Vorige week bleek dat de e-mailsoftware van Microsoft en Netscape een aantal grote beveiligingsgaten bevatten.
Zowel de server-programmatuur Exchange als de client-applicaties Outlook en Messenger hebben lekken die het mogelijk maken op computers in te breken of deze vast te laten lopen. Beveiligingexperts zien hierin een teken dat de softwaremarkt als gevolg van grote haast producten levert die niet afdoende zijn getest.
De versies 5.0, inclusief de Service Packs 1 en 2, en 5.5 van Exchange Server zijn bij bepaalde configuraties gevoelig voor een zending incorrecte data. Dit leidt tot een applicatiefout die het besturingssysteem niet laat vastlopen, maar wel een herstart van de computer vereist. Deze zwakke plek is uit te buiten middels de Internet Mail Service en de Network News Transfer Protocol (Nntp) Service van Exchange. Microsoft biedt op zijn ftp-site al lapmiddelen voor dit probleem.
Het Amerikaanse beveiligingsbedrijf Internet Security Systems (ISS) heeft dit gat ontdekt. "Ik denkt dat we nog wel meer fouten zullen ontdekken in deze software, zowel op de korte als op de lange termijn", voorspelt technologiedirecteur en oprichter Chris Klaus van ISS.
Ook clientsoftware
Een team Finse onderzoekers bracht vorige week ook een lek aan het licht. Hier ging het om de e-mailprogramma’s Outlook en Messenger van respectievelijk Microsoft en Netscape. Deze fout heeft volgens de twee leveranciers betrekking op de Windows-, Macintosh- en Solaris-versies van Outlook 98, Outlook Express en de Windows-versie van Messenger. Oplossingen voor dit probleem laten in het geval van Netscape op zich wachten of zijn niet volledig. Microsoft biedt wel al een reparatie op zijn website, maar laat een andere, gerelateerde fout ongemoeid.
Dit beveiligingslek geeft buitenstaanders de mogelijkheid via e-mail schadelijke acties uit te voeren. Kwaadwillenden kunnen toegang tot computers krijgen door middel van attachments die een bestandsnaam van meer dan 200 karakters hebben. In tegenstelling tot gebruikelijke e-mail-aanvallen, is deze methode niet afhankelijk van het gebruik van zo’n aangehecht bestand. Het gevaar schuilt in de ’tags’ die een dergelijk bestand identificeren. Bij een gerichte aanval kan er middels dit gat een programma gestart worden op de doelcomputer.
Oude programmeerfout
Beveiligingsspecialisten spreken over het grootste gevaar sinds de Internet-worm van Robert Morris die in 1988 grote delen van Internet platlegde. Zij maken zich in toenemende mate zorgen over het feit dat de twee softwareleveranciers de onveilige producten gewoon distribueren. De nu gehanteerde manier van oplossen voldoet niet, aldus de experts. "Gebruikers moeten zelf naar een website gaan om een lapmiddel te halen. Mensen nemen beveiliging niet serieus", aldus directeur Eugene Spafford van het onderwijscentrum voor informatie-verzekering en beveiliging aan de Amerikaanse Purdue-universiteit. Hij verwijst met die laatste opmerking zowel naar eindgebruikers als naar softwareleveranciers. "Dit gat komt namelijk voort uit een programmeerfout die al dertig jaar bekend is."
