Gat in Explorer geeft toegang tot harde schijf

vbimport

#1

Gat in Explorer geeft toegang tot harde schijf

Geplaatst op: 19 juli 2000, 17:43 uur

Een fout in Internet Explorer biedt crackers de mogelijkheid om toegang tot computers te krijgen
door Visual Basic code in Microsoft Access te plaatsen. 

Door de WebWereld-redactie 

Het System Administration Networking and Security Institute (SANS) maakt woensdag op haar website
melding van het lek. Volgens SANS is het de ‘gevaarlijkste programmeerfout die Microsoft tot nu toe heeft gemaakt in de
Windows werkstations’. Maar volgens een woordvoerder van computerbeveilingsbedrijf SecurityFocus is dat wat
overdreven, ook al is het probleem volgens het bedrijf wel ernstig. Wat de fout zo gevaarlijk maakt is dat crackers er
toegang tot de harde schijf door krijgen. Vandaar uit kunnen zij alles doen wat de eigenaar van de computer kan doen,
zoals het wissen, wijzigen of via e-mail doorsturen van bestanden.

De bug werd afgelopen maand ontdekt door de Bulgaarse bugjager Georgi Guninski. Het probleem staat inmiddels
bekend onder de noemer ‘IE Script gat’, maar die benaming is volgens SANS misleidend omdat het uitschakelen van het
script het probleem niet oplost.

Het beveiligingslek stelt crackers in staat om gevaarlijke Visual Basic code in de databasebeheersoftware Microsoft
Access te voegen via de Explorer-browser. Het probleem doet zich voor omdat de volgorde voor het openen van
Access verkeerd om is: het programma wordt eerst geopend en pas daarna, als het al te laat is, wordt de gebruiker
hiervoor toestemming gevraagd.

Om getroffen te worden door het probleem, is het openen van een website of het bekijken van een e-mail met HTML
voldoende. De e-mail hoeft zelfs niet geopend te worden. Het lek is vooral gevaarlijk voor zakelijke gebruikers van
Windows, omdat veel particuliere gebruikers Access niet geïnstalleerd hebben. Tot nu toe zijn nog geen gevallen van
getroffen bedrijven bekend.

Het probleem geldt voor gebruikers van Windows 95, 98, 2000 en NT 4.0 die Microsoft Access 97 of 2000
geïnstalleerd hebben en werken met Internet Explorer 4.0 of hoger, inclusief 5.5.

Microsoft heeft nog geen echte oplossing bedacht. Geadviseerd wordt om een wachtwoord te zetten op Microsoft
Access, zodat daar om gevraagd wordt zodra er vanuit Access een Visual Basic code wordt aangeroepen.

Het probleem komt bovenop een fout in Microsofts emailprogramma Outlook Express, die eerder op de dag bekend
werd. Deze door twee onafhankelijk van elkaar werkende onderzoekers ontdekte bug geeft hackers eveneens controle
tot andermans computer. Het gaat hier om een zogeheten ‘buffer overflow’. In de datavelden van Outlook kunnen veel te
grote hoeveelheden data worden ingevoerd, waardoor de computer crasht.

Wanneer dat gebeurt kunnen overtollige karakters, die gevaarlijke code kunnen bevatten, naar het geheugen worden
gestuurd. Ook voor dit probleem geldt dat het simpelweg ophalen van een mailtje voldoende is om getroffen te worden.
Microsoft heeft het probleem erkend en werkt aan een patch.

System Administration Networking and Security Institute (SANS) http://www.sans.org

SecurityFocus http://www.securityfocus.com


#2

euh ??? tja…microsoft ???