Nieuw lek treft Internet Explorer

Wachten op nieuwe patch

08 juli 2004 | Jamie Biesemans De controverse rond Internet Explorer houdt maar niet op. Nadat MS in allerijl een noodoplossing bracht voor één kwetsbaarheid, ontdekt een Nederlandse onderzoeker alweer een andere. Microsoft belooft nu een nieuwe patch voor het browserprogramma.

Hoewel de softwaregigant - onder meer met SP2 voor XP - recent zwaar investeerde in een preventieve aanpak om zijn software te beveiligen, heeft Microsoft de laatste tijd vooral de feiten moeten achterna hollen. In de voorbije maand hebben experts al drie keer een ernstige fout gesignaleerd in Internet Explorer, waarvoor (nog) geen oplossing bestaat. Erger nog, een van die kwetsbaarheden wordt online door criminelen uitgebuit om gevoelige informatie van surfers te stelen.

Eigenlijk werd de 'nieuwe' fout in het ActiveX-onderdeel van Internet Explorer al in januari gemeld, toen experts het omschreven als relatief onbelangrijk. Dat verandert door de recente ontdekking van twee nieuwe lekken in IE, stelt de Nederlander Jelmer Kuperus in een bijdrage aan maillijsten voor veiligheidsexperts. Een aanval die de drie combineert, kan een inbreker de complete toegang tot een pc geven.

"De meeste exploits [hackprogramma's, nvdr] die we tegenwoordig zien, spelen in op meerdere kwetsbaarheden", zegt Kuperus. "Op zichzelf zijn veel van deze fouten vrij onschuldig, maar samen vormen ze een groot risico."

De patch die eind vorige week verscheen, biedt geen oplossing voor het laatste probleem. Sowieso ging het om een noodoplossing die een bepaalde functionaliteit (ADODB.stream) van ActiveX afsloot om zo een Trojan de pas af te snijden. De kwetsbaarheid die Kuperus opnieuw in de schijnwerpers zet, zit in de Application.Shell-component.

Een nieuwe patch kan Microsoft niet aanbieden. De softwaregigant zegt wel te werken aan nieuwe softwarepleisters, die wellicht in de komende weken beschikbaar worden gesteld. Ondertussen zetten de herhaalde meldingen van lekken in IE het browserprogramma steeds meer in een slecht daglicht.

Sommige experts, waaronder het toonaangevende CERT en beveiligingsfirma Ubizen, raden daarom aan om al dan niet tijdelijk een ander browsermerk op te zoeken. Alternatieven als het openbronproject Firefox of betaalsoftware Opera kampen immers niet met ActiveX-lekken. Op security-mailinglijsten is daarnaast een ruimere discussie ontstaan over hoe Windows kan worden beveiligd. Een van de hoofdkritieken lijkt gericht op het concept van beveiligingszones, ontworpen om een muur op te werpen tegen internetapplicaties, maar die door hackers al te vaak worden doorbroken.

Met een bijdrage van Rob Lemos, CNet. Lees meer artikels over : ie, browser, security, zone

bron: ZDNet