Nostradamus
11 januari 2006, 11:47
Nieuwe patch dicht lekke webfonts:
Het vervroegd verschijnen van de WMF-patch doet geen afbreuk aan het gewoonlijke publicatieritme van Microsofts veiligheidsbulletins. Dinsdag verscheen een update voor het bulletin, met een patch die een nieuw lek aanpakt. Het gaat wederom om een kritische kwetsbaarheid die bijna alle gangbare versies van Windows treft. Ook de oudere Windows 98 en Millennium hebben er last van.
Het nieuwe probleem wordt beschreven in het pas verschenen Microsoft Security Bulletin MS06-002 (http://www.microsoft.com/technet/security/Bulletin/MS06-002.mspx) en werd ontdekt door eEye Digital Security (http://www.eeye.com/html/company/press/PR20060110.html). In het bulletin valt te lezen dat de kwetsbaarheid zich bevindt in de afhandeling van ingebedde webfonts. Dat zijn lettertypes die een sitebouwer meegeeft met de webpagina, bijvoorbeeld om een site een unieke stijl mee te geven. De meeste webmasters doen dit niet en opteren om fonts te gebruiken die aanwezig zijn op een doorsnee machine.
Ingebedde lettertypes blijken nu een aardig veiligheidsrisico te zijn. Een aanvaller kan in principe een aangepaste font meegeven met een HTML-pagina of -mail die Windows openbreekt. Daarna kan hij zijn eigen code (bijvoorbeeld een Trojaans paard of worm) op de pc uitvoeren.
Volgens Microsoft wordt de kwetsbaarheid nog niet actief misbruikt, maar vermoedelijk zal dat niet lang duren. Een verzwarende omstandigheid is dat het lek via heel veel applicaties aanspreekbaar is. Niet alleen Microsoft-producten die HTML tonen (zoals IE of Outlook Express) zijn kwetsbaar, ook software van derden blijft niet buiten schot, waarschuwt eEye.
De gepaste softwarepleisters worden bij nieuwe Windows-versies aangeboden via de WindowsUpdate-functie. Wie werkt met Windows 98 of Millennium moet handmatig naar de WindowsUpdate-site (http://update.microsoft.com/windowsupdate) surfen.
Bron: ZDNet
Het vervroegd verschijnen van de WMF-patch doet geen afbreuk aan het gewoonlijke publicatieritme van Microsofts veiligheidsbulletins. Dinsdag verscheen een update voor het bulletin, met een patch die een nieuw lek aanpakt. Het gaat wederom om een kritische kwetsbaarheid die bijna alle gangbare versies van Windows treft. Ook de oudere Windows 98 en Millennium hebben er last van.
Het nieuwe probleem wordt beschreven in het pas verschenen Microsoft Security Bulletin MS06-002 (http://www.microsoft.com/technet/security/Bulletin/MS06-002.mspx) en werd ontdekt door eEye Digital Security (http://www.eeye.com/html/company/press/PR20060110.html). In het bulletin valt te lezen dat de kwetsbaarheid zich bevindt in de afhandeling van ingebedde webfonts. Dat zijn lettertypes die een sitebouwer meegeeft met de webpagina, bijvoorbeeld om een site een unieke stijl mee te geven. De meeste webmasters doen dit niet en opteren om fonts te gebruiken die aanwezig zijn op een doorsnee machine.
Ingebedde lettertypes blijken nu een aardig veiligheidsrisico te zijn. Een aanvaller kan in principe een aangepaste font meegeven met een HTML-pagina of -mail die Windows openbreekt. Daarna kan hij zijn eigen code (bijvoorbeeld een Trojaans paard of worm) op de pc uitvoeren.
Volgens Microsoft wordt de kwetsbaarheid nog niet actief misbruikt, maar vermoedelijk zal dat niet lang duren. Een verzwarende omstandigheid is dat het lek via heel veel applicaties aanspreekbaar is. Niet alleen Microsoft-producten die HTML tonen (zoals IE of Outlook Express) zijn kwetsbaar, ook software van derden blijft niet buiten schot, waarschuwt eEye.
De gepaste softwarepleisters worden bij nieuwe Windows-versies aangeboden via de WindowsUpdate-functie. Wie werkt met Windows 98 of Millennium moet handmatig naar de WindowsUpdate-site (http://update.microsoft.com/windowsupdate) surfen.
Bron: ZDNet