Gevaarlijk lek in Internet Explorer gepubliceerd

Danny

Eerder deze week werd bekendgemaakt dat zich in Microsoft Internet Explorer een enorm lek bevindt waarmee kwaadwillenden volledige controle over de pc van de gebruiker kan krijgen.  Dit lek werd onder meer gebruikt om de enorme hack tegen Google uit te voeren.

Middels de populaire hacktool Metasploit is de exploit voor dit lek nu bekendgemaakt.  Daarmee wordt het mogelijk een website neer te zetten waarmee het lek wordt misbruikt.  Het enige dat het slachtoffer hoeft te doen is de site bezoeken.  Zo'n url kan eruitzien als een doodnormale url, kan een mini-url zijn zoals die op Twitter veel gebruikt worden, of kan zelfs een pagina binnen een frame in een andere pagina zijn.

Nadat het slachtoffer de site bezoekt kan elk willekeurig programma of bestand worden opgestart, geïnstalleerd of gewist.  Passwords, cookies en privébestanden kunnen worden ingezien en op afstand zouden bijvoorbeeld de microfoon en webcam kunnen worden ingeschakeld.  Microsoft erkent het lek, maar heeft vooralsnog geen patch vrijgegeven.

Inmiddels adviseren zowel de Duitse als Franse overheid niet langer gebruik te maken van Microsoft Internet Explorer, maar over te stappen op een veiliger browser als Google Chrome, Firefox, Opera of Safari.

Het lek werkt in IE6, IE7 en IE8 onder elke Windowsversie, inclusief Windows 7, hoewel de code in Metasploit, voor nu, alleen een werkende versie voor IE6 bevat.