Microsoft krijgt lek in IE8 niet dicht
Het bestaan van het lek is bekendgemaakt door Zero-Day Intitiative. Die verzamelaar van informatie over kwetsbare plekken zoekt sinds enige tijd 180 dagen nadat het een lek bij de leverancier heeft aangemeld de publiciteit. Dat dreigement heeft in dit geval Microsoft niet tot actie weten aan te zetten.
Shutterstock
Shutterstock
Het lek in kwestie biedt een hacker die zijn slachtoffer naar een geprepareerde website weet te lokken, de mogelijkheid om code op zijn systeem binnen te smokkelen. Men kan zich daartegen beschermen door ActiveX Controls en Active Scripting uit te schakelen, of door de Enhanced Mitigation Experience Toolkit van Microsoft te installeren. Intrusion Prevention Systems - waaronder dat van ZDI-initiatiefnemer TippingPoint - kunnen de aanval eveneens voorkomen.
Plannen Microsoft onduidelijk
Maar een patch van IE8 zou natuurlijk beter zijn, omdat dat de risico's van deze aanvalsmethode zou uitbannen zonder afhankelijk te zijn van aanvullende maatregelen. Maar Microsoft heeft zo'n patch tot op heden niet geproduceerd. Waarom niet, is niet bekend. Het kan zijn dat het ingewikkeld is, of dat Microsoft er vanwege de complexiteit nog niet aan toegekomen is.
Het kan ook zijn dat Microsoft simpelweg niet van plan is het lek te dichten, omdat het IE8 feitelijk als verouderd beschouwd. Dat laatste wordt steeds waarschijnlijker, nu Microsoft in een half jaar geen patch heeft geproduceerd en ook geen toezegging heeft gedaan dat het het lek gaat dichten.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee