Microsoft brengt maandagavond 2 augustus 2010 een tussentijdse patch uit om een beveiligingslek in Windows te dichten. Door het lek kunnen kwaadwillenden snelkoppelingen ontwerpen die ervoor zorgen dat Windows het eraan gekoppelde programma automatisch start. Dat gebeurt wanneer het icoon wordt bekeken via bijvoorbeeld de Windows Verkenner.
De kwetsbaarheid wordt veroorzaakt door de manier waarop Windows omgaat met .lnk- en .pif-bestanden. Dat zijn bestanden die een grafische icoon op bijvoorbeeld het bureaublad plaatsen. Wanneer de gebruiker dubbelklikt op dat icoon wordt er een applicatie gestart. Het blijkt echter mogelijk om .lnk- of pif-bestanden te ontwerpen die automatisch starten wanneer ze vanaf een usb-stick of via het netwerk door de Windows Verkenner, of een andere File Manager die iconen toont, worden bekeken.
Het lek bevindt zich binnen Windows 7, Windows Server 2008, Windows Vista, Windows XP en Windows Server 2003. De patch komt beschikbaar op maandag 2 augustus om 19:00 uur Nederlandse tijd.
Sality.AT
‘In de afgelopen dagen hebben we een toename gezien in het aantal pogingen om de kwetsbaarheid te misbruiken’, schrijft Micosofts beveiligingswoordvoerder Christopher Budd. ‘Alhoewel er verschillende families van lnk.bestanden zijn die misbruik maken van deze kwetsbaarheid, heeft eentje in het bijzonder onze aandacht getrokken: een familie met de naam Sality, en vooral Sality.AT’, valt te lezen op het blog van het Microsoft Security Response Center.
In eerste instantie leek de grootste bedreiging uit te gaan van malware die Stuxnet was gedoopt, en die zich richtte op procescontrole-software.
Op 16 juli adviseerde Microsoft in eerste instantie om het probleem te verhelpen door handmatig het Windowsregister aan te passen. Op 21 juli kwam het bedrijf vervolgens met een tool die hetzelfde doet. Nadeel van deze oplossingen is echter dat de programma-iconen binnen taakbalk en startmenu verdwijnen en vervangen worden door witte vierkantjes.
