SP2 laat fout in Explorer zitten
Er is wederom een fout in Microsofts Windows XP aan het licht gebracht die niet afgedekt wordt door Service Pack 2. Dat meldt de nieuwsdienst Heise Online. De fout, die is ontdekt door de beveiligingsspecialist http-equiv, heeft opnieuw te maken met onjuiste verwerking van de zoneclassificatie die programmatuur van onduidelijke signatuur apart moet houden. Op de site van Heise Online is een demo van het lek te vinden.
In dit geval zit de fout in de 'drag & drop'-functie in de Internet Explorer. In die functie blijkt het mogelijk via een sleepopdracht onbetrouwbare programmatuur binnen te smokkelen in de map Opstartbestanden zonder dat gecontroleerd wordt of de software wel uit een als veilig bestempelde zone afkomstig is. Die programmatuur wordt dan bij het opnieuw opstarten van de pc automatisch ten uitvoer gebracht, omdat ook dan niet gecontroleerd wordt of ze wel uit de veilige zone komt. Het enige dat daarvoor nodig is is een speciaal geprepareerde webpagina en een slachtoffer dat 'active scripting' niet uitgeschakeld heeft. (jwy) Zie ook:Eerste lekken in SP2 geconstateerd - 18 augustus 2004