Nieuw lek opent Internet Explorer

Creditcardgegevens mogelijk in gevaar

22 februari 2002 | Jamie Biesemans Een onlangs ontdekte kwetsbaarheid in IE geeft hackers toegang tot lokale bestanden en mogelijk tot persoonlijke gegevens, zoals wachtwoorden en creditcardnummers. Daarnaast waarschuwde Microsoft aflopen nacht voor twee lekken in andere software.

De pas ontdekte kwetsbaarheid in IE treft versies 5.01, 5.5 en 6.0. Het is mogelijk dat ook oudere versies van de browser er last van hebben, maar Microsoft biedt geen ondersteuning meer voor oudere applicaties. Microsoft heeft het probleem het predikaat critical meegegeven en raadt websurfers dringend aan het lek te dichten met een patch.

Frames
De lek ontstaat door een fout in de manier waarop IE omspringt met frames. Dat zijn HTML-constructies die een webpagina in verschillende vensters opdelen. Elk venster wordt dan een pagina met een eigen HTML-bestand. Daardoor is het bijvoorbeeld mogelijk om in één frame de inhoud van een website te tonen, terwijl in een andere frame een andere webpagina verschijnt.

Door een fout in IE kan een speciaal aangepast Visual Basic-scriptje dat in een frame draait gegevens ophalen in een andere frame. Dat zou in principe alleen mogelijk moeten zijn tussen frames die inhoud van hetzelfde webdomein (bijvoorbeeld ZDNet.nl) weergeven. In werkelijkheid is dat echter niet het geval. Het is zelfs mogelijk om gegevens op te halen van een lokale map of - erger - van een frame die gevoelige gegevens bevat.

"Dit geeft een aanvaller de mogelijkheid om de inhoud van websites van derden te pakken te krijgen, zelfs nadat de gebruiker de site van de aanvaller had verlaten", waarschuwt Microsoft. "In het laatste geval zou een aanvaller persoonlijke informatie, zoals gebruikersnamen, wachtwoorden of creditcardgegevens kunnen bemachtigen."