Experts ontdekken nieuwe lekken in Microsoft-software
Gepubliceerd: Woensdag 27 december 2006
Auteur: Wilbert de Vries en Maarten Reijnders
Het Amerikaanse bedrijf Determina heeft vijf nieuwe beveiligingsproblemen in Microsoft-software ontdekt. Eén daarvan betreft een lek in Internet Explorer 7.
Dankzij het lek in de nieuwe Microsoft-browser zou het mogelijk zijn om wachtwoorden buit te maken of aanvallen uit te voeren op andere computers, zo meldt The New York Times.
Kwaadwillenden die het lek willen misbruiken, stuiten echter wel op een probleem. Microsoft heeft in de jongste Internet Explorer een 'sandbox' (een soort veiligheidsnet) ingebouwd dat de mogelijkheden beperkt om andere delen van Vista te bereiken of om bestanden te overschrijven. Veiligheidsproblemen blijven daardoor beperkt tot de browser zelf.
Volgens Determina is het toch mogelijk om schade aan te richten aan Vista. Door gebruik te maken van een lek dat eerder deze maand werd ontdekt, is het mogelijk om de 'sandbox'-beperkingen uit te schakelen. Het lek dat wordt beschreven op een Russisch forum en op de site van Determina, maakt het mogelijk om meer gebruikersrechten toe te kennen op een Vista-pc.
Door het IE-lek te combineren met het gebruikersrechtenlek, zou het mogelijk zijn om een Vista-computer te compromitteren, is de theorie. Determina is er vooralsnog niet in geslaagd om aan te tonen dat dit theoretische lek ook in de praktijk kan worden misbruikt.
Het beveiligingsbedrijf waarschuwt Vista-gebruikers om waakzaam te blijven. "Mijn verwachting is dat we het komende halfjaar of jaar nog de nodige Vista-bugs voorbij zullen zien komen", verklaart Nand Mulchandani van Determina tegenover The New York Times.
Microsoft doet inmiddels onderzoek naar het lek in Internet Explorer. Voor zover bekend is het beveiligingsprobleem nog niet misbruikt.
Bron: Techworld
