Nieuwe waarschuwing voor kritisch lekken in IE
Geplaatst: 31 jul 2004, 15:56
<img src="http://upload.userbase.be/upload/ielek2_kl.jpg" align="left" width="120" height="100"> Beeldbestanden bieden inbraakmogelijkheid. Vrijdagavond waarschuwde het tandem Microsoft-US CERT voor een reeks nieuwe lekken in Internet Explorer. Opvallend is dat de softwaregigant opteert om nu al een waarschuwingsbulletin te sturen, in plaats van volgende dinsdag. Enkel in de meest kritische gevallen wordt afgeweken van de routine om de bulletins op de eerste dinsdag van de maand te versturen. Volgens het computerbeveiligingsagentschap van de Amerikaanse overheid, US-CERT, treffen de 3 nieuwe kwetsbaarheden alle versies van I.E 5.01, 5.5 en 6.0.
Bijgevolg zijn zowat alle Windows-uitvoeringen lek, gaande van Windows 98 tot en met Windows Server 2003. De fouten zitten in de eigenlijke HTML-motor, waardoor applicaties die IE-code gebruiken om HTML-code tonen, zoals Outlook Express, tevens kwetsbaar zijn. Een volledige beschrijving van de IE-lekken is te vinden bij US-CERT en via de herziening van het juli-bulletin bij Microsoft. Van de drie lekken treffen twee de IE-componenten die BMP- en GIF-beelden op het scherm toveren. Hierdoor wordt het heel gemakkelijk om nietsvermoedende surfers naar een site te lokken, waar dan via een aangepast beeldbestand een trojan wordt geïnstalleerd. Dit alles zou kunnen gebeuren zonder dat de gebruiker er iets van merkt, waarschuwt CERT. De derde fout zorgt ervoor dat malafide code via een frame-fout in de lokale, onbeveiligde zone wordt uitgevoerd.
Gelukkig heeft Microsoft meteen een patch uitgebracht, verpakt in een grote, cummulatieve update voor Internet Explorer. Deze pakt ook een aantal kwetsbaarheden uit het recente verleden aan - maar schijnbaar niet een lek waarlangs de lastige download.JECT-trojan binnensluipt. Je kunt de softwarepleister binnenhalen via de WindowsUpdate-site of vertrouwen op de automatische updatedienst van Windows.
In het bulletin staan overigens ook waarschuwingen voor een rits andere veiligheidsproblemen. Deze zouden evenwel minder gevaarlijk zijn, stelt Microsoft.
Bron: ZDNet.be van 31 juli 2004
Bijgevolg zijn zowat alle Windows-uitvoeringen lek, gaande van Windows 98 tot en met Windows Server 2003. De fouten zitten in de eigenlijke HTML-motor, waardoor applicaties die IE-code gebruiken om HTML-code tonen, zoals Outlook Express, tevens kwetsbaar zijn. Een volledige beschrijving van de IE-lekken is te vinden bij US-CERT en via de herziening van het juli-bulletin bij Microsoft. Van de drie lekken treffen twee de IE-componenten die BMP- en GIF-beelden op het scherm toveren. Hierdoor wordt het heel gemakkelijk om nietsvermoedende surfers naar een site te lokken, waar dan via een aangepast beeldbestand een trojan wordt geïnstalleerd. Dit alles zou kunnen gebeuren zonder dat de gebruiker er iets van merkt, waarschuwt CERT. De derde fout zorgt ervoor dat malafide code via een frame-fout in de lokale, onbeveiligde zone wordt uitgevoerd.
Gelukkig heeft Microsoft meteen een patch uitgebracht, verpakt in een grote, cummulatieve update voor Internet Explorer. Deze pakt ook een aantal kwetsbaarheden uit het recente verleden aan - maar schijnbaar niet een lek waarlangs de lastige download.JECT-trojan binnensluipt. Je kunt de softwarepleister binnenhalen via de WindowsUpdate-site of vertrouwen op de automatische updatedienst van Windows.
In het bulletin staan overigens ook waarschuwingen voor een rits andere veiligheidsproblemen. Deze zouden evenwel minder gevaarlijk zijn, stelt Microsoft.
Bron: ZDNet.be van 31 juli 2004
. Hier ziet men weer een mooi staaltje van microsofts "smijt-maar-op-een-hoop-programmacode". Dit krijg je wanneer je ipv te debuggen nieuwe producten blijft uitbrengen.
(dat is eigenlijk voor het eerst dat de "nieuwste" versie achteruit gaat!)