De onderzoeker, Rosario Valotta, heeft zijn bevindingen op zijn blog neergeschreven. Hij maakte naar eigen zeggen gebruik van een zero-day aanval die alle versies van IE infecteert, wat ook het Windows OS mag zijn. Een cookie is een klein bestand waarmee een browser of een applicatie gemakkelijk informatie kan opvragen die al geraadpleegd is. De techniek die de onderzoeker gebruikte, maakte gebruik van een gat in de beveiliging van Internet Explorer om deze cookies te stelen.

Jerry Bryant, verantwoordelijke communicatie binnen de afdeling Trustworthy Computing van Microsoft, relativeerde de inbraak. “Om geïnfecteerd te worden, moet een gebruiker geverifieerd zijn op de website die de cookie bevat, moet hij vervolgens een geïnfecteerde website bezoeken, en op onderdelen van deze pagina klikken of deze verslepen,” adus Bryant. Veel gebruikers vinken bovendien het vakje “verbreek mijn verbinding niet” of “ hou mijn sessie actief”, zodat ze bij een volgens bezoek hun inloggegevens niet meer moeten ingeven. Om zijn betoog te bewijzen, maakte Rosario Valotta een game op Facebook waarbij de gebruiker een jonge vrouw dient te ontkleden (een soort puzzel). 

Zelfs indien Microsoft de bedreiging niet ernstig vindt, zal het bedrijf uit Redmond binnenkort een fix beschikbaar maken.

Jacques Cheminat
Meer info op http://www.lemondeinformatique.fr/