update <22 april 1999>: Microsoft heeft inmiddels patches (reparatieprogramma's) beschikbaar gesteld voor de hieronder beschreven lekken. Ze zijn gratis te downloaden via www.microsoft.com/windows/ie/security/mshtml.asp. De patches werken alleen voor de Engelstalige versie van Explorer.

Lekken in nieuwe bladeraar van Microsoft

MARIE-JOSÉ KLAVER <klaver@nrc.nl>

AMSTERDAM, 31 MAART. Twee lekken in de nieuwe bladeraar van Microsoft, Internet Explorer 5, stellen Internetgebruikers bloot aan hackers en malafide websitebeheerders . De lekken bieden onbevoegden toegang tot de harde schijf van surfers, waardoor gegevens gelezen, veranderd en vernietigd kunnen worden. Malafide websitebeheerders zouden misbruik kunnen maken van de lekken in Explorer 5 door via de browser in te breken in de computers van surfers.

De lekken zijn ontdekt door de Spaanse computerdeskundige Juan Carlos Cuartango en de Bulgaar Georgi Guninski. Beiden genieten in Internetbeveiligingskringen een goede reputatie omdat ze de afgelopen jaren veel privacylekken in de bladeraars van Microsoft en Netscape hebben ontdekt. Microsoft en Netscape hebben enkele reparatieprogramma's naar Cuartango vernoemd.

Het door Cuartango ontdekte lek staat toe dat onbevoegden de tekst stelen die de gebruiker zojuist heeft gekopieerd om vervolgens in een ander document te plakken. Dit is een ernstig privacyrisico, omdat deze handeling zeer vaak door computergebruikers wordt uitgevoerd.

Het andere lek in Explorer 5 laat toe dat websitebeheerders documenten op de harde schijf van de surfer wissen of overschrijven met een bestand met dezelfde naam. Op deze manier zouden malafide websitemakers bijvoorbeeld virussen of kinderporno op de computer van een nietsvermoedende surfer kunnen zetten.

Explorer 5 is ongeveer anderhalve week geleden uitgebracht. De nieuwe browser is enthousiast ontvangen door computerrecensenten en websitemakers als AltaVista, Yahoo! en Lycos. Verwacht wordt dat binnen enkele maanden vele miljoenen gebruikers op Explorer 5 zullen overstappen. De testversie van de nieuwe Explorer, die ook last heeft van het 'Cuartango-lek', is door 2 miljoen mensen gekopieerd.

Microsoft, dat ongeveer de helft van de browsermarkt in handen heeft, heeft de lekken bevestigd en zegt te werken aan reparatieprogramma's. Tot die verkrijgbaar zijn, raadt de softwaregigant gebruikers aan de beveiligingsinstellingen van Explorer 5 anders in te stellen. De optie "Allow paste operations via script" moet uitgezet worden.
Dit doet u als volgt:
Ga naar Tools, Internet Options, Security, klik vervolgens op de Custom level button, ga dan naar "allow paste operations via script", klik op prompt of disable, klik op OK en klik tenslotte op Apply.

De betaversie van Explorer 5 heeft ook last van het clipboard-lek, maar biedt geen beschermingsopties. Het is raadzaam deze versie niet meer te gebruiken.

Beveiligingsdeskundigen raden aan ook JavaScript uit te zetten om te voorkomen dat kwaadwillende websitebeheerders misbruik maken van het 'Guninski-lek'.

Zie ook:
Uitgebreide technische informatie over het door Cuartango ontdekte lek:
www.sysopt.com/ie5flaw.html

Originele bericht van Cuartango:
ntbugtraq.ntadvice.com/default.asp?pid=36&sid=1&A2= ind9903&L=ntbugtraq&F=P&S=&P=6841

Demonstratie van het 'Cuartango-lek':
pages.whowhere.com/computers/cuartangojc/dhtmle1.html

(Werkt alleen als u Internet Explorer 5 gebruikt.)

Homepage van Juan Carlos Garcia Cuartango:
pages.whowhere.com/computers/cuartangojc/index.html