Microsoft waarschuwt voor zero-day-lek
Het probleem schuilt volgens Microsoft in een onderdeel van Windows dat het MHTML-protocol voor de opbouw van webpagina’s afhandelt. Zo’n script kan worden ingezet om informatie zoals e-mails van de gebruiker te vergaren, valse informatie in de browser te tonen of op andere manieren de ‘beleving’ van de gebruiker te verstoren, aldus een woordvoerster op het blog van het Microsoft Security Response Center (MSRC).
Shutterstock
Shutterstock
Nog geen patch
Een Chinese website publiceerde vorige week het bewijs dat het lek kan worden misbruikt (proof of concept). Microsoft heeft nog geen patch beschikbaar.
MHTML staat voor MIME HTML en bevat elementen uit diverse bronnen, zoals Java-applets, Flash-animaties en plaatjes. Naast Microsofts eigen browser Internet Explorer ondersteunt ook de Noorse browser Opera MHTML van huis uit. Firefox heeft daarvoor een plug-in nodig. Chrome van Google en Safari van Apple bieden geen ondersteuning voor het protocol.
Alle versies Windows kwetsbaar
Gebruikers van IE lopen het grootste risico vanwege de ingebouwde ondersteuning van MHTML. Alle versies van Windows, uiteenlopend van XP tot Windows 7, zijn met het kwetsbare protocol uitgerust. In afwachting van een patch adviseert Microsoft dat gebruikers een speciale tool (Fixit) uitvoeren die MHTML uitschakelt. Weliswaar is het ook mogelijk hiertoe handmatig het Windows-register te bewerken, maar bij onoordeelkundig gebruik kan dat een pc danig ontregelen.
De Fixit-tool kan worden gedownload van de supportsite van Microsoft. In een adviesbulletin staan meer bijzonderheden over de kwetsbaarheid.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee