Microsoft: Open geen miniatuurweergaven
Microsoft waarschuwt voor kwaadaardige miniatuurweergaven waarmee aanvallers de controle over een Windows XP- of Vista-computer kunnen overnemen.
De zwakke plek bevindt zich in de manier waarop Windows XP, Vista, Server 2003 en Server 2008 beelden renderen. Windows 7 en Server 2008 R2 zijn niet kwetsbaar. Een overzicht van de kwetsbare versies en een tijdelijke oplossing vind je op de beveiligingsblog van Microsoft.
Voorvertoning volstaat
Als je met de Windowsverkenner naar een op het eerste zicht onschuldige miniatuurafbeelding navigeert, kun je al gehackt worden. Een voorvertoning van het bestand is genoeg voor de aanvaller om het lek uit te buiten.
[related_article id=”160534″]
De thumbnails kunnen ook ingesloten worden in Officedocumenten. Open je het bestand, dan kan de aanvaller code uitvoeren op je computer met dezelfde gebruikersrechten. Accounts met minder rechten zijn dus ook minder kwetsbaar.
Wachten op patch
Microsoft heeft geen weet van actieve uitbuiting van dit lek. Een oplossing klaar hebben voor de maandelijkse patchronde op 11 januari lijkt niet haalbaar. Indien er geen misbruik van wordt gemaakt, wordt het lek waarschijnlijk pas in februari gedicht.