Lek in Internet Explorer gevaarlijker dan gedacht

Microsoft stelt mening bij

13 december 2002 | Jamie Biesemans Voor de tweede keer in amper een week tijd heeft Microsoft zijn mening over een lek in Internet Explorer moeten herzien. Na een analyse door externe veiligheidsexperts blijkt een component om png-beelden te tonen een achterdeur te openen voor hackers.

Aanvankelijk meldde Microsoft dat de bug alleen Internet Explorer liet crashen. Een aangepaste versie van het oorspronkelijke bulletin is nog niet verschenen, maar volgens MS verschijnt dit in de komende dagen.

De fout waar het om draait was een van zes lekken die eind november door Microsoft wereldkundig werden gemaakt. Toen kreeg de kwetsbaarheid het etiket "belangrijk" - niet "kritisch" - opgeplakt. Met deze conclusie was Microsoft iets te voorbarig, zegt computerveiligheidsfirma eEye nu. Na analyse kwamen zij tot de conclusie dat de kwetsbaarheid wel de uitvoering van code van buitenaf toeliet. Dat zou kunnen door een surfer naar een website te lokken waarop aangepaste png-beelden staan of via een html-mail met afbeeldingen. Net zoals gif of jpeg wordt png standaard door Internet Explorer ondersteund en geopend; een webpagina bezoeken met een dubieus bestand is dus voldoende om slachtoffer te worden.

Gelukkig is er al geruime tijd een oplossing voor het probleem. Wie Service Pack 1 voor Internet Explorer 6 installeerde of de patch die bij MS02-066 aanbracht, kan gerust stoppen met lezen. De lek is aanwezig in IE 5.01, 5.5 en 6.0. De png-component van IE wordt ook gebruikt door andere applicaties van Microsoft.

eEye is kritisch ten opzichte van Microsoft en heeft zijn eigen stukje veiligheidsadvies gepubliceerd, met daarin een satirisch gedicht. Waarschijnlijk was de foute inschatting van de reikwijdte van de kwetsbaarheid gewoon een vergissing van Microsoft, geeft 'chief hacking officer' Marc Maiffret toe. Toch, "het was zeer misleidend om te spreken van een 'matig' risico, terwijl het gaat om een uitbuitbare kwetsbaarheid waarmee computers kunnen aangevallen worden gewoon door een beeld te bekijken."

De afgelopen week was niet echt positief te noemen voor Microsoft. Naast de ontdekking van een ernstige fout in Outlook 2002, achterdeuren in de JVM-motor en het verschijnen van een superpatch voor IE, moest de softwaregigant afgelopen zondag al een veiligheidsbulletin herzien. Ook toen ging het over een lek in IE die aanvankelijk als relatief ongevaarlijk werd omschreven. Na kritiek door veiligheidsexperts erkende MS dat het toch om een ernstige fout ging. Lees meer artikels over : microsoft, veiligheid

bron: ZDNet