Microsoft og Mozilla beskylder hinanden for browserhul

Et sikkerhedshul lader Internet Explorer udføre skadelige kode gennem Firefox, så hvis fejl er det? Beskyldningerne går begge veje.

Det kan blive en blandet fornøjelse at browse med Internet Explorer på en maskine, hvor Firefox også er installeret.

Explorer kan nemlig sætte en proces igang, som åbner Firefox og derefter udfører skadelig kode.

Det tillader dermed en angriber at udføre ondsindet kode i form af et såkaldt 0-day exploit eksternt på en maskine, der kører Internet Explorer, og hvor Firefox samtidig er installeret.

Ved at lokke en Explorer-bruger til et website, der udnytter fejlen, kan angriberen få Firefox til at udføre koden uden først at undersøge og evaluere den for sikkerhedsproblemer.

Ifølge den danske sikkerhedsekspert Thor Larholm, der opdagede problemet, tillader det, at man kan specificere arbitrære argumenter til den proces, der håndterer URL-protokoller. Det sker ved at bruge tegn, som kommaer eller citationstegn, der ikke kan bruges direkte i et URL eller en kommandolinje.

Men hvis skyld er det så? Det er Mozilla og Microsoft overraskende nok ikke helt enige om, og de har begge travlt med at placere ansvaret hos modpartens browser.

Window Snyder, der leder sikkerheden ved Mozilla, skriver på Mozillas sikkerhedsblog, at Mozilla vil opdatere Firefox, så browseren ikke længere tillader skadelig kode fra Explorer.

Snyder understreger samtidig, at kun folk, som surfer med Microsofts browser, er åbne for angrebet. Hun mener, årsagen er, at et link kan få Explorer til at aktivere et andet Windows-program og videregive et link, uden at det undslipper citationstegnene, og at ansvaret derfor ligger hos Microsoft. Hun anbefaler på den baggrund, at folk kun surfer med Firefox.

Ved Microsoft afviser program manager for sikkherhed, Mark Griesi, at hullet skulle være Microsofts problem.

»Vi mener ikke, der er tale om et problem i Internet Explorer, og derfor er der ikke noget, der skal opdateres,« siger Griesi til it-nyhedssiden PcAdvisor.co.uk.

Jesper Johansson, en tidligere ledende sikkerhedsstrateg for Microsoft, argumenterer også for, at problemet helt sikkert ikke skyldes Explorer. Han beskrev derimod på sin blog, at Firefox ikke bekræfter sine parametre korrekt, og at problemet derfor ligger hos Mozilla.

Thor Larholm beskrev sikkerhedshullet på sin blog. Det førte også hurtigt til diskussioner om, hvor problemet lå. Larholm vurderer selv, at problemet ligger i Internet Explorer, fordi browseren tillader, at brugeren specificerer, at den skal udføre flere handlinger, end det var intentionen.

Sikkerhedshullet minder ifølge Larholm om et tilsvarende problem, han selv påpegede i Safari til Windows, og som Apple lukkede få dage senere.

Det danske sikkerhedsfirma Secunia
registerer dog problemet som et brist i Firefox og kategoriserer det som "højest kritisk". Secunia bekræfter også på deres side, at sikkerhedshullet fungerer på en en maskine, der kører Windows XP med service pack 2.

Endnu en sikkerhedsekspert kendt for fokus på huller i browsere, Aviv Raff, skriver på sin blog, at begge firmaer har et problem - Mozilla på grund af den måde, de lader Firefox registrere protokol-håndtering, og Microsoft for den måde Explorer viderefører eksterne applikationer.

Roger Thompson, teknisk leder i Exploit Prevention Labs, vurderer overfor it-nyhedssiden The Register, at problemet er størst for Internet Explorer, fordi Firefox trods alt advarer brugeren, hvis han forsøger at benytte sikkerhedshullet direkte i Firefox.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere