Microsoft heeft een security advisory gepubliceerd over het afhandelen van url’s in Internet Explorer 7. Het bedrijf komt daarmee terug op de ophef over het ongecontroleerd doorgeven van url’s aan externe applicaties

In juli ontstond er opschudding toen bleek dat url’s vaak ongecontroleerd doorgegeven werden aan andere programma’s, waarna die applicaties de ontvangen adressen konden verwerken zonder ze te controleren. Er werd flink gediscussieerd over wie nu precies schuldig was aan het beveiligingslek, waarbij Mozilla uiteindelijk aangaf dat er niet alleen naar Microsofts Internet Explorer gewezen moest worden. De opensourceorganisatie raadde Microsoft aan zijn browser te patchen, en besloot daarnaast om Firefox van een update te voorzien, zodat url’s ook daar bij binnenkomst onder de loep genomen konden worden.

Verschillende veiligheidsexperts benadrukten dat meerdere programma’s vatbaar zouden zijn voor de lekken en dat alle ontwikkelaars er goed aan zouden doen url’s zowel bij binnenkomst als bij het doorgeven naar andere applicaties te controleren. Microsoft zag echter geen reden om zijn browser van een update te voorzien. Het bedrijf heeft nu bekendgemaakt dat de nieuwste versie van zijn browser naar aanleiding van de heisa alsnog gepatcht zal worden.

Hoewel de patch alle applicaties veiliger zal maken in hun omgang met url’s, garandeert Microsoft niet dat de patch een eind maakt aan alle mogelijke veiligheidslekken ten gevolge van het ongecontroleerd accepteren van uri’s die van Internet Explorer, of andere applicaties, afkomstig zijn. Zo zou het probleem met het niet escapen van uri’s die doorgestuurd worden naar Firefox, nog steeds bestaan als Mozilla zijn browser niet gepatcht had.

http://core.tweakers.net/nieuws/49793/microsoft-patcht-uri-afhandeling-ie7.html