Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 25. november 2005.
Et sikkerhedshul i Internet Explorer er blevet en større trussel efter offentliggørelsen af kode, som udnytter sårbarheden. Microsoft har ingen opdatering klar.
Et endnu ikke lukket sikkerhedshul i Microsofts webbrowser Internet Explorer er blevet en tand mere alvorligt, efter at et britisk sikkerhedsfirma har offentliggjort programkode, der demonstrerer, hvordan sikkerhedshullet kan udnyttes.
Det såkaldte exploit blev offentliggjort af firmaet Computer Terrorism, men eksistensen af sårbarheden har været kendt siden juni.
Microsoft har endnu ikke udsendt en opdatering, som lukker sikkerhedshullet. Derfor tænder sikkerhedseksperter nu advarselslamperne.
Det danske sikkerhedsfirma Secunia vurderer således sikkerhedshullet til at være ekstremt kritisk. Selskabet forhøjede risikovurderingen af sårbarheden, efter exploit-koden blev offentliggjort mandag.
Også den amerikanske organisation SANS Internet Storm Center hævede trusselsniveauet på baggrund af exploit-koden.
Ifølge SANS har eksperter hidtil vurderet, at sikkerhedshullet højst kunne udnyttes til at lamme en sårbar pc.
Den nye kode viser imidlertid, at det er muligt at udnytte sikkerhedshullet til at køre programkode, der kan kompromittere systemet.
Det kræver dog, at brugeren lokkes til at besøge et ondsindet websted.
Sikkerhedshullet findes i Internet Explorers håndtering af Javascript, der kaldes med en bestemt HTML-kommando.
Både Internet Explorer 5.5 og 6.0 er sårbare under Windows 2000 og Windows XP med de seneste sikkerhedsopdateringer.
Microsoft har endnu ikke reageret på den nye situation, men vil formentligt udsende en opdatering - enten i form af en ekstraordinær sikkerhedsopdatering eller i forbindelse med selskabets næste månedlige opdatering i december.
- Jeg vil tro, at Microsoft indfører nødopdaterings-beredskab og udsender en løsning meget hurtigt, siger sikkerhedsforsker Russ Cooper, som redigerer sikkerheds-postlisten NTBugtraq.
Indtil Microsoft lukker sikkerhedshullet, anbefaler Secunia og SANS at slå Javascript fra for alle websteder, man ikke har tillid til.
Sikkerhedshullet er umiddelbart begrænset til Internet Explorer, hvorfor det også kan være en løsning at benytte en alternativ webbrowser.
Forsøgene på at udnytte sårbarheden kan imidlertid gøre visse browsere ustabile.
http://www.secunia.dk/
advisories/15546/
http://isc.sans.org/diary.php?
storyid=874