16 december 2008

Gebruikers van Internet Explorer wordt door experts geadviseerd om tijdelijk naar een andere browser over te gaan, in ieder geval totdat Microsoft een ernstig beveiligingsprobleem heeft opgelost. Het lek in de browser kan criminelen er toe brengen om de controle van computers over te nemen en wachtwoorden te stelen. Microsoft riep haar gebruikers op waakzaam te zijn terwijl ze het probleem onderzoekt en een nood-patch voorbereidt. 'Microsoft is continuing its investigation of public reports of attacks against a new vulnerability in Internet Explorer', zo zei het bedrijf in een beveiligingsalarm. Microsoft stelt dat 'it has detected attacks against IE 7.0', maar het zei ook dat de 'underlying vulnerability is present in all versions of the browser'. Andere browsers, zoals Firefox, Opera, Chrome en Safari, zijn niet kwetsbaar voor dit beveiligingslek. 'In this case, hackers found the hole before Microsoft did', zo zegt Rick Ferguson, senior beveiligingsadviseur bij Trend Micro. 'This is never a good thing'. Er zijn volgens hem al zeker 10.000 ebsites gecompromitteerd sinds de kwetsbaarheid werd ontdekt. 'What we've seen from the exploit so far is it stealing game passwords, but it's inevitable that it will be adapted by criminals', zo zegt Ferguson. 'It's just a question of modifying the payload the trojan installs. If users can find an alternative browser, then that's good mitigation against the threat'. Microsoft uiteraard vind een dergelijke actie niet nodig.

'I cannot recommend people switch due to this one flaw', zo zegt John Curran, manager van de Microsoft's Windowsgroep in Engeland. 'We're trying to get this resolved as soon as possible. At present, this exploit only seems to affect 0.02% of internet sites. In terms of vulnerability, it only seems to be affecting IE7 users at the moment, but could well encompass other versions in time'. Richard Cox, Chief Information officer van de anti-spam organisatie The Spamhouse Project en een expert op privacy en internetbeveiliging was het echter helemaal eens met Ferguson. 'It won't be long before someone reverse engineers this exploit for more fraudulent purposes. Trend Mico's advice [of switching to an alternative web browser] is very sensible', zo zei hij. Darien Graham_Smith, beveiligingsredactuer van PC Pro Magazine, zei dat er een virtuele bewapeningsrace bezig was, met hackers voortdurend op de uitkijk voor nieuwe kwetsbaarheden. 'The message needs to get out that this malicious code can be planted on any web site, so simple careful browsing isn't enough. It's a shame Microsoft have not been able to fix this more quickly, but letting people know about this flaw was the right thing to do. If you keep flaws like this quiet, people are put at risk without knowing it. Every browser is susceptible to vulnerabilities from time to time. It's fine to say 'don't use Internet Explorer' for now, but other browsers may well find themselves in a similar situation', zo zei hij.