Verzamelpatch IE dicht ook nieuwe lekken

De achtergronden van de verzamelpatch staan uitgebreid beschreven in een Security Bulletin (MS03-020) op de website van Microsoft. De heilzame werking strekt zich uit tot de versies 5.01, 5.5 en 6.0 (die laatste ook in combinatie met Windows Server 2003) van Internet Explorer. Een van de pas ontdekte zwakke plekken in het bladerprogramma kan leiden tot het overstromen van een buffer doordat IE een objecttype dat wordt teruggestuurd door een webserver verkeerd interpreteert. Kwaadwillenden kunnen deze zwakte uitbuiten door programmacode naar believen uit te voeren op de pc van een internetgebruiker. Het bezoek aan een door de hacker opgezette website is al voldoende om de bal aan het rollen te brengen, zonder verdere tussenkomst van de websurfer. Het andere nieuwe probleem houdt verband met een dialoogvenster voor het downloaden van bestanden. Internet Explorer laat na dit dialoogvenster te blokkeren. Ook hier kan een aanvaller misbruik van de situatie maken door programmacode op de pc van de websurfer uit te voeren. In beide gevallen is het tevens mogelijk dat een kwaadwillende een e-mailtje in HTML-vorm verstuurt dat deze beveiligingslekken uitbuit. Microsoft wijst er overigens op dat Windows Server 2003 met de standaardinstellingen - de 'enhanced security configuration' - beide aanvalsvormen met succes afslaat. (gke)