Vrijdag is het lek bekend gemaakt door de Poolse onderzoeker Maurycy Prodeus. Het gaat om een kwetsbaarheid in Visual Basic Script (VBScript), dat uitgebuit kan worden via alle versies van Internet Explorer draaiend op Windows 2000, Windows XP en Windows Server 2003. De nieuwere, maar minder gebruikte, versies Vista, 7 en Server 2008 zijn dus veilig.

Pop-up venster

Voor een succesvolle aanval is het nodig dat het slachtoffer een kwaadaardige website bezoekt en vervolgens door een pop-up wordt verleid om op F1 te drukken. Daarmee wordt het lek in VBScript misbruikt.

Kwaadwillenden kunnen dan eigen code uitvoeren, met de rechten van de dan aangemelde gebruiker, aldus de security advisory van Microsoft. De leverancier benadrukt dat het zich niet bewust is van aanvallen die deze kwetsbaarheid misbruiken.

Hulp uitschakelen

Microsoft onderzoekt dit lek en vindt een waarschuwing alvast gepast. Als workaround adviseert het bedrijf dan ook: “Druk niet op F1 als dat door een website wordt gevraagd”.

Een veiligere optie voor beheerders is het beperken van de toegang tot het helpsysteem van het in Windows geïntegreerde IE. De kans is namelijk groot dat gebruikers toch op een toets zullen drukken als ze dat wordt gevraagd.

Bron: Techworld.nl