De Bulgaarse programmeur George Guninski heeft een lek in Internet Explorer ontdekt. De bug heeft te maken met Javascript.
Dit keer gaat het om het IE-zoekcommando 'NavigateandFind'. Deze functie is bedoeld om een webpagina te zoeken en vervolgens op de bewuste pagina de gezochte tekst te weer te geven. Normaal moet de browser hiervoor een veiligheidscontrole uitvoeren. Echter, als het zoekcommando wordt uitgevoerd binnen een zogenoemd 'frame' (venster) dan werkt de beveiliging niet.
Van buitenaf kunnen kwaadwillenden toegang krijgen tot alle bestanden op de slachtoffer-pc die met een browser kunnen worden bekeken. Naast HTML-bestanden gaat het hierbij om Word-documenten, maar ook om afbeeldingen.
Microsoft heeft inmiddels het veiligheidslek toegegeven. Volgens het bedrijf wordt er druk aan een oplossing gewerkt.
Patch
Microsoft heeft op zijn website tevens een patch geplaatst voor de Mac-versie van het e-mailpakket Outlook Express 5.0. Door een fout in de beveiliging worden attachments bij een HTML-mail automatisch binnengehaald zonder dat een gebruiker hiervoor eerst toestemming heeft gegeven. Volgens Microsoft kan een hacker hier geen toegang mee krijgen tot een slachtoffer-pc. "Toch is dit een veiligheidsrisico omdat een gebruiker het opgehaalde bestand draait zonder dat hij realiseert waar het bestand vandaan komt", aldus Microsoft.
De patch biedt daarnaast vervangende digitale certificaten voor een aantal beveiligingscertificaten van de Mac-versie van de Internet Explorer. In deze versie lopen een aantal digitale certificaten op 31 december 1999 af.
-
-
Er zijn nog geen reacties.Reageer
Preview