Lek in IE blijkt toch gevaarlijk

Microsoft onderkent risico in extra veiligheidsbulletin

09 december 2002 | Jamie Biesemans Toen Microsoft vorige week een nieuwe lek als een klein probleem omschreef, ontlokte dat kritische reacties aan computerveiligheidsexperts. Inmiddels heeft het softwarebedrijf in een nieuw veiligheidsbulletin zijn mening herzien.

Op 4 december publiceerde Microsoft zijn 68ste veiligheidsbulletin van het jaar, waarin men waarschuwde voor een bug in IE die een hacker toegang gaf tot bestanden op de harde schijf. Een groot probleem was er evenwel niet, aldus Microsoft, omdat de kwetsbaarheid er slechts voor zorgde dat bestanden leesbaar werden. Een hacker zou ze niet kunnen aanpassen of verwijderen. Bovendien kon het lek niet worden uitgebuit via e-mail, als de gebruiker tenminste beschikte over een recente Outlook of een oudere versie van het mailprogramma met de Security Update-patch.

Op de BugTraq-maillist merkte een veiligheidsexpert echter op dat het beschreven lek in IE 5.5 en 6.0 wel degelijk gevaarlijk was. Thor Larholm, onderzoeker bij PivX Solution, schreef: "Het arbitrair kunnen uitvoeren van commando's, het van afstand lezen van lokale bestanden en het totaal compromitteren van het systeem heet tegenwoordig slechts 'matig riskant' voor Microsoft." Volgens de kritische onderzoeker slaat Microsoft daarmee de plank mis en kan een hacker dankzij het lek bestanden aanpassen en zijn eigen code toevoegen.

Een herziening van het veiligheidsbulletin door Microsoft geeft Larholm gelijk. In het op zaterdag verschenen Revised: Microsoft Security Bulletin MS02-068 past het bedrijf zijn beoordeling aan. Het lek heet nu "critical" te zijn, de hoogste rating die Microsoft aan een kwetsbaarheid kan geven. In zo'n geval wordt gebruikers aangeraden om zo snel mogelijk het nodige patch-werk uit te voeren. De herziening kwam nadat Microsoft volgens eigen zeggen door een demonstratie overtuigd werd van het gevaar van het probleem.

Samen met de eerste versie van het veiligheidsbulletin verscheen een superpatch voor Internet Explorer. Die is nog altijd geldig, stelt Microsoft, en dicht het lek volledig. De patch is te downloaden bij de fabrikant of via ZDNet. Lees meer artikels over : ie, internet explorer, outlook

bron: ZDNet