Ingezonden persbericht
Internet Security Systems beschermt bedrijven tegen lek in Microsoft Image Color Management Library
Zonder bescherming kan alleen bekijken van een afbeelding al tot schade leiden
Capelle a/d IJssel, 14 juli 2005 - Internet Security Systems (ISS) biedt klanten preventieve bescherming tegen een kritiek lek in de Microsoft Image Color Management Library (ICM). ICM wordt gebruikt in uiteenlopende applicaties waaronder Microsoft Word. Volgens X-Force, het onderzoeks- en ontwikkelteam van ISS, kan het lek vrijwel zonder interactie met de gebruiker misbruikt worden en is een groot deel van de Windows-installaties kwetsbaar. Aanvallers kunnen zich door misbruik van het lek toegang verschaffen tot systemen en vertrouwelijke gegevens. Bovendien kan het aangevallen systeem als springplank gebruikt worden om verder binnen te dringen in een netwerk.
ISS X-Force waarschuwt dat dit lek op zeer grote schaal misbruikt kan worden, gezien het onderzoek dat het team eerder deed naar vergelijkbare lekken. Alleen het bekijken of bewerken van een kwaadaardige digitale afbeelding kan al leiden tot misbruik van het lek. Zo'n afbeelding kan de gebruiker op diverse manieren bereiken, bijvoorbeeld via e-mail of een website. ICM wordt gebruikt voor het overbrengen van kleuren in afbeeldingen voor uiteenlopende bestandsformaten waaronder JPEG. Hackers kunnen via een kwaadaardige afbeelding een zogenaamde stack overflow-aanval lanceren op het onderdeel waarmee de afbeelding wordt bewerkt en/of bekeken. Hierdoor is het mogelijk dat aanvallers zich toegang verschaffen tot het systeem.
ISS biedt op dit moment bescherming aan klanten die host-based Proventia-producten en Managed Security Services gebruiken. Organisaties die niet door ISS beschermd worden, kunnen voor meer informatie terecht op: http://www.microsoft.com/technet/security/current.aspx
Meer informatie van ISS over dit lek is te vinden op: http://xforce.iss.net/xforce/alerts/id/199
Internet Security Systems
Internet Security Systems, Inc. (ISS) (Nasdaq: ISSX) is met zijn beveiligingsproducten en -diensten tegen internetbedreigingen de vertrouwde beveiligingspartner voor wereldwijd opererende bedrijven en overheden. ISS levert sinds 1994 bewezen kosteneffectieve oplossingen en vermindert aansprakelijkheids- en bedrijfsrisico's voor klanten wereldwijd. De producten en diensten van ISS zijn gebaseerd op proactief beveiligingsonderzoek door ISS X-Force, het gerenommeerde onderzoeks- en ontwikkelingsteam van ISS. ISS heeft zijn hoofdkwartier in Atlanta (VS) en vestigingen in Noord- en Zuid-Amerika, Azië, Australië, Europa en het Midden-Oosten. Het hoofdkantoor voor Europa is gevestigd in Brussel.