Opnieuw lek in Windows gedicht

Na de 'wmf-patch' moet Microsoft deze week opnieuw een pleisterprogramma voor Windows uitbrengen. Ditmaal gaat het om het dichten van een lek in de manier waarop webfonts kunnen worden ingebed in webpagina's.

Het nieuwe probleem wordt beschreven in het pas verschenen Microsoft Security Bulletin MS06-002. In het bulletin valt te lezen dat de kwetsbaarheid zich bevindt in de afhandeling van ingebedde webfonts. Dat zijn lettertypen die een sitebouwer meegeeft met de webpagina, bijvoorbeeld om een site een unieke stijl mee te geven. De meeste ontwerpers doen dit niet en kiezen ervoor om de lettertypen te gebruiken die aanwezig zijn op een doorsnee machine (Arial, Helvetica, etc).

Ingebedde lettertypen blijken een veiligheidsrisico te zijn. Een aanvaller kan in principe een aangepaste font meegeven met een internetpagina of html-mail die Windows 'openbreekt'. Daarna kan hij zijn eigen code (bijvoorbeeld een worm of virus) op de pc uitvoeren.

Inmiddels is voor het 'fontgevaar' een herstelprogramma beschikbaar via de ingebouwde WIndows Update-functie in Windows XP. Gebruikers van oudere versies (98/Me) moeten de patch zelf downloaden