Patches dichten niet alle lekken in IE en Windows

Beveiligingsfirma's verwachten updates van MS

26 november 2002 | Jamie Biesemans Vorige week stuurde Microsoft twee waarschuwingen de wereld in. De eerste, MS02-65 (de vijfenzestigste in het jaar 2002), wees op een ernstig lek in database-componenten van Windows waardoor een hacker een pc kon overnemen. De tweede, MS02-66, betrof Internet Explorer en bracht een oplossing voor zes nieuwe kwetsbaarheden in de browsersoftware. De patch die toen werd uitgebracht moest ook dienen als oplossing voor oudere fouten in IE.

Volgens Secunia schieten beide patches ernstig tekort. In twee eigen veiligheidsbulletins zeggen zij dat MS02-65 nog altijd een mogelijkheid laat de aangekaarte kwetsbaarheid uit te buiten, terwijl de patch bij MS02-65 één van de zes nieuwe lekken gewoonweg niet dicht. "Het is een andere kwetsbaarheid die gedicht is, waardoor het mogelijk werd om argumenten naar een uitgevoerd bestand te sturen. Het is nog altijd mogelijk de inhoud van het clipboard te lezen en te wijzigen", zegt het bedrijf.

Ook GreyMagic, een Israëlisch beveiligingsfirma die het regelmatig aan de stok heeft met MS wegens het naar buiten brengen van lekken in hun software, signaleert fouten in de patches. In een inzending aan de BugTraq-mailinglijst zegt GreyMagic dat de patch bij MS02-66 drie kwetsbaarheden ongemoeid laat. Volgens het bedrijf neemt Microsoft bovendien de genoemde kwetsbaarheden niet serieus.

Van de zes lekken kregen drie het etiket 'problematisch' mee. Dat is niet de hoogste rating die Microsoft aan een kwetsbaarheid kan meegeven. Dat gebeurde niet omdat er geen gevaar zou zijn dat een hacker via de lekken eigen code kon uitvoeren. Maar dat is onjuist, zegt GreyMagic nu. Door de HTML Help-controle te gebruiken, wordt het mogelijk om arbitraire code uit te voeren, zoals gedemonstreerd door Andreas Sandblad op online.securityfocus.com/archive/1/298748, zo stelt het bedrijf. Lees meer artikels over : ie, lek, patch, ms02-65, ms02-6, mdac, bulletin

bron: ZDNet