Microsoft patcht eindelijk iFrame lek

Patch voor iFrame-lek

Vanaf vandaag biedt de Windows-updatefunctie een patch aan voor een slepende fout in Internet Explorer. Hackers wisten dit lek al uit te buiten; reden genoeg voor veiligheidsexperts om voor de zoveelste keer een browseroverstap aan te bevelen. Omdat de potentiële gevolgen van het lek groot zijn, heeft het Amerikaanse CERT-computerbeveiligingsteam er een eigen waarschuwing aan gewijd.
De patch is relevant voor alle Windows-versies, met uitzondering van Server 2003 en XP met Service Pack 2. Ook de 64-bit edities van XP blijven buiten schot. De eigenlijke kwetsbaarheid zit in een module van Internet Explorer 6 SP1.

De kwetsbaarheid stelt hackers in staat via een Inline Floating Frames (IFrame)-element in te breken op een pc en eigen code, zoals een Trojan, uit te voeren. Deze webtechnologie kan bijvoorbeeld worden verborgen op een website waar een surfer naar toe wordt gelokt.

Veiligheidsfirma Secunia besloot het probleem wereldkundig te maken, zonder eerst Microsoft in te lichten. De softwaregigant vindt dat zij eerst op de hoogte moeten worden gesteld, zodat zij met een oplossing op de proppen kunnen komen. Tegenstanders van dit standpunt willen juist dat een lek onmiddellijk wordt bekendgemaakt, zodat iedereen zich er tegen kan wapenen. Deze full disclosure-aanpak zou fabrikanten tevens aanmoedigen om sneller te reageren.

Hackers maken inmiddels gebruik van dit IFrame-lek; zo buit onder meer een variant van het MyDoom-virus dit lek uit. Vorige week besloot de Finse overheidsdienst voor computerveiligheid dan ook om een overstap naar een alternatieve browser aan te raden.

In PR-termen is het afgelopen jaar een ramp geweest voor de IE-afdeling van Microsoft. De MS-browser heeft te kampen met een groot aantal ernstige lekken, waarvan sommige nog altijd niet opgelost zijn. Volgens Secunia zijn er zo op dit moment nog achttien veiligheidsproblemen niet opgelost.

Verschillende toonaangevende instanties, waaronder de CERT-teams van Duitsland en de Verenigde Staten, gaven na een reeks hackpogingen om financiële informatie van surfers te stelen, zelfs het advies om over te schakelen naar een ander browsermerk. Niettemin is het aantal gebruikers van Internet Explorer in de afgelopen maanden niet spectaculair gedaald