Microsoft heeft drie nieuwe lekken in zijn producten gevonden die alle drie tot problemen kunnen leiden bij het gebruik van Internet Explorer. De eerste twee lekken zitten in Internet Explorer zelf. Het ‘cross-domain’-beveiligingsmodel van Internet Explorer blijkt niet waterdicht. De browser blijkt niet geprogrammeerd om te voorkomen dat gegevens uitgewisseld worden tussen geopende vensters die bij verschillende websites horen. Als een hacker erin slaagt een internetter te verleiden tot een bezoekje aan een speciaal opgezette website, kan de aanvaller daardoor via de cache van de browser code binnensmokkelen in het ‘My computer’-domein van het slachtoffer.
Daarnaast blijkt Internet Explorer in een bepaald geval niet te controleren wat er via HTTP terugkomt wanneer een internetter een reactie van een website uitlokt via een zogeheten object tag. Ook daardoor kan code binnengesmokkeld worden. De lekken zijn aanwezig in de versies Internet Explorer 5.01 en hoger. Het derde lek zit in de Microsoft Data Access Components 2.5 tot en met 2.7. Deze bevatten een buffer waarop geen veiligheidsklep is aangebracht. Een hacker die erin slaagt de aanwezigheid van een SQL Server-database te simuleren op het subnet waarop zijn beoogde slachtoffer actief is, zou door het overvoeren van die buffer code kunnen binnensmokkelen.
MDAC is op zeer veel Windows-systemen aanwezig. Het wordt onder andere geïnstalleerd bij de nieuwere varianten van Windows en bijvoorbeeld ook door de databases Access en SQL Server. Internet Explorer behoort eveneens tot de applicaties met MDAC-functionaliteit. Microsoft heeft patches voor de lekken beschikbaar gemaakt op zijn website, en raadt iedereen aan in ieder geval de patch voor Internet Explorer zo snel mogelijk te installeren.
51 minuten geleden
