‘Extreem kritiek’ lek gevonden in Internet Explorer

Onderzoekers van ISS hebben een ‘extreem kritiek’ lek gevonden in de xmlhttp-plugin van Internet Explorer. Microsoft bevestigt, maar blijft op de vlakte over een snelle patch.

De xmlhttp-plugin verzorgt Ajax-functionaliteit en is daarom erg populair, maar het heeft tevens een vervelende bug die gebruikt kan worden om controle te krijgen over het systeem van een slachtoffer door hem alleen maar een website te laten bezoeken. Microsoft bevestigt dat het lek al op kleine schaal misbruikt wordt, maar het is nog niet duidelijk of er een oplossing komt vóór de reguliere patchdag (volgende week dinsdag). Er zijn wel tijdelijke oplossingen, zoals het uitschakelen van de specifieke plugin of het botweg niet toestaan van ActiveX.Omdat de bug zich in een plugin bevindt zijn alle versies van Internet Explorer kwetsbaar, ook de ‘extra veilige’ 7.0-release. De nieuwe versie van de browser heeft de xmlhttp-plugin in principe niet meer nodig, maar sites die daar geen rekening mee houden kunnen hem alsnog proberen te gebruiken, waardoor hem verwijderen ook geen ideale oplossing is.