Oude veiligheidslekken Windows ernstiger dan verwacht

Microsoft stelt opnieuw patches beschikbaar

21 augustus 2003 | Jamie Biesemans Woensdag gaf Microsoft toe dat de twee veiligheidslekken die al een tijdje bekend waren, ernstiger zijn dan aanvankelijk werd gedacht. In het eerste geval gaat het om een fout in drie MDAC-versies, het tweede betreft opnieuw een lek in DirectX-componenten. Experts zijn bang dat er binnenkort een Blaster-achtige aanval zal opduiken die deze lekken uitbuit.

Het probleem met DirectX zit 'm in de afhandeling van midi-muziekbestanden door DirectShow. Een dergelijk bestand kan door een hacker worden aangepast, zodat het gebruikt kan worden om in te breken en eigen code te introduceren. Het grote probleem is dat midi-bestanden in een website automatisch worden afgespeeld. Het binnensmokkelen van een Trojaans paard of een virus zou dus bijzonder gemakkelijk zijn.

In eerste instantie zei Microsoft dat alleen de recente versies van DirectX dit probleem hadden. Niet dat hij afwezig is in oudere DX-software; het is gewoon het beleid van het bedrijf om lekken in software die niet langer wordt ondersteund bekend te maken. Er verschijnen dan ook meestal geen oplossingen voor oudere toepassingen of besturingssystemen. Zo worden er nauwelijks patches uitgebracht voor Windows 95.

In dit geval maakt Microsoft een uitzondering. Er verschijnen nu ook oplossingen voor DirectX 5.2, 8.0 en 7.1, naast de bestaande voor DirectX6.1, 7.0, 7.0a, 8.1 en 9.0a. De patches zijn beschikbaar voor zowat elke versie van Windows, van Windows NT 4.0 tot en met Windows Server 2003.

MDAC
Het blijkt nu ook dat het probleem met de Microsoft Data Access Components (MDAC) veel meer systemen treft dan aanvankelijk werd gedacht. Omdat de kwetsbaarheid zich op een dieper niveau bevindt, zouden zowat alle recente Windows-versies (met uitzondering van Windows Server 2003) er last van hebben. Oorspronkelijk zou het lek alleen aanwezig zijn op systemen waarop SQL Server draaide. Hierdoor leek de oorspronkelijke waarschuwing niet van toepassing voor de doorsnee gebruiker. Bovendien bleek de oorspronkelijke patch op sommige systemen door een fout in de Windows Installer niet correct geïnstalleerd te worden.

Nu dat blijkt dat standaard Windows-pc's en niet alleen servers met SQL Server getroffen worden, wordt de lek in MDAC 2.5, 2.6 en 2.7 door Microsoft als een "kritisch" probleem omschreven. Een aanvaller die de MDAC-lek wil uitbuiten, zou dit doen via een programmaatje verborgen in een webpagina of een e-mail met html-opmaak.

De links naar de Microsoft-pagina's met de vernieuwde patches vind je onderaan dit artikel. Lees meer artikels over : mdac, midi, sql

bron: ZDNet