Kritiek spoofing lek in Internet Explorer ontdekt
Gebruikers van Internet Explorer zijn gewaarschuwd voor een kritiek spoofing lek dat door kwaadwillende mensen misbruikt kan worden om de gebruiker kwaadaardige bestanden te laten downloaden. Aldus een bericht op security.nl Het lek wordt veroorzaakt doordat IE de bestandsextensie van de URL's bestandsnaam gebruikt wanneer er plaatjes met het "Save Picture As" commando worden opgeslagen en verwijdert tevens de laatste bestandsextensie als er meerdere extensies aanwezig zijn. Dit kan door een kwaadaardige website misbruikt worden om een plaatje, dat van kwaadaardige script code voorzien is, met een willekeurige bestandsextensie op te slaan.
Succesvolle exploitatie laat een gebruiker bijvoorbeeld een kwaadaardige HTML applicatie downloaden die als afbeelding vermomt is. Om het lek te kunnen misbruiken moet wel de "Verberg extensies voor bekende bestandstypes" ingeschakeld staan, iets wat standaard in Windows het geval is.
Het lek is gevonden in Microsoft Internet Explorer 6 op een volledig gepatcht Windows XP systeem met Service Pack 2.
* Als oplossing wordt aangeraden om de optie "Verberg extensies voor bekende bestandstypes" uit te schakelen. (Secunia)
* Uitleg: "Verberg extensies voor bekende bestandstypes"
Gebruikers van Internet Explorer zijn gewaarschuwd voor een kritiek spoofing lek dat door kwaadwillende mensen misbruikt kan worden om de gebruiker kwaadaardige bestanden te laten downloaden. Aldus een bericht op security.nl Het lek wordt veroorzaakt doordat IE de bestandsextensie van de URL's bestandsnaam gebruikt wanneer er plaatjes met het "Save Picture As" commando worden opgeslagen en verwijdert tevens de laatste bestandsextensie als er meerdere extensies aanwezig zijn. Dit kan door een kwaadaardige website misbruikt worden om een plaatje, dat van kwaadaardige script code voorzien is, met een willekeurige bestandsextensie op te slaan.
Succesvolle exploitatie laat een gebruiker bijvoorbeeld een kwaadaardige HTML applicatie downloaden die als afbeelding vermomt is. Om het lek te kunnen misbruiken moet wel de "Verberg extensies voor bekende bestandstypes" ingeschakeld staan, iets wat standaard in Windows het geval is.
Het lek is gevonden in Microsoft Internet Explorer 6 op een volledig gepatcht Windows XP systeem met Service Pack 2.
* Als oplossing wordt aangeraden om de optie "Verberg extensies voor bekende bestandstypes" uit te schakelen. (Secunia)
* Uitleg: "Verberg extensies voor bekende bestandstypes"
Laatst bewerkt: