Ernstig lek in Java-onderdeel Windows.

Microsoft waarschuwt voor 'zeer ernstig' lek

11 april 2003 | Jamie Biesemans Deze week waarschuwde Microsoft opnieuw voor een aantal lekken in zijn software. Het meest ernstige treft de Java-motor die met de meeste versies van Windows wordt geleverd. De kwetsbaarheid laat een hacker toe zijn eigen code binnen te smokkelen en uit te voeren op je pc, wat Microsoft ertoe noopt de kwestie als "zeer ernstig" te beschouwen. De Java Virtual Machine van Microsoft bleek in december al eens lek.

Door de fout in de JVM worden sommige Java-applets niet grondig gecontroleerd. Dergelijke applets worden vaak gebruikt op webpagina's, bijvoorbeeld voor visuele effecten of dynamische navigatie-elementen. Een malafide programma kan dus gewoon worden binnengesmokkeld door een website te bezoeken of een HTML-mail te openen. De risico in dat laatste geval is wel veel kleiner: na het installeren van de Outlook Security Update zijn Outlook 98 en 2000 niet kwetsbaar. Dat is bovendien standaard zo voor Outlook 2002 (bij Office XP) en Outlook Express 6.

De getroffen versies van de Java-motor, die Java-programma's 'vertaalt' naar Windows-code, zijn standaard aanwezig op Windows 95, 98, Millennium, NT 4.0 (na SP1), 2000 en Windows XP. Voor gebruikers is de enige oplossing een nieuwe JVM te installeren. Microsoft heeft sinds kort versie 3810 beschikbaar gesteld, die je via Windows Update kunt downloaden. Mensen met Windows 2000 en SP2 of SP3 moeten de patch manueel downloaden.

Window 2000, Proxy Server 2.0 en ISA server
Er verschenen nog twee andere veiligheidsbulletins van de softwaregigant. In een geval ging het om een update voor een kwetsbaarheid in NT4.0 en Windows 2000 waarvoor al drie jaar geleden werd gewaarschuwd, in het tweede om een probleem met Proxy Server 2.0 en het firewall-component van Internet Security and Acceleration Server 2000. Volgens het bulletin kunnen die twee slachtoffer worden van een Denial-of-Service-aanval. Omdat een hacker via deze weg niet kan inbreken op de servers -enkel platleggen - plakt er op het probleem slechts het etiket 'belangrijk'.

De twee nieuwe bulletins brengen het totaal aan waarschuwingen die Microsoft dit jaar al verzond op 12. In 2002 verschenen er 72 stuks, het jaar ervoor 60. Wellicht de belangrijksten van de afgelopen maanden zijn die over een ernstige lek in IE en een achterdeur waarlangs Jscript malafide code kan binnenloodsen. Lees meer artikels over : security bulletin, jvm, isa

bron: ZDNet