image

Microsoft waarschuwt voor Windows scriptlek

zaterdag 29 januari 2011, 11:05 door Redactie, 4 reacties

Microsoft waarschuwt Windows-gebruikers voor een nieuw beveiligingslek waardoor aanvallers vertrouwelijke informatie kunnen stelen. De kwetsbaarheid is in alle ondersteunde Windows-versies aanwezig en wordt veroorzaakt door een fout in de MHTML (MIME Encapsulation of Aggregate HTML) protocol handler. Deze handler wordt door applicaties gebruikt om verschillende soorten documenten te renderen.

De gevolgen van het lek zijn gelijk aan dat van server-side cross-site-scripting (XSS). Een aanvaller zou een HTML-link kunnen maken die een kwaadaardig script aanroept. Als het slachtoffer de link opent, draait het kwaadaardige script op zijn computer en tijdens de rest van de browsersessie. Het script zou gebruikersgegevens kunnen stelen, zoals e-mail, of weergegeven content in de browser kunnen manipuleren

Oplossing
De exploit voor de kwetsbaarheid is al online verschenen, maar volgens Microsoft wordt het lek niet actief in het wild misbruikt. Als oplossing krijgen gebruikers het advies om het MHTML protocol af te schermen. Ook is er een Fix-it oplossing die dit via één muisklik regelt. Het nadeel van deze tijdelijke oplossing is dat ActiveX of Active Scripting niet meer werken.

Microsoft benadrukt dat Internet Explorer een aanvalsvector is, maar dat het lek in Windows aanwezig is. "De versie van IE doet niet ter zake", zegt Dave Ross van Microsofts Security Research & Defense.

Reacties (4)
29-01-2011, 11:13 door [Account Verwijderd]
[Verwijderd]
29-01-2011, 14:24 door lievenme
maar noscript van firefox is afdoende?
29-01-2011, 14:48 door spatieman
waarschuwt voor.
maar actie wordt ,uhm, misschien ondernomen.
29-01-2011, 16:05 door Anoniem
Tja waarom komt Ms dan niet met een Patch om dit te verhelpen?.
Bij Linux misschien wel afhankelijk van de distributie die je gebruikt,is dit probleem allang verholpen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.