IE-lek tast ook Outlook aan, experts vrezen grote aanval

Eerder deze maand ontdekten onderzoekers een kritiek lek in Internet Explorer. Aanvankelijk werd gedacht dat alleen Windows XP met SP2 vatbaar was.

Al snel bleek echter dat praktisch alle versies van Windows kwetsbaar zijn voor het zogenoemde vml-lek (vector markup language). Naar nu blijkt is ook Outlook 2003 vatbaar.

Vorige week werd al een exploit voor het IE-lek gepubliceerd, maar inmiddels is er een nieuwe exploit verschenen die ook misbruikt kan worden om aanvallen via de mail uit te voeren.

"Het enige dat je hoeft te doen om een gebruiker te infecteren, is een html-mail te sturen", zegt Eric Sites, vice-president van Sunbelt Software, het bedrijf dat het IE-lek aanvankelijk ontdekte.

Vooral gebruikers die het leesvenster in Outlook hebben geactiveerd en mail in html-opmaak ontvangen, lopen gevaar. Microsoft adviseert gebruikers die zich willen beschermen om Outlook zo in te stellen dat mail in plain text wordt gelezen.

Beveiligingsexperts vrezen dat het niet lang zal duren voordat kwaadwillenden het vml-lek via spammailings zullen proberen te misbruiken. De druk op Microsoft om een tussentijdse patch vrij te geven, wordt hierdoor groter.

Overigens is het nog maar de vraag of het dichten van het vml-lek in IE ook het lek in Outlook 2003 dicht. Outlook 2003 zou namelijk de vml-code niet automatisch moeten renderen. Volgens Sites kan dit er op duiden dat Outlook zelf ook nog een fout bevat.