van Microsoft. Gezien de ernst van het probleem zou de softwaregigant overwegen om toch vroeger met een patch op de proppen te komen. Dat zou dan de tweede keer op korte tijd zijn dat Microsoft vervroegd een 'noodpatch' vrijgeeft. In januari deed het bedrijf dat al eerder om een netelig probleem aan te pakken in een Windows-onderdeel dat WMF-beelden op het scherm tovert.
In de tussentijd kunt u Internet Explorer 6 beveiligen door Active Scripting uit te schakelen. Een andere optie is over te schakelen op een ander browsermerk. Microsoft zegt ook dat de recent verschenen bèta 2 van IE 7 veilig is, al betwijfelt beveiligingsbedrijf Secunia dat dit wel opgaat voor de januari-editie van de test.
Bron: ZDNet.be van 27 maart 2006