Een pas ontdekte fout in alle Windows-versies kan hackers toegang verschaffen tot versleutelde bestanden.
Door het veiligheidslek is het mogelijk om op afstand digitale certificaten te verwijderen. Met dergelijke versleutelde protocollen wordt ingelogd op beveiligde diensten van bijvoorbeeld internetbanken. Microsoft meldt op haar website dat een onmiddellijke update noodzakelijk is en biedt daarvoor patches aan.
Het softwarebedrijf noemt de fout ‘kritisch’. Pc-gebruikers kunnen bijvoorbeeld door het openen van een e-mailbericht zonder het te weten een Active-X-element activeren dat de deur naar de digitale certificaten wagenwijd openzet. In die certificaten liggen de encryptiesleutels opgeslagen voor Secure Sockets Layer-verkeer.
Overigens kan volgens Microsoft een kwaadwillende hacker de certificaten enkel verwijderen. Hij kan ze niet misbruiken. Het veiligheidslek is vooral gevaarlijk voor thuisgebruikers en clientmachines in grotere netwerken. Internet- en intranetservers onder Windows lopen volgens Microsoft geen risico.
Microsoft heeft nog steeds niet door dat actieve componenten in e-mail of op een web pagina niet onder het account van de user moet draaien maar op een guest account met minimale bevoegdheden. Post wordt immers ontvangen van een ander die normaal geen bevoegdheden heeft op het ontvangende systeem. In Windows NT/2000/XP zou dit gemakkelijk te realiseren zijn. Voor windows 9x/me zou gebruik gemaakt moeten worden van een sand-box (zandbak) mechanisme die het system afschermt voor ongeoorloofde acties. Alladin heeft volgens mijn weten dit veiligheids mechanisme in hun dektop product ingebouwd.
Hoezo microsoft rules? Ja, wat betreft lekken en virussen. Dat krijg je van gesloten standaarden!