Microsoft pakt lek in Internet Explorer aan

Het lek in Internet Explorer behoort tot de als ‘kritiek’ gekenmerkte veiligheidsproblemen van deze maand. Op 23 november erkende Microsoft dat zijn browser een nog niet gepatchte kwetsbaarheid bevat die ruimte biedt voor ‘zero-day’-aanvallen. Daardoor kunnen kwaadwillenden de controle over een pc krijgen, ook als die van de laatste patches is voorzien. Op de mailinglist Bugtraq is op 20 november al aanvalscode gepubliceerd die laat zien hoe het lek kan worden misbruikt.

Alle versies van de browser sinds versie 5.01 zijn kwetsbaar, blijkt uit de vooraankondiging van de patchronde van december die Microsoft donderdag deed uitgaan. Vorige week meldde Microsoft nog in een blog dat IE8 niet getroffen was en dat het gebruik van de beschermde modus van IE7 met Windows Vista ook voldoende bescherming zou bieden. Verder is een lange reeks Windows-versies in het geding in combinatie met het IE-lek, variërend van Windows 2000 tot Windows Server 2003 tot Windows 7 en Windows Server 2008 R2.

Zoals gebruikelijk in een vooraankondiging geeft Microsoft nauwelijks details over de aard van de lekken die door de overige 5 security bulletins worden aangepakt. In 4 bulletins gaat het om lekken die in het ergste geval de weg effenen voor ‘remote execution’. In één geval loopt de gebruiker van tal van Windows-versies het risico op een ‘denial of service’- aanval. De patches komen dinsdag 8 december beschikbaar rond 7 uur ’s avonds Nederlandse tijd.