Grote beveiligingsfout in Internet Explorer gevonden, maar Microsoft kan hem nog niet repareren

(Beeld: Wonderlane / Flickr)

Na de onthulling van een grote beveiligingsfout in Internet Explorer die op dit moment wordt misbruik door hackers, heeft Microsoft het bestaan van de fout bevestigd. En dat terwijl de softwaregigant geen directe plannen heeft om dit op te lossen.

De beveiligingsfout in de browser was als eerste ontdekt door een divisie van Homeland Security genaamd US-CERT, die melding maakt van grote beveiligingsfouten. Dit gebeurde in de vorm van een tweet, waarin een link staat naar een advies over de bug. Volgens de voorlichter is de kwetsbaarheid ervan al gedetecteerd in het wild. 

Alle ondersteunde versies van Windows, inclusief Windows 7 die geen beveiligingsupdates meer zal ontvangen, zijn getroffen door de fout volgens Microsoft.

Kwetsbaarheid

De kwetsbaarheid gaat over de manier waarop Internet Explorer met het geheugen omgaat, een aanvaller zou de fout kunnen gebruiken om de kwaadaardige code op afstand te laten draaien op een aangetaste computer. Het vertoont ook een opvallende gelijkenis met een andere kwetsbaarheid, die recent nog bekend werd gemaakt door Mozilla.

Het Chinese security-onderzoeksteam Qihoo 360 ontdekte de fout als eerste en op dat moment maakten hackers er al actief misbruik van. Het onderzoeksteam, Microsoft, en Mozilla, weten nog niet welke aanvallers de fout misbruikten, hoe ze dit hebben gedaan of op wie ze zich hebben gericht.

De beveiligingsfout lijkt serieus genoeg dat zelfs de Amerikaanse Cybersecurity en Infrastructure Security Agency (CISA) een waarschuwing heeft gegeven over de fout:

"De Cybersecurity en Infrastructure Security Agency (CISA) adviseert gebruikers en systeembeheerders om Microsoft Advisory ADV20001 en CERT/CC's Vulnerability Note VU#338824 te beoordelen voor meer informatie, het toepassen van omwegen en updates als die beschikbaar zijn. Overweeg om Microsoft Edge te gebruiken of een alternatieve browser tot er een oplossing is".

Microsoft werkt op dit moment aan een oplossing voor het probleem, maar een reparatie zal waarschijnlijk niet klaar zijn voor de volgende ronde van maandelijkse beveiligingsoplossingen van het bedrijf. En dat staat gepland op 11 februari.

Via TechCrunch

Anthony Spadafora

After working with the TechRadar Pro team for the last several years, Anthony is now the security and networking editor at Tom’s Guide where he covers everything from data breaches and ransomware gangs to the best way to cover your whole home or business with Wi-Fi. When not writing, you can find him tinkering with PCs and game consoles, managing cables and upgrading his smart home.