Fout in Windows treft certificaten

Het probleem doet zich voor in de Certificate Enrollment Control, een zogeheten Active X-control. Dit onderdeel van Windows stelt de pc-gebruiker in staat een digitaal certificaat aan te vragen, dat vervolgens lokaal op de pc wordt opgeslagen voor toekomstig gebruik. Volgens Microsoft kan de softwarefout via 'een extreem ingewikkeld proces' een webpagina in staat stellen van buitenaf de ActiveX-control te activeren en allerlei certificaten op de pc van de gebruiker te verwijderen, zodat deze vorm van beveiliging waardeloos wordt. Een aanvaller kan zich de certificaten echter niet toeëigenen. Kwetsbaar zijn in principe alle soorten certificaten, onder meer die voor encryptie en voor de ondertekening van e-mails. Een aanvaller kan zich van twee methoden bedienen, die Microsoft heeft beschreven in Security Bulletin MS02-048. Enerzijds zou een kwaadwillende een webpagina die de fout uitbuit op een website kunnen plaatsen. Anderzijds zou de aanvaller een e-mailtje met HTML-opmaak kunnen versturen aan het beoogde slachtoffer. Vrijwel alle versies van Microsofts besturingssysteem, zoals Windows 98 (inclusief Second Edition en ME), Windows NT, 2000 en XP zijn behept met het probleem. Microsoft heeft een nieuwe versie van de ActiveX-control ontwikkeld die het lek moet dichten. Een stoplap ('patch') is verkrijgbaar op de website van de softwareleverancier. Dezelfde patch pakt ook een minder ernstig probleem aan dat verband houdt met het gebruik van smartcards in Windows 2000 en Windows XP. Gebruikers dienen de webbrowser Internet Explorer 5 of hoger te hebben om de patch te kunnen installeren. (gke)