<img src="http://upload.userbase.be/upload/klok_kl.jpg" align="left" width="120" height="100">Het aanbrengen van patches blijft het probleem. Of het recente voorval van een aanval via een gehackte banner een alleenstaand feit blijft, is nog maar de vraag. Alleszins is na twee weken nog altijd geen patch beschikbaar voor het desbetreffende lek in IE. Verontruste experts krijgen zelfs het gezelschap van het invloedrijke studiebureau Gartner. Dat heeft scherpe kritiek op het veiligheidsmodel van Internet Explorer en Windows.
"Gartner gelooft dat aanvallen van dit type steeds vaker gaan voorkomen, vooral rond transitiemomenten, als systemen meerdere versies van software (zoals Windows 2000 en XP) gebruiken zonder alle patches aan te brengen", zegt Gartner. Met andere woorden: zelfs na het verschijnen van een patch blijft het probleem dat beheerders niet kunnen bijbenen of machines vergeten te patchen. Gartner schat dat bedrijven vijf procent meer uitgeven aan het aanbrengen van patches dan als de fouten tijdens de quality assurance-testfase zouden opduiken.
De straffe woorden van Gartner worden ontlokt door het uitblijven van een patch voor een kwetsbaarheid die door de IFRAME-exploit (ook Bofra genaamd) wordt misbruikt. Het probleem treft Internet Explorer 6.0 op Windows 2000 of XP. Dat laatste OS is niet kwetsbaar als Service Pack 2 geïnstalleerd is.
Malafide figuren hebben niet lang gewacht om de kwetsbaarheid uit te buiten. Naast een versie van het MyDoom-virus dat er op inspeelt, poogden hackers vorige week pc's te infecteren via een bannerserver van reclamebedrijf Falk eSolutions. Dat werd vorige vrijdag gekaapt en aangepast, zodat ogenschijnlijke onschuldige reclame in feite als breekijzer diende voor iets erger.
Microsoft heeft tot op heden geen patch vrijgegeven. De softwaregigant klaagt dat het geen tijd kreeg om daaraan te werken, aangezien de ontdekkers van de kwetsbaarheid het probleem niet eerst bij hen aankaartten, maar het nieuws over het lek meteen wereldkundig maakten.
De kritiek van Gartner komt na een waarschuwing van de Amerikaanse overheidsagentschap US-CERT en andere veiligheidsexperts. Eerder op het jaar uitte het bureau al kritiek op de softwaregigant. Toen waarschuwde Victor Wheatman, vice-president bij Gartner, dat bedrijven niet moesten verwachten dat Microsoft hen ging beschermen tegen computeraanvallen. "We nemen allemaal deel aan één van de grootste bètatests die de wereld ooit heeft gekend: Windows", zei Wheatman. "Microsoft gaat niet alle veiligheidsproblemen oplossen, wat de rijkste man ter wereld ook mag zeggen."
Bron: ZDNet.be van 26 november 2004
