Microsoft verdedigt IE8 na hackwedstrijd

'Brandkast kan vuur ook voor altijd afhouden'

In de hackwedstrijd Pwn2own van vorige week is onder meer Internet Explorer 8 voor de bijl gegaan. Microsoft neemt het in een blogpost nu op voor de browser.

“Een manier om over de taak van gespecialiseerde defensietechnieken na te denken is de vergelijking met een brandkast. Zonder gespecialiseerde bescherming kan een brandkast zijn inhoud maar twee uur beschermen. Een sterkere brandkast betekent dan nog niet dat de inhoud voor altijd beschermd is, maar houdt de brand wel langer af”, zo staat te lezen op Microsofts Windows Security Blog.

Met andere woorden: de beveiliging van Internet Explorer 8 is niet bedoeld om hackers voor eeuwig buiten te houden. De bescherming dient wel om slechteriken zo lang mogelijk buiten te houden en ze zo weinig mogelijk schade te laten aanrichten.

Twee schilden omzeild
De hacker die IE8 in de hackwedstrijd op de knieën dwong is Peter Vreugdenhil, een onafhankelijke beveiligingsonderzoeker. Hij omzeilde twee van de beveiligingsschilden die in IE8 aan boord heeft: ASLR (Address Space Layout Randomization) en DEP (Data Execution Prevention).

ASLR moet hackers de toegang ontzeggen tot geheugenadressen die kunnen dienen om schadelijke software te draaien. DEP probeert om schadelijke software niet toe te laten in geheugen waar programmabestanden niet mogen draaien.

Door IE 8 te kragen kon Vreugdenhil zich gebruikersrechten op de pc toe-eigenen en applicaties zoals de rekenmachine openen.

De hacker die Firefox kraakte, omzeilde trouwens dezelfde beveiligingsschilden ASLR en DEP.

bron: ZDNet