De uitgelekte Chinese exploitcode voor IE is nu aangepast om ook te werken op IE7 en 8. Het zero day-lek waarmee Google is gehackt, is nu breed in te zetten.
Een van de exploits die security-onderzoekers nu hebben ontwikkeld, werkt zelfs als DEP (Data Execution Protection) aan staat. Hiermee valt een flink deel weg van de verdedigingsmaatregelen waar Microsoft naar verwijst in de bagatellisering van dit gat in Internet Explorer (IE).
IE6 op XP
IE6 op Windows XP is tot nu toe de enige configuratie die succesvol is aangevallen, maar alle versies van IE zijn kwetsbaar, geeft Microsoft zelf toe. Dat geldt vooral voor IE7 op XP, maar voor die configuratie werken de huidige exploits niet door een andere geheugen layout. IE7 op Vista is volgens Microsoft niet kwetsbaar, omdat daarin Protected Mode is ingeschakeld.
Volgens het Duitse BSI wordt de aanval daardoor echter alleen moeilijker, niet onmogelijk. Configuraties met IE8 zijn niet kwetsbaar, ondanks het lek in de browser, omdat daarin Data Execution Prevention (DEP) standaard staat ingeschakeld, stelt Microsoft. Die beveiligingslaag lijkt nu geslecht.
---
Het is ondertussen een never ending story, de beveiligingsgaten in IE.
Na de patch is het meestal maar een kwestie van dagen voor dat er weer een nieuw probleem opduikt.
De oorzaak daarvoor ligt m.i. in de vergaande integratie van IE in het windows besturingssysteem.
Behalve dat zoiets op zich al een beveiligings nadeel is, het maakt ook IE populair als middel om allerlei onregelementaire zaken er mee uit te voeren.