Bulgarske Georgi Guninski har endnu engang påvist, at det kan lade sig gøre at snyde Microsofts program-motor Windows Scripting Host til at køre farlig kode. Microsoft har ellers lappet og patchet på sin WSH til den helt store guldmedalje - ikke mindst som reaktion på de mange huller, som Guninski allerede har afsløret - men alligevel lykkes det stadig for fejljægeren at finde nye sårbarheder.
Denne gang har Guninski afsløret, at XML-filer behandles anderledes end HTML. Med en snedig kombination af XML og XSL - krydret med lidt Active Scripting - kan man snyde systemet til at afvikle kode helt automatisk og uden brugerens viden. I forbindelse med e-mails kan man f.eks. plante en virus på brugerens system, uden at man først behøver åbne en vedhæftet fil.
Sikkerhedsfirmaet Telia Security Group vurderer, at sårbarheden kan blive en alvorlig sikkerhedstrussel. Der hersker forvirring om, hvilke versioner af IE der er sårbare; Microsoft fortæller at man ikke kan reproducere fejlen på en IE 5.5 med alle patches installeret, men Telia Security Group fortæller at svagheden også optræder i IE 5.5.
Sårbarheden skyldes tilsyneladende en fejl i WSH, som betyder at kode i XSL-filer bliver afviklet automatisk, selvom Active Scripting er deaktiveret i Internet Explorer. Telia Security Group anbefaler at man opdaterer WSH med en patch fra Microsoft, der kan hentes på nedenstående adresse.
