Een ongepatcht beveiligingslek in Internet Explorer maakt het mogelijk om cookies van gebruikers te stelen, waardoor aanvallers toegang tot Facebook, Twitter, Gmail en andere accounts kunnen krijgen. Het probleem werd vorige week door een onderzoeker tijdens de Hack in the Box conferentie gedemonstreerd. Slachtoffers moeten wel eerst op de website zijn ingelogd voordat een aanvaller het bijbehorende cookie kan stelen.

De demonstratie van Rosario Valotta was gericht tegen Facebook, Twitter en Google Mail, maar ook gebruikers van andere websites lopen risico. "Je kunt elk cookie stelen. Een gigantische consumentengroep loopt risico (elke IE en Windows-versie)", aldus de onderzoeker tegenover The Register.

Cookie
De aanval misbruikt een lek in de IE security zone feature. Door een speciaal iframe op een website te plaatsen, kan een aanvaller de zone-beveiliging omzeilen en toegang tot de opgeslagen cookies krijgen. Voor het uitvoeren van de aanval moet een aanvaller wel verschillende taken uitvoeren. Zo moet de locatie van de cookies en de Windows gebruikersnaam bekend zijn. Verder moet het slachtoffer een "drag en drop" actie uitvoeren.

"Het is gecompliceerd voor de aanvaller, niet voor het slachtoffer", zegt Valotta. Microsoft ziet het niet als een ernstig probleem. "Gegeven het niveau van gebruikersinteractie, is dit geen probleem dat we als een groot risico beschouwen waarbij het uitvoeren van willekeurige code mogelijk is." Microsoft zou in januari door Valotta zijn ingelicht en is van plan om het probleem via patches in juni en augustus te verhelpen.