Scriptlek in alle versies van Windows
Gepubliceerd: Maandag 31 januari 2011
Auteur: Tonie van Ringelestijn
Microsoft waarschuwt gebruikers voor een beveiligingslek in alle Windows-versies vanwege een fout in het afhandelen van scripts.
Door de kwetsbaarheid zouden aanvallers vertrouwelijke gegevens kunnen bemachtigen. De fout zit in de afhandeling van het MHTML-protocol, die door applicaties wordt gebruikt om documenten te renderen, meldt Microsoft vrijdagavond in een Security Advisory.
MHTML
MHTML, dat sinds 1999 door Microsoft wordt ondersteund, staat voor MIME Encapsulation of Aggregate HTML. Het is een archiefformaat voor het opslaan van alle onderdelen van een webpagina, zoals plaatjes en de html-code, in één bestand. Alleen IE en Opera bieden standaard ondersteuning voor MHTML.
Script
Het lek lijkt op die rond server-side cross-site-scripting (XSS), waarbij een aanvaller via een link een kwaadaardig script kan aanroepen. Via zo'n script is het mogelijk gegevens te stelen of pagina's in de browser te manipuleren. Een exploit die van het lek gebruikmaakt is al verschenen.
Workaround
Microsoft adviseert gebruikers het MHTML-protocol uit te schakelen. Microsoft doet momenteel onderzoek naar de kwetsbaarheid en werkt aan een security-update. Een tijdelijke workaroud is beschikbaar via een Fix-it-oplossing. Met één klik is zo MHTML te deactiveren, maar daarna werken ook ActiveX of Active Scripting niet meer. Het lek zit in alle ondersteunde Windows-versies en elke versie van IE.
