Het System Administration Networking and Security Institute (SANS) maakt woensdag op haar website melding van het lek. Volgens SANS is het de 'gevaarlijkste programmeerfout die Microsoft tot nu toe heeft gemaakt in de Windows werkstations'. Maar volgens een woordvoerder van computerbeveilingsbedrijf SecurityFocus is dat wat overdreven, ook al is het probleem volgens het bedrijf wel ernstig. Wat de fout zo gevaarlijk maakt is dat crackers er toegang tot de harde schijf door krijgen. Vandaar uit kunnen zij alles doen wat de eigenaar van de computer kan doen, zoals het wissen, wijzigen of via e-mail doorsturen van bestanden. De bug werd afgelopen maand ontdekt door de Bulgaarse bugjager Georgi Guninski. Het probleem staat inmiddels bekend onder de noemer 'IE Script gat', maar die benaming is volgens SANS misleidend omdat het uitschakelen van het script het probleem niet oplost. Het beveiligingslek stelt crackers in staat om gevaarlijke Visual Basic code in de databasebeheersoftware Microsoft Access te voegen via de Explorer-browser. Het probleem doet zich voor omdat de volgorde voor het openen van Access verkeerd om is: het programma wordt eerst geopend en pas daarna, als het al te laat is, wordt de gebruiker hiervoor toestemming gevraagd. Om getroffen te worden door het probleem, is het openen van een website of het bekijken van een e-mail met HTML voldoende. De e-mail hoeft zelfs niet geopend te worden. Het lek is vooral gevaarlijk voor zakelijke gebruikers van Windows, omdat veel particuliere gebruikers Access niet geïnstalleerd hebben. Tot nu toe zijn nog geen gevallen van getroffen bedrijven bekend. Het probleem geldt voor gebruikers van Windows 95, 98, 2000 en NT 4.0 die Microsoft Access 97 of 2000 geïnstalleerd hebben en werken met Internet Explorer 4.0 of hoger, inclusief 5.5. Microsoft heeft nog geen echte oplossing bedacht. Geadviseerd wordt om een wachtwoord te zetten op Microsoft Access, zodat daar om gevraagd wordt zodra er vanuit Access een Visual Basic code wordt aangeroepen. Het probleem komt bovenop een fout in Microsofts emailprogramma Outlook Express, die eerder op de dag bekend werd. Deze door twee onafhankelijk van elkaar werkende onderzoekers ontdekte bug geeft hackers eveneens controle tot andermans computer. Het gaat hier om een zogeheten 'buffer overflow'. In de datavelden van Outlook kunnen veel te grote hoeveelheden data worden ingevoerd, waardoor de computer crasht. Wanneer dat gebeurt kunnen overtollige karakters, die gevaarlijke code kunnen bevatten, naar het geheugen worden gestuurd. Ook voor dit probleem geldt dat het simpelweg ophalen van een mailtje voldoende is om getroffen te worden. Microsoft heeft het probleem erkend en werkt aan een patch.Eerdere relevante berichten: Microsoft dicht veiligheidsgat in Internet Explorer (04 juli 2000) CERT ontdekt nieuw veiligheidslek Internet Explorer (08 juni 2000) Gartner ziet obstakels bij Outlook-beveiliging (22 mei 2000)