Dat zegt althans de gerenommeerde veiligheidsexpert Richard Smith, die donderdag diverse kwetsbaarheden in Outlook 2002 openbaar maakte, het e-mailprogramma van Microsoft. Smith stelt dat hij Microsoft de afgelopen twaalf maanden al op de hoogte heeft gebracht van de lekken. Blijkbaar is daar echter nooit iets mee gedaan. Reden voor de specialist om de lekken aan de grote klok te hangen. Het gaat om vier zaken in Outlook 2002 die Smith als onveilig aanduidt. Het meest urgente probleem is volgens hem het feit dat Outlook automatisch potentieel gevaarlijke bestanden downloadt die in bepaalde HTML-mailberichten worden verstuurd. Het gaat hierbij om zogeheten IFRAME-tags die in een dergelijk bericht zijn opgenomen. Als een gebruiker zo'n mail leest, kan Outlook zomaar exe-bestanden beginnen te downloaden vanaf een site die in een bericht wordt genoemd. "Outlook komt met een dialoogvenster waarin de gebruiker wordt gevraagd of hij het bestand wil openen, bewaren of er vanaf wil zien. Er is geen enkele waarschuwing dat het uitvoerbare bestand gevaarlijk kan zijn", aldus Smith. Daarbij komt nog dat de standaardsuggestie in het dialoogvenstertje de optie `openen' is.

Cookies

Andere – volgens Smith iets minder kritieke - gaten hebben ook te maken met HTML in e-mailberichten. De expert noemt de mogelijkheid voor kwaadwillenden om een Javascriptje in mailtjes aan het werk te zetten dat cookies kan lezen. Hiermee kan dus informatie worden vergaard zoals welke sites iemand heeft bezocht of wachtwoorden. Dit kan gebeuren hoewel Outlook standaard cookies op `uit' zet. Het is volgens Smith allemaal erg verwarrend voor de gebruiker. Microsoft laat zijn software in bovengenoemde gevallen helemaal niet waarschuwen, terwijl gebruikers in andere gevallen (waar dat juist niet nodig zou zijn) plotseling wél een waarschuwing voor hun neus krijgen. Smith sluit overigens niet uit dat de door hem gesignaleerde problemen ook van toepassing zijn op eerdere versies van Outlook en op het eenvoudigere programma Outlook Express. Microsoft heeft nog niet gereageerd op de bevindingen van de veiligheidsexpert.