Ontdekker IE-lek: Microsoft liet gat maanden open

Microsoft wist al lang van het lek in Internet Explorer dat vorige week tot paniek leidde. Eric Romang, die gewag maakte van het 0-day gat, zegt dat het probleem al bekend was voor zijn melding.

Bij de patch die Microsoft vrijdag uitrolde om het gat in IE te dichten, dankt de softwaregigant een anonieme tipgever die betrokken is bij de werkgroep Zero Day Initiative. Onderzoeker Eric Romang, die vorige week de exploit in de openbaarheid bracht, concludeert daarom dat Microsoft al langer wist van het gat.

Het Zero Day Initiative (ZDI) doet onderzoek naar en verkoopt informatie over kritieke gaten aan geļnteresseerde partijen. Microsoft bedankt in zijn bulletin met de aankondiging van de noodpatch een anonieme bron die aan ZDI verbonden is en Microsoft op de hoogte heeft gesteld.

'Microsoft patcht gat niet'
Romang stelt dat ZDI al tijden van het gat afweet en berekent dat Microsoft minimaal een maand of zelfs al een jaar van het gat heeft geweten. Afgelopen vrijdag bracht de softwaregigant een patch uit om dit lek - en enkele andere gaten - te dichten.

Door het gat injecteerden hackers bestanden op de computers van nietsvermoedende internetters via een drive-by-aanval. Eric Romang ontdekte de exploit op een server van een groep cybercriminelen die eerder schade aanrichtte door het recente Java-gat te misbruiken. Hij bracht daarop het lek en deze cyberaanval naar buiten, maar het duurde bijna een week tot Microsoft een patch klaar had.

IE-paniek
Nederland was in rep en roer over het IE-gat vorige week. Er werden zelfs Kamervragen gesteld over de trage reactie van de regering op het lek. De Duitse overheid nam geen halve maatregelen en adviseerde om de browser direct te dumpen en een alternatief te gebruiken. Verschillende instanties in ons land namen dit advies over, maar uit een rondgang van Webwereld bleek dat diverse organisaties geen alternatieve browser beschikbaar hadden.

De Universiteit van Amsterdam ontraadde zelfs het gebruik van internet volledig. In de nacht van donderdag op vrijdag is daar de work-around van Microsoft uitgerold en vannacht wordt de noodpatch toegepast, zo laat UVA-woordvoerder Joost van Tilburg vandaag weten.