Door de kwetsbaarheid zouden aanvallers vertrouwelijke gegevens kunnen bemachtigen. De fout zit in de afhandeling van het MHTML-protocol, die door applicaties wordt gebruikt om documenten te renderen, meldt Microsoft vrijdagavond in een Security Advisory.

MHTML

MHTML, dat sinds 1999 door Microsoft wordt ondersteund, staat voor MIME Encapsulation of Aggregate HTML. Het is een archiefformaat voor het opslaan van alle onderdelen van een webpagina, zoals plaatjes en de html-code, in één bestand. Alleen IE en Opera bieden standaard ondersteuning voor MHTML.

Script

Het lek lijkt op die rond server-side cross-site-scripting (XSS), waarbij een aanvaller via een link een kwaadaardig script kan aanroepen. Via zo'n script is het mogelijk gegevens te stelen of pagina's in de browser te manipuleren. Een exploit die van het lek gebruikmaakt is al verschenen.

Workaround

Microsoft adviseert gebruikers het MHTML-protocol uit te schakelen. Microsoft doet momenteel onderzoek naar de kwetsbaarheid en werkt aan een security-update. Een tijdelijke workaroud is beschikbaar via een Fix-it-oplossing. Met één klik is zo MHTML te deactiveren, maar daarna werken ook ActiveX of Active Scripting niet meer. Het lek zit in alle ondersteunde Windows-versies en elke versie van IE.

Bron: Webwereld.nl