Drie Windows-lekken verrassen Microsoft
Veiligheidsteam licht Redmond niet in
28 december 2004 | Jamie Biesemans
Bij Microsoft heerst ongetwijfeld grote ontevredenheid over de beslissing van Chinese veiligheidsexperts om drie nieuwe Windows-kwetsbaarheden rechtstreeks wereldkundig te maken. De softwaregigant klaagt dat het daardoor geen tijd krijgt om voor een oplossing te zorgen. Experts zijn nu verontrust dat malafide hackers binnen de kortste keren de lekken zullen misbruiken.
De publicatie van de drie lekken gebeurde op de gezaghebbende BugTraq-mailinglijst en werd ondertekend door
Flashsky Fangxing, een medewerker van het Chinese bedrijf Venustech Security Lab. Ondertussen hebben verschillende bronnen, waaronder Secunia en Symantec, de problemen bevestigd. Een technische beschrijving van de lekken en voorbeelden vindt u
op de website van XFocus terug.
Van de drie lekken die door de Chinese hacker worden beschreven, lijkt
eentje bijzonder ernstig. Door een fout in de LoadImage-functie van Windows, kan een aanvaller zijn eigen code binnensmokkelen via een icoon, BMP-beeld of cursor, aldus FlashSky. Dat kan bijvoorbeeld door zo'n beeld te verbergen in een webpagina of een e-mail met HTML-opmaak.
Volgens Venustech zit het probleem in Windows NT, 2000 en Server 2003. Ook een naakte Windows XP of XP met service pack 1 is kwetsbaar. Windows XP met SP2 lijkt buiten de schot te blijven - al moet dit nog bevestigd worden.
De andere twee kwetsbaarheden zitten in de module om helpbestanden op het scherm te toveren en in het stukje code dat ANI-bestanden verwerkt. ANI, of
Animated Cursor Image, is het bestandsformaat waarin geanimeerde cursors verpakt zitten.
Echt gelukkig is Microsoft niet met de plotse publicatie van de kwetsbaarheden. Normaal vraagt MS - net zoals vele andere softwarebedrijven - dat nieuwe lekken eerst discreet bij hen worden gemeld. Dit geeft de experts van de softwaregigant de tijd om een oplossing uit te dokteren en die te presenteren in de vorm van een patch. In dit geval had Microsoft pas weet van de problemen toen ze online werden gepubliceerd.
Voorlopig is er nog geen patch om de pas bekendgemaakte lekken te dichten. Op zo'n softwarepleister kan het nog even wachten zijn. Tenzij Microsoft de lekken zo ernstig vindt dat het in de komende dagen een oplossing vrijgeeft, is het minstens wachten tot de tweede dinsdag van de volgende maand. Dan verschijnt de volgende editie van het maandelijkse veiligheidsbulletin van Microsoft.
Lees meer artikels over :
patch, ani, lek, loadimage
bron: ZDNet, PC Magazine
