Een nieuw en ongepatcht beveiligingslek in Internet Explorer geeft websites toegang tot alle bestanden op een harde schijf, zo waarschuwt de Nederlandse beveiligings- onderzoeker Ronald van den Heetkamp. De onderzoeker gebruikte een eerder ontdekt lek in Firefox en paste dat toe op Microsoft's browser, om zo de focus te stelen. "De reden dat ik dit demonstreer, is om te laten zien hoe een kleine verandering van denkwijze tot een cross browser exploit kan leiden," aldus de beveiliger, die het lek binnen een uur vond.

Normaliter is het niet mogelijk om JavaScript automatisch bestanden van een PC te laten uploaden. Dit kan alleen als de gebruiker zelf een bestand selecteert en uploadt. De exploit demonstreert hoe een website dit wel kan doen, door focus van de gebruiker te stelen en de beveiligingsmaatregelen van de browser te omzeilen. "Het voorbeeld is niet schadelijk, maar als men weet hoe het te gebruiken, kan elke site alle bestanden van je PC uploaden naar een server zonder dat je het door hebt", laat van den Heetkamp tegenover Security.NL weten.