Computerworld News Service: Microsoft er i gang med at undersøge en velkendt fejl i Internet Explorer, som kan udnyttes til at skaffe sig adgang til brugernes informationer og konti på nettet.
Fejlen gør det muligt for hackere at overtage web-mailkonti, stjæle data og udsende falske Twitter-meddelelser, skriver sikkerhedsingeniøren Chris Evans fra Google i et indlæg på mailing-listen Full Disclosure.
Han har desuden offentliggjort en demonstration af, hvordan fejlen i IE8 kan bruges til at styre en anden persons Twitter-konto og udsende uautoriserede tweets.
Lang forhistorie
Sårbarheden, der er kendt som en "CSS cross-origin theft"-fejl, har en lang forhistorie.
Forskere ved Carnegie Mellon University, som for nyligt har udsendt en rapport om emnet (download PDF), har sporet den helt tilbage til 2002.
Forskerne vil præsentere rapporten under Conference on Computer and Communications Security, som finder sted i næste måned.
Alligevel har fejlen ikke fået meget opmærksomhed, før Chris Evans begyndte at blogge om den i december 2009. Han havde indsendt en fejlrapport til Chrome otte måneder tidligere.
Microsoft har ikke taget hånd om sårbarheden i IE8 endnu, men andre browsere, som for eksempel Firefox, Chrome, Safari og Opera, er blevet rettet.
Google har løs fejlen
Google tog sig af fejlen i Chrome sidste januar, mens Mozilla gjorde det samme i juli med Firefox 3.6.7 og Firefox 3.5.11.
IE9 indeholder en rettelse af fejlen. Microsoft har planer om at udsende en offentlig beta af IE9 15. september.
"Jeg har ikke haft succes med at overtale leverandøren til at lave en rettelse," siger Chris Evans om Microsoft.
Microsoft er i gang med at undersøge Chris Evans' rapporter, men virksomheden vil ikke at svare på spørgsmål om, hvorvidt tidligere versioner af IE er sårbare, og om hvorfor Microsoft ikke har rettet fejlen før.
Oversat af Marie Dyekjær Eriksen
