Het Franse Security Incident Response Team publiceerde vorige week twee advisories waarin het waarschuwde voor beveiligingslekken in Internet Explorer en Windows. Hoewel het niet om ernstige lekken gaat, kan een aanvaller ze gebruiken om vertrouwelijke informatie te achterhalen.
In het geval van Internet Explorer 6 en 7 gaat het om een "zwakte" waardoor kwaadaardige websites spoofing of phishingaanvallen kunnen uitvoeren. Het probleem wordt veroorzaakt door bepaalde "onunload" events, waardoor een aanvaller de adresbalk kan spoofen. Om de aanval te laten werken moet het slachtoffer eerst een kwaadaardige website bezoeken, en dan zelf in de adresbalk de URL van bijvoorbeeld een banksite invullen. "Klanten kunnen deze aanval voorkomen door een nieuw venster in Internet Explorer te openen voordat men een onbetrouwbare website bezoekt" aldus Microsoft.
Het Windows lek, dat aanwezig is in Vista, 2000, XP en Server 2003, zorgt ervoor dat gebruikerspermissies niet goed gevalideerd worden. Een aanvaller die toegang tot de machine heeft kan het probleem misbruiken om informatie van beveiligde bestanden te achterhalen, bijvoorbeeld de naam en grootte van het bestand, maar niet de inhoud.
Deze posting is gelocked. Reageren is niet meer mogelijk.