Beveiligingslek in alle Windows versies
Vrijdagavond maakte Microsoft bekend dat er een beveiligingslek zit in alle Windows versies, het gaat om een fout die de afhandeling van de scripts verzorgt.
Door misbruik te maken van deze beveiligingslek zouden er vertrouwelijke gegevens kunnen worden bemachtigd, iets wat natuurlijk niet wenselijk is. De fout zit in de afhandeling van het zogenaamde MHTML-protocol. Een protocol dat wellicht niet bij iedereen bekend is, het wordt ook alleen gebruikt door Microsoft en Opera.
MHTML staat voor "MIME Encapsulation of Aggregate HTML", kort samengevat is het een archiefbestand waarin webpagina's inclusief alle onderdelen zoals afbeeldingen kunnen worden opgeslagen.
Microsoft heeft laten weten dat de beveiligingslek veel lijkt op die van server-side cross-site-scripting (XSS). Via een link kan een kwaadaardig script de functionaliteit met de lek aanroepen en op deze manier de browser manipuleren en mogelijk persoonlijke gegevens bemachtigen.
Microsoft werkt momenteel aan een oplossing voor de lek door middel van een update maar adviseert gebruikers tot die tijd het MHTML-protocol maar gewoon uit te schakelen. Het nadeel is echter dat ook ActiveX en Active Scripting dan niet langer zal werken.
Door misbruik te maken van deze beveiligingslek zouden er vertrouwelijke gegevens kunnen worden bemachtigd, iets wat natuurlijk niet wenselijk is. De fout zit in de afhandeling van het zogenaamde MHTML-protocol. Een protocol dat wellicht niet bij iedereen bekend is, het wordt ook alleen gebruikt door Microsoft en Opera.MHTML staat voor "MIME Encapsulation of Aggregate HTML", kort samengevat is het een archiefbestand waarin webpagina's inclusief alle onderdelen zoals afbeeldingen kunnen worden opgeslagen.
Microsoft heeft laten weten dat de beveiligingslek veel lijkt op die van server-side cross-site-scripting (XSS). Via een link kan een kwaadaardig script de functionaliteit met de lek aanroepen en op deze manier de browser manipuleren en mogelijk persoonlijke gegevens bemachtigen.
Microsoft werkt momenteel aan een oplossing voor de lek door middel van een update maar adviseert gebruikers tot die tijd het MHTML-protocol maar gewoon uit te schakelen. Het nadeel is echter dat ook ActiveX en Active Scripting dan niet langer zal werken.
0