Beveiligingsproblemen die voorkwamen in de Hacking Team-data die vorige week uitlekten, zijn door Microsoft en Adobe geplet. De bugs bevonden zich in Internet Explorer 11 en Flash; in ieder geval die in Flash werden actief misbruikt.
Een beveiligingsonderzoeker probeerde de bug in Internet Explorer te verkopen aan beveiligingsbedrijf Hacking Team, waarvan vorige week veel interne gegevens uitlekten. Het ging daarbij om een bug in Internet Explorer 11 op Windows 7 en 8.1, die nog niet was voorzien van een patch. Daardoor waren volledig bijgewerkte versies van Internet Explorer kwetsbaar.
Hoewel Hacking Team het beveiligingsprobleem uiteindelijk nooit kocht, bevatte de e-mailconversatie voor beveiligingsbedrijf Vectra genoeg informatie om te verifiëren dat de bug bestaat. "Hacking Team heeft het beveiligingsprobleem niet gekocht, maar er is een kans dat de onderzoeker zijn bug ergens anders heeft kunnen slijten, waardoor het beveiligingsprobleem wel kan zijn misbruikt", waarschuwt Vectra.
Inmiddels heeft Microsoft het beveiligingsprobleem echter al gepatcht, zodat bijgewerkte Windows-installaties met Internet Explorer niet meer kwetsbaar zouden moeten zijn. Het ging om een zogenoemde use after free-bug, waarbij een deel van het geheugen wordt aangesproken nadat het zojuist leeg is gemaakt. Daardoor crasht de software en kan eigen code worden geïnjecteerd.
De bug in Flash werd al actief misbruikt, zo bleek afgelopen weekend. Dit noopte Firefox ertoe de nieuwste versie van Flash te blokkeren. Inmiddels zijn ook die bugs opgelost, schrijft Threatpost. Zodra gebruikers de nieuwe update van Flash hebben geïnstalleerd, zou de plug-in dus ook in Firefox moeten werken. In totaal werden drie nieuwe beveiligingsproblemen bekend dankzij de vrijgekomen data van Hacking Team.