Internet Explorer ook kwetsbaar voor QuickTime-lek

Vorige week werd een lek in mediaspeler QuickTime bekendgemaakt dat kon worden uitgebuit via Firefox. Dit lek is vandaag gedicht in Firefox door het uitbrengen van versie 2.0.0.7. Inmiddels heeft de Israelische beveiligingsexpert Aviv Raff aangetoond dat ook Internet Explorer kwetsbaar is voor dit lek.

Als u een speciaal door hem geprepareerde testsite (zie link onderaan op die pagina) bezoekt met Internet Explorer dan wordt via de QuickTime-plugin - zonder verdere waarschuwing -  Skype afgesloten. Internet Explorer moet wel zijn ingesteld als standaardbrowser en u moet natuurlijk QuickTime op uw pc hebben en Skype aan hebben staan. Bij andere browsers krijgt u eerst een waarschuwing te zien.

Het afsluiten van Skype is natuurlijk betrekkelijk onschuldig, maar het geeft aan dat via de QuickTime-plugin in Internet Explorer allerlei kwaadaardige programma's zonder waarschuwing gestart zouden kunnen worden.

Microsoft en Apple hebben nog niet gereageerd op dit nieuw ontdekte lek. Voorlopig lijkt de beste oplossing om of QuickTime te deïnstalleren of Internet Explorer niet als standaardbrowser in te stellen. Firefox en Opera zijn niet kwetsbaar.

Update Skype lijkt trouwens in versie 3.5.0.239 maatregelen te hebben genomen om dit soort acties tegen te gaan, in het changelog is te lezen dat de volgende veranderingen zijn doorgevoerd in Skype: 'Security improvements to ensure it is no longer possible to shut down Skype from a web page'.

Bron: Security.nl