Helpfunctie Internet Explorer loodst hacker binnen

Opnieuw een superpatch voor IE

06 februari 2003 | Jamie Biesemans Woensdagavond verstuurde Microsoft andermaal een waarschuwing over ernstige veiligheidsproblemen in Internet Explorer. Een nieuwe patch, die en passant ook oudere kwetsbaarheden aanpakt, moet het probleem oplossen.

Het gaat om twee tekortkomingen in het zogeheten cross-domain security model. Dit is een component die ervoor zorgt dat een website geen toegang heeft tot informatie uit een andere domein of vanop je pc. Door de pas ontdekte kwetsbaarheden kan dat toch, geeft Microsoft nu toe. Het probleem treft versies 5.01, 5.5 en 6.0 van Internet Explorer.

Om de kwetsbaarheden uit te buiten hoeft een hacker alleen maar een surfer naar een aangepaste webpagina lokken. Daar kan hij door een dialoogvenster te misbruiken eigen scripts uitvoeren op de getroffen pc. "In het ergste geval kan de maker van de site malafide code uitvoeren op het systeem van een gebruiker", zegt MS.

De tweede kwetsbaarheid is hieraan verwant en wordt op dezelfde manier uitgebuit. Alleen maakt een hacker hier gebruik van de showHelp-functie, bedoeld om een HTML-pagina met Help-informatie te tonen, om zijn eigen code uit te voeren.

Omdat Outlook in principe de HTML-motor van IE gebruikt, zou een aanval ook de vorm van een HTML-mail kunnen aannemen. Volgens Microsoft zou dit echter niet lukken bij Outlook Express 6.0 en Outlook 2002, of bij Outlook 98 en Outlook 2000, als de Outlook Email Security Update-patch geïnstalleerd is.

Microsoft omschrijft het probleem als "kritisch" op alle IE-platforms en raadt daarom alle gebruikers aan een patch toe te passen op hun systeem. Een bijkomend voordeel is dat de download ook oudere lekken in de browser dicht. De relevante patches vind je op deze pagina van Microsoft Technet. Het is wel oppassen geblazen: mensen met IE6.0 en Service Pack 1 moeten een andere download kiezen dan zij die nog met de gewone IE6.0 werken. Lees meer artikels over : ie, internet explorer

bron: ZDNet