Vier zero day-lekken in Internet Explorer onthuld

[Captain Kirk]

Computergigant HP heeft vier kwetsbaarheden in Internet Explorer onthuld waardoor een aanvaller in het ergste geval de computer volledig kan overnemen en waar nog geen updates van Microsoft voor beschikbaar zijn. De kwetsbaarheden werden verzameld als onderdeel van het HP Zero Day Initiative. Via dit initiatief beloont HP onderzoekers voor het melden van onbekende kwetsbaarheden.

Eén van de kwetsbaarheden werd tijdens de Pwn2Own Mobile-wedstrijd gedemonstreerd en vorig jaar november door HP aan Microsoft gemeld. HP hanteert standaard het beleid om een kwetsbaarheid na 90 dagen openbaar te maken. Microsoft gaf echter aan dat het meer tijd nodig had om het probleem verhelpen. De datum die Microsoft zelf als deadline aangaf werd echter niet door de softwaregigant gehaald. Daarop besloot HP de kwetsbaarheid bekend te maken. Het gaat in dit geval om een lek in alle versies van Internet Explorer, waaronder die op Windows Phone.

Om de kwetsbaarheid te kunnen aanvallen zou een gebruiker een kwaadaardige of gehackte website moeten bezoeken, een besmette advertentie te zien moeten krijgen of een kwaadaardig bestand moeten openen. Vervolgens kan er met de rechten van de ingelogde gebruiker willekeurige code worden uitgevoerd. De overige drie kwetsbaarheden werden in januari gemeld en hebben dezelfde impact. Weer vroeg Microsoft om meer tijd om de problemen te verhelpen en wederom werd de deadline niet gehaald, waardoor ook deze drie lekken openbaar zijn gemaakt. Exacte details heeft HP echter niet gegeven.

Gebruikers die zich willen beschermen krijgen het advies om Internet Explorer zo in te stellen dat er voor het uitvoeren van Active Scripting om toestemming wordt gebruikt, of dat Active Scripting in de Internet en lokale intranet security zone wordt uitgeschakeld. Het Nationaal Cyber Security Center (NCSC) adviseert internetgebruikers om voorzichtig te zijn bij het bezoeken van onbekende of onbetrouwbare websites.

 

bron: security.nl