Niet-gepatchte Microsoft Flaw Leaves IE6 in gevaar

Een kwetsbaarheid in nog niet-gepatchte Microsoft-software vormt een ernstiger bedreiging voor gebruikers van Internet Explorer 6 dan die in de volgende versie van de browser, beveiligingsleverancier Symantec heeft gewaarschuwd.

De fout in Microsoft Access-databasesoftware kwam aan het licht net zoals Microsoft op 8 juli de patches voor de maand heeft uitgegeven. Het probleem zit in het ActiveX-besturingselement van Snapshot Viewer, waardoor iemand een Access-rapport kan zien zonder de software te starten.

Aanvallers maken actief gebruik van het beveiligingslek door webpagina's te maken of het hacken van bestaande webpagina's om de aanval te hosten. De hackers lokken mensen naar de pagina's via spam of een expresbericht.

Internet Explorer 7 vraagt ​​gebruikers om voor de eerste keer een bepaald ActiveX-besturingselement te downloaden. Maar Internet Explorer 6 zal het besturingselement automatisch downloaden omdat het digitaal is ondertekend door Microsoft, zei Symantec in zijn advies.

Nadat het ActiveX-besturingselement is gedownload, kan de aanvaller door een fout een pc overnemen.

Symantec adviseert beheerders om drie "kill-bits" in te stellen voor het ActiveX-besturingselement, een Microsoft-oplossing om te voorkomen dat een ActiveX-besturingselement wordt uitgevoerd in Internet Explorer.

Microsoft heeft tot nu toe niet gezegd wanneer het van plan is een oplossing vrij te geven. De volgende patchingronde van het bedrijf is gepland op 12 augustus.

Symantec zei vorige maand dat crimeware-auteurs een exploit hadden opgenomen voor de kwetsbaarheid van de Snapshot-viewer in Neosploit, een toolkit waarmee hackers een handvol exploits op een pc kunnen uitvoeren om te zien het heeft een niet-gepatchte kwetsbaarheid.