Ernstig lek in Internet Explorer nog niet gedicht

Microsoft meldde afgelopen weekend in een blog van zijn Malware Protection Center een sterke toename van het aantal aanvalspogingen via Internet Explorer. Wereldwijd waren op dat moment 0,2 procent van de websites besmet met programmacode die het pas ontdekte lek probeert uit te buiten. Dat lijkt weinig, aldus het blog, maar er is sprake van een groei met meer dan 50 procent per dag. Bovendien blijken steeds meer bonafide websites bemset met de kwaadaardige code door middel van een zogeheten SQL-injectie.

Gisteren (maandag) publiceerde Microsoft een herziening van een Security Advisory (nummer 961051) over het probleem. Daarin constateert Microsoft dat de aanvallen zich tot dusver lijken te beperken tot versie 7 van Internet Explorer. De oudere versies IE 5.01 SP4 en IE 6 met SP1 zijn echter ook kwetsbaar. Hetzelfde geldt voor de tweede bètaversie van Internet Explorer 8.

In het advies noemt Microsoft een aantal 'workarounds' die gebruikers kunnen toepassen totdat het lek is gedicht. Veel daarvan betreffen het instellen van de beveiligingingszone van Internet Explorer als ´hoog´- wat de mogelijkheden tot browsen beperkt - in combinatie met aanpassingen in het bestand oledb32.dll. Mogelijk zal Microsoft nog vóór zijn volgende maandelijkse patchronde van 9 januari een tussentijdse patch verspreiden om het lek te dichten. Sommige beveiligingsexperts adviseren in de tussentijd Internet Explorer helemaal niet meer te gebruiken.