Microsoft plaatste gisteren op zijn website (http://www.microsoft.com/ie/security/) een verbeterde oplossing voor het beveiligingslek in Outlook.
Twee weken geleden ontdekten Finse onderzoekers dat deze e-mail-programmatuur gevoelig is voor aan e-mail gehechte bestanden met zeer lange bestandsnamen. Hierdoor kunnen kwaadwillenden een programma zenden naar gebruikers en die software uitvoeren op de doelcomputer.
Deze fout is ook ontdekt in de Messenger e-mail-software van Netscape. Microsoft kwam na enkele dagen al met een lapmiddel, maar die liet een nieuwe, gerelateerde fout ongemoeid. Hierdoor waren gebruikers van zowel Outlook 98 als Outlook Express zelfs met die eerste ‘patch’ nog kwetsbaar. De aanvalsmethode vereist namelijk geen actie van de gebruiker. Dit in tegenstelling tot traditionele e-mail-aanvallen waarbij een meegestuurd programma door het slachtoffer gestart moet worden.
Volgens Microsoft repareert de nieuwe oplossing alle bekende problemen die gerelateerd zijn aan de ‘kwetsbaarheid’, zoals de softwareleverancier dit beveiligingsgat noemt. Netscape komt binnen ‘enkele weken’ met een lapmiddel en biedt voorlopig alleen een uitleg hoe dit probleem enigszins valt te vermijden. Beveiligingsexperts zijn niet te spreken over de houding van de betrokken softwareleveranciers. Vooral gezien het feit dat dit lek voortkomt uit een programmeerfout die al jaren bekend en gedocumenteerd is.
