Lekt Internet Explorer gevoelige informatie?

u gebruikt Internet Explorer? Als je dat doet, heb je hopelijk eerder deze week al de updates van Patch Tuesday toegepast. Maar zelfs als u dit hebt gedaan, lijkt uw browser mogelijk nog steeds kwetsbaar voor een mogelijk ernstig probleem.

Spider.io, een bedrijf dat klanten helpt onderscheid te maken tussen daadwerkelijke bezoekers van menselijke websites en geautomatiseerde botactiviteiten, beweert te hebben ontdekt een fout die van invloed is op Internet Explorer, de huidige vlaggenschipbrowser van Microsoft, versie 6 tot en met 10. Volgens de kwetsbaarheid kan de positie van de muiscursor overal worden gevolgd, zelfs als IE wordt geminimaliseerd.

Spider.io onthulde de kwetsbaarheid voor Microsoft op 1 oktober 2012, maar dit werd niet behandeld in de meest recente beveiligingsupdate voor Internet Explorer. Spider.io beweert dat het gebrek actief wordt uitgebuit, en beweert dat het Microsoft Security Research Center (MSRC) de kwetsbaarheid heeft erkend, maar niet meteen van plan is om het te patchen.

[Lees meer: ​​Hoe malware van uw Windows te verwijderen PC]

Een bug in IE kan potentieel gevoelige informatie lekken

Ik vroeg Microsoft naar zijn standpunt over de vermeende kwetsbaarheid. Een woordvoerder stuurde me dit officiële antwoord: "We onderzoeken momenteel dit probleem, maar tot op heden zijn er geen meldingen van actieve exploits of klanten die negatief zijn beïnvloed. We zullen aanvullende informatie verstrekken zodra deze beschikbaar is en zullen de nodige actie ondernemen om onze klanten te beschermen. "

Jason Miller, manager van onderzoek en ontwikkeling voor VMware, vraagt ​​zich af of het een" bug "of een" functie "is. "Je kunt je afvragen of dit een kwetsbaarheid is of een functie die in de browser wordt geïntroduceerd om te helpen bij het vaststellen van gebruiksstatistieken. Hoe dan ook, de onderzoekers hebben bewezen dat dit "probleem" kwaadwillig kon worden gebruikt. "

Ik sprak met Qualys CTO Wolfgang Kandek. Hij uitte zijn bezorgdheid over de implicaties die een dergelijke kwetsbaarheid kan hebben voor online bankieren. Veel banken hebben virtuele toetsenborden op het scherm geïmplementeerd om accountreferenties in te voeren als middel om traditionele keylogger-aanvallen te voorkomen.

Andrew Storms, directeur van beveiligingsoperaties voor nCircle, is het daar mee eens. "Deze exploit maakt dat mitigatie nietig en ongeldig wordt - het heeft het effect van een key logger op virtuele toetsenborden. Aanvallers zouden met behulp van deze exploit mogelijk de klikken kunnen maken die verband houden met bankreferenties en dat is geen goed nieuws voor de 63 miljoen Amerikanen die online bankieren. "

Alex Horan, senior productmanager bij CORE Security, voegt dat zogenaamd" veilige "websites toe misschien niet zo veilig. "Het versterkt ook dat alleen al omdat u YouTube of de New York Times bezoekt, niet betekent dat alle inhoud op die site eigendom is van of beheerd wordt door hen. Het gebruik van kwaadaardige advertenties op vertrouwde mainstreamsites is een geweldige manier om uw aanval bloot te leggen aan een grote hoeveelheid gebruikers. "

Horan stelt voor IE te verlaten totdat het probleem door Microsoft is gepatcht.

Storms zegt:" Als dit beveiligingslek wordt bevestigd, kan het een out-of-band patch vereisen en dat is iets dat iedereen deze feestdagen graag zou willen vermijden. "