De Fix It voor het ernstige zeroday-gat in Internet Explorer waardoor hackers zich toegang verschaffen tot pc's, is gekraakt door een beveiligingsfirma. De tijdelijke patch biedt geen bescherming.
Beveiligingsbedrijf Exodus Intelligence zegt een manier te hebben ontdekt waarmee de fix van Microsoft voor het zeroday-gat in Internet Explorer is te omzeilen. Het lek werd vorige maand misbruikt door Chinese hackers die Amerikaanse (overheids)organisaties onder vuur nemen.
"Na onze analyse van de zeroday in Internet Explorer besloten we te kijken naar de Fix It patch die Microsoft beschikbaar heeft gesteld om de kwetsbaarheid aan te pakken", laat de organisatie weten in een blogpost. "Na minder dan een dag reverse-engineeren waren we in staat de fix te omzeilen en een volledig gepatcht systeem binnen te dringen met een variatie van de exploit die we eerder deze week ontwierpen."
Officiële patch volgt
Microsoft bracht vlak voor de jaarwisseling een Fix It uit voor kwetsbare browsers, te weten Internet Explorer 6, 7 en 8. Verwacht wordt dat de softwaregigant nog met een officiële patch komt. Deze wordt echter nog niet volgende week uitgerold met de wijzigingen van Patch Tuesday. Exodus Intelligence heeft zijn klanten op de hoogte gebracht van de details van de lekke patch en waarschuwt ook Microsoft.
Exodus Intelligence is mede opgericht door Peter Vreugdenhil, de Nederlander die in 2010 tijdens een hackwedstrijd op CanSecWest Windows 7 wist te kraken via Internet Explorer zonder plugin te misbruiken.
Bron: http://webwereld.nl/nieuws/112…lorer-lek-blijkt-lek.html
