Een lek in Internet Explorer geeft aanvallers de mogelijkheid om misbruik te maken van de manier waarop een link, die wordt aangeklikt in IE, in Firefox wordt opgestart.
Een ongewone browserbug houdt de gemoederen bij Microsoft en Mozilla flink bezig. Het lek zit in een component van Internet Explorer, dat de browser in staat stelt om andere applicaties, zoals Firefox van Mozilla te starten. Als een gebruiker op een link klikt waardoor Firefox opstart, wordt de opdrachtregel niet goed gecontroleerd door de IE-software. Een aanvaller kan door een speciaal gefabriceerde link aan te maken commando’s uitvoeren op de pc van een slachtoffer. Beveiligingsbedrijf Secunia heeft het lek als zeer kritiek geclassificeerd.
Hoewel gebruikers van Internet Explorer kwetsbaar zijn voor het lek, lijkt het alleen gevaarlijk te zijn voor mensen die ook Firefox hebben gexc3xafnstalleerd. Als er echter vanuit een Firefox-browser op de speciaal gefabriceerde link wordt geklikt, lijkt er weer niets aan de hand te zijn. Het probleem zit hem dan ook in de manier waarop de protocolregistratie van Firefox in elkaar zit.
Mark Griesi, die verantwoordelijk is voor de beveiliging bij Microsoft, wijst daarom met de vinger naar Mozilla en stelt dat dit niet het probleem is van zijn bedrijf. Omdat Microsoft het lek niet wil patchen heeft Mozilla gezegd dat het de manier waarop het url-protocol van Firefox werkt gaat veranderen in de eerstvolgende update van Firefox.
Window Snyder van Mozilla wil niet zeggen of zij het lek meer een IE- of Firefox-probleem vindt. Wel merkt ze op dat als Microsoft geen aanpassingen maakt in IE, andere Windows-programma’s mogelijk ook kwetsbaar zijn.
Het lek is ontdekt door de Deense beveiligingsonderzoeker Thor Larholm. In een blogposting schrijft hij dat het lek erg lijkt op een lek dat hij vorige maand ontdekte in de Safari 3.0 bxc3xa8ta van Apple.
Webbrowser-lekkenjager Aviv Raff schrijft op zijn blog dat volgens hem zowel Mozilla als Microsoft schuld hebben aan de situatie. Een andere beveiligingsexpert daarentegen deelt het standpunt van Microsoft en vindt dat het probleem bij Mozilla ligt. "Ik denk dat Mozilla een patch moet schrijven en uitbrengen, Microsoft kan wel een weekje vrij nemen", aldus Eric Schultze hoofd beveiliging bij Shavlik Technologies.
Bron: Webwereld