Meer informatie

VBScript kan een exemplaar van COM-objecten (Component Object Model) maken waarin de IDispatch-interface wordt geïmplementeerd. Oproepen die tijdens uitvoering worden gekoppeld aan functies op COM-objecten, worden gedaan via een 'verzend'-interface (een interface die tijdens de uitvoering de naam van een methode aanneemt en de oproep vervolgens naar de juiste methode 'verzendt').


In sommige COM-objecten wordt meer dan een verzendinterface geïmplementeerd. In sommige talen (zoals Visual Basic) kan een object op iedere verzendinterface worden aangeroepen. In sommige talen (zoals JScript) kan alleen de standaardverzendinterface worden aangeroepen. Als u de methode CreateObject aanroept in VBScript, wordt de standaardverzendinterface geretourneerd, ongeacht hoeveel secundaire interfaces door het object worden ondersteund. VBScript controleert echter niet of de interface van een object, die wordt geretourneerd door het aanroepen van een methode of een eigenschap, de standaardinterface is.


In eerdere versies van Internet Explorer was sprake van een beveiligingsprobleem waarbij soms een onveilige secundaire interface werd geretourneerd aan de VBScript-engine die dat object vervolgens op een onveilige manier kon gebruiken. Microsoft heeft dit probleem opgelost door VBScript zodanig te wijzigen dat altijd de standaardinterface wordt opgehaald. Hoewel het beveiligingslek door deze wijziging werd beperkt, leidde dit tot compatibiliteitsproblemen met sommige rechtmatige objecten.


In de bijgewerkte versie van MS02-009 wordt deze beperking aangescherpt tot alleen de potentieel onveilige Internet Explorer-objecten. Door deze patch kunnen niet-Microsoft-objecten nu niet-standaardverzendinterfaces gebruiken in VBScript.


Voor meer informatie over dit beveiligingslek gaat u naar de volgende Microsoft-website: