Bug in Internet Explorer onthult je zoekgedrag
Met een simpele hack kan een malafide website informatie uit de adresbalk van Internet Explorer stelen. De bug werd deze week bekend gemaakt door veiligheidsonderzoeker Manuel Caballero.
Adreslek
Caballero demonstreert in een proof-of-concept dat een eenvoudige manipulatie van HTML-codes genoeg is om de browser in de war te brengen en data te laten tonen van gebruikers. Om slachtoffer te worden van de aanval hoef je enkel een verkeerde website te bezoeken. De hack laat toe om te bekijken wat je tijdens je bezoek in de adresbalk typt. Aangezien de adresbalk in Internet Explorer dubbel dienst doet als een zoekbalk, zoals dat in de meeste moderne browsers het geval is, kan je op deze manier erg persoonlijke informatie onthullen.
Internet Explorer wordt officieel niet meer ondersteund door Microsoft, al voert het bedrijf voor de meest kritieke bugs nog wel patches uit. De browser blijft populair onder gebruikers en is nog altijd wereldwijd het tweede meest gebruikte programma na Google Chrome, met een aandeel van 12 procent in het totaal. Een deel van die volhardende gebruikers zijn bedrijven die nog altijd op oudere versies van Windows werken, om diverse redenen.
Patch onzeker
Zal Microsoft deze bug aanpakken? “Windows heeft een verplichting aan zijn klanten om gerapporteerde veiligheidsissues te onderzoeken, en proactief getroffen toestellen zo snel als mogelijk te updaten. Ons standaard beleid is om oplossingen te voorzien via ons huidige Update Tuesday schema,” was het diplomatische antwoord van het bedrijf in een statement aan Ars Technica.
Wie de mogelijkheid heeft om van browser te veranderen, doet er goed aan om Internet Explorer in te ruilen voor een alternatief. Afgezien van het feit dat het programma al in geen jaren meer een update aan zijn functies of interface heeft gekregen, is het met de veiligheid van de browser erg slecht gesteld.