Weer gaten in Internet Explorer ontdekt

Van de zes door Microsoft gesignaleerde zwakke plekken is er één bijzonder gevaarlijk. Microsoft zelf omschrijft dit lek in zijn jongste Security Bulletin als ‘kritisch’. Door een techniek die ‘cross-site scripting’ wordt genoemd kan een hacker scripts - kleine programma’s die bijvoorbeeld zjn geschreven in Visual Basic of Java - meesmokkelen in webpagina's van derden of in e-mails die met HTML zijn opgemaakt. De hacker moet de aangevallen gebruiker er nog wel toe verleiden op een hyperlink te klikken. Microsoft drukt gebruikers van Internet Explorer 5.01, 5.5 en 6.0 op het hart een ‘patch’ (stoplap) van zijn website te halen die zowel dit probleem als vijf andere, minder ernstige programmeerfouten verhelpt. Ook eerdere beveiligingslekken in de webbrowser zijn meegenomen in de patch. Een andere beschermingsmaatregel is het e-mailprogramma Outlook zodanig te configureren dat alle e-mail als platte tekst, dus zonder HTML-code, wordt weergegeven. Bovendien is het altijd raadzaam onbekende of dubieuze websites onder te brengen in de ‘restricted zone’ - in de Nederlandse versie ‘websites met beperkte toegang’ genaamd - van Internet Explorer. De patch zorgt tevens voor het uitschakelen van frames en pop-up vensters van websites die de pc-gebruiker heeft ondergebracht in de ‘restricted zone’ van Internet Explorer. Veel virusmakers gebruiken frames als lanceerplatform voor hun aanvallen op internet-pc’s. Van de vijf overige lekken zijn er nog twee eveneens van kritiek belang. Een kwaadwillende kan ze misbruiken om persoonlijke gegevens aan een internetgebruiker te ontfutselen. In het ene geval kan de aanvaller bestanden opvragen, al moeten wel de exacte bestandsnaam en een bepaald ASCII-teken bekend zijn. De tweede programmeerfout geeft toegang tot de ‘cookies’ van de webbrowser. Ook in dat geval moet de aanvaller wel de bestandsnaam kennen. Microsoft stelt dat gebruikers als regel nooit vertrouwelijke persoonsgegevens zoals nummers van credit cards in een cookie moeten laten opslaan. Meer informatie is te vinden in Security Bulletin MS02-023 op de website van Microsoft. Het is het vijfde beveiligingsbulletin over Internet Explorer dat het bedrijf dit jaar heeft uitgegeven. (gke) Zie ook onze eerdere berichtgeving:Microsoft dicht beveiligingslek in Outlook – 29 april 2002Nieuwe patches voor Internet Explorer klaar – 29 maart 2002Nieuwe worm via MSN Messenger verspreid – 15 februari 2002Microsoft corrigeert ‘patches’ voor Internet Explorer – 12 februari 2002Microsoft waarschuwt weer voor beveiligingslek – 1 februari 2002Fout in Explorer maakt pc kwetsbaar – 13 juli 2001