Helpfunctie in Windows Me lek
Gepubliceerd: Donderdag 27 februari 2003
Auteur: Edwin Feldmann
Microsoft heeft woensdag een beveiligingslek gedicht in Windows Me waardoor een buitenstaander de macht over een machine kan verkrijgen.
Het lek zit in de Help en Support Center-functie (HSC) waarmee Windows Me-gebruikers online hulp kunnen aanvragen of software kunnen updaten. De HSC maakt gebruik van url's die beginnen met `hcp://' in plaats van `http://'.
Bij het bezoeken van hcp-adressen blijkt het voor een hacker mogelijk te zijn om een url zo te bewerken dat hij in principe elk programma op het systeem van zijn slachtoffer kan uitvoeren. Het slachtoffer hoeft daarvoor alleen maar een url op een website aan te klikken of een adres dat hem per e-mail wordt toegestuurd.
Het softwarelek betreft naar verwachting niet heel veel mensen. Toch noemt Microsoft het een ernstig lek. Het grootste gevaar dreigt als Windows Me-gebruikers geen Outlook Express 6.0 of Outlook 2002 gebruiken of Outlook 98 of Outlook 2000 samen met de E-mail Security Update. In die gevallen hoeft de gebruiker niet eens zelf op een url te klikken voordat het lek van buitenaf misbruikt kan worden.
Overigens zijn Windows Me-gebruikers met Internet Explorer 6 Service Pack 1 gevrijwaard van het mogelijke gevaar. De patch die het gat dicht, is te downloaden op de site van Microsoft.
[h][/h]
