Microsoft waarschuwt voor een lek in Internet Explorer 6, 7 en 8 dat nog niet gedicht is en dat actief misbruikt wordt door kwaadwillenden. Het lek kwam eerder aan het licht door beveiligingsbedrijf FireEye en exploits zouden al sinds in ieder geval 21 december in omloop zijn.
Internet Explorer 9 en 10 bevatten de kwetsbaarheid niet, benadrukt Microsoft in security advisory 2794220, maar wel erkent het softwarebedrijf dat het lek in eerdere versies actief misbruikt wordt met exploits. Het lek maakt het mogelijk code een systeem binnen te smokkelen en op afstand uit te voeren. De kwetsbaarheid betreft de manier die oudere versies van Microsofts browser gebruiken om objecten in het geheugen te benaderen die verwijderd of niet goed gealloceerd zijn. Via een speciaal vervaardige site kunnen kwaadwillenden het geheugen van een IE-gebruiker corrupt maken en de code uitvoeren.
Hackers kunnen het lek ook via gehackte sites misbruiken en dit zou gebeurd zijn via de webpagina van de Amerikaanse denktank Council on Foreign Relations of CFR, volgens FireEye. De exploit zou daar al sinds in ieder geval 21 december gehost worden. De code zou Microsofts beveiligingstechnologieën data execution prevention en address space layout randomization omzeilen.
De code op de CFR-site richtte zich alleen op IE-gebruikers die hun taalinstelling op Engels, Russisch, Chinees, Japans of Koreaans hebben staan. Als dit het geval was werd via JavaScript een Adobe Flash-bestand, genaamd today.swf, geladen die een zogenoemde 'heap spray'-aanval in gang zette en een kwaadaardig bestand met de naam xsainfo.jpg laadde. Niet bekend is of de exploits ook op anderen manieren zijn misbruikt. Vooral gebruikers van Windows XP zijn vatbaar voor een aanval: die kunnen niet upgraden naar latere versies van Internet Explorer. Microsoft verwacht binnen enkele dagen met een patch te komen.
Tweakers.net