Lek zet Internet Explorer wagenwijd open
Ongevraagde download start zichzelf op
17 december 2001 | Jamie Biesemans
Een nieuwe patch moet een recent ontdekt lek in Internet Explorer 6.0 dichten.Omdat het om een veiligheidskwestie gaat waardoor code ongevraagd wordt gedownload en uitgevoerd, raadt Microsoft gebruikers aan de patch zo snel mogelijk te installeren. Het programmaatje repareert gelijk twee andere fouten in IE 5.5 en 6.0 aan en dicht daarnaast oudere lekken die al eerder werden ontdekt.
De drie nieuwe kwesties in de laatste versies van Internet Explorer werden bekend gemaakt in een nieuwe
Security Bulletin. Hier vind je ook meteen de patch, die ongeveer 2 MB groot is.
Het grootste probleem treft alleen IE 6.0 en daardoor ook Outlook Express 6 en Outlook. Door een fout in de manier hoe IE downloadbare bestanden bekijkt, is het mogelijk dat een hacker een uitvoerbaar bestand vermomt als een ander bestandstype en die verstopt in de kop ('header') van een HTML-bestand. Dat is gevaarlijk, want er zijn een aantal bestandssoorten, zoals WAV en JPG, die Internet Explorer automatisch uitvoert als het programma ze tegenkomt in een webpagina. Dit gebeurt zonder dat de browser daarvoor toestemming vraagt aan de gebruiker.
Het is dus goed mogelijk dat een speciaal aangepaste pagina via een website of een mail met HTML-opmaak een programmaatje binnenhaalt en uitvoert zonder dat de gebruiker zich daar bewust van is. Alleen als het downloaden van bestanden uitgeschakeld is in de veiligheidsinstellingen van Internet Explorer, loopt de gebruiker geen gevaar. Dat is echter niet de standaardinstelling voor de Internet- en Intranet-zone.
De twee andere kwesties waarvan Microsoft in het bulletin melding maakt, betreffen zowel Internet Explorer 5.5 als 6.0. Door het eerste kan een aanvaller bij het downloaden van een programma in het bijhorende dialoogvenster een andere bestandsnaam laten zien dan er eigenlijk wordt binnengehaald. Zo kan een schijnbaar onschuldig programma worden aangeboden, terwijl eigenlijk iets heel anders wordt gedownload.
Het derde is een variant op een eerder ontdekte fout. Bij het bezoeken van een website kan er via aangepaste code ongevraagd een nieuw browservenster worden geopend waarin de inhoud van de harde schijf wordt getoond. Door de informatie te verplaatsen naar een ander browservenster kan een aanvaller alle informatie over de bestanden te pakken krijgen. Op zich lijkt deze lek relatief onschuldig, vooral omdat er alleen maar informatie over de inhoud van harde schijf wordt vrijgegeven en het aanpassen van bestanden onmogelijk is. De verkregen gegevens kunnen echter wel handig zijn voor een toekomstige aanval via een andere weg. Deze lek kan overigens ook bestreden worden door
Active Scripting uit te schakelen in de veiligheidsopties van IE.
Lees meer artikels over :
ie, patch
bron: ZDNet
