Microsoft patcht URI-lek
Gepubliceerd: Woensdag 14 november 2007
Auteur: Wilbert de Vries en Maarten Reijnders
Microsoft heeft twee software-updates uitgebracht voor lekken in Windows. Eén van de updates betreft een oplossing voor het URI-lek dat al geruime tijd voor problemen zorgt.
Het lek in Uniform Resource Identifier (URI) protocol handler deed zich voor in Windows XP en Windows Server 2003 in combinatie met Internet Explorer 7. Microsoft heeft besloten dat alle gebruikers van deze systemen de patch krijgen, ongeacht of ze IE 7 hebben geïnstalleerd of niet.
De bewijzen voor het potentiële gevaar van dit URI-lek stapelden zich de afgelopen maanden op. Zo moesten onder meer Mozilla (Firefox) en Skype veiligheidslekken dichten die samenhingen met de URI-kwetsbaarheid in Windows. In de laatste weken hebben kwaadwillenden geprobeerd het URI-lek te misbruiken met behulp van gemanipuleerde pdf-bestanden. Voor Microsoft was dit misbruik het sein om 'de klok rond' te werken aan een oplossing voor de kwetsbaarheid in de Windows ShellExecute-functie.
Het duurde overigens enige tijd totdat duidelijk werd welke rol Microsoft speelde bij de URI-problemen. Op 11 oktober nam Microsoft de verantwoordelijkheid voor het lek op zich. Tot die tijd hield het softwarebedrijf dat het oplossen van dit kritieke probleem niet zijn taak was.
Het tweede lek dat Microsoft gisteren (op Patch Tuesday) dichtte, is een probleem in Windows Server 2003 SP1 en SP2 en Windows 2000 Server SP4. De update patcht een DNS cache poisoning kwetsbaarheid.
Bron: Techworld
