Symantec: 'IE 6 is kwetsbaar voor ActiveX-bug'
Gepubliceerd: Maandag 4 augustus 2008
Auteur: Maarten Hell
Gebruikers van Internet Explorer 6 lopen risico door een nog niet gerepareerd lek in Microsofts Access ActiveX-software. Kwaadwillige hackers kunnen hun pc overnemen.
Microsoft waarschuwde begin vorige maand al voor het veiligheidslek in Access ActiveX.
Misbruik
Het probleem schuilt in de Snapshot Viewer ActiveX-control waarmee internetters Access-rapporten kunnen bekijken zonder de Access-software te draaien. Hackers kunnen de kwetsbaarheid misbruiken door ze via spamberichten te lokken naar zelfgemaakte of bestaande webpagina's.
De nieuwe browser Internet Explorer 7 waarschuwt gebruikers wanneer zij voor de eerste keer een ActiveX-control downloaden. Maar voorganger IE 6 doet dit automatisch omdat de software digitaal is 'ondertekend' door Microsoft, zo bericht virusbestrijder Symantec.
Neosploit
Als de ActiveX-control eenmaal is gedownload, kunnen kwaadwilligen de pc overnemen. Daarvoor was half juli zelfs een speciale update van Neosploit beschikbaar. Vorige week maakten de makers van deze hacker-toolkit echter bekend met hun onderneming te stoppen.
Symantec adviseert beheerders om drie 'kill bits' voor de ActiveX-control in te stellen, waardoor wordt voorkomen dat de control in IE kan draaien. Microsoft zelf heeft nog niet bekendgemaakt wanneer het lek wordt gedicht. Op 12 augustus worden nieuwe patches van het softwarebedrijf verwacht.
