Mark Litchfield fra Next Generation Insight Security Research Team har fundet et alvorligt sikkerhedshul i Windows 2000, der måske også gælder andre versioner af Windows. Fejlen er rettet i Microsofts seneste Service Pack 3, der kom ud i onsdags.
Men den findes endnu ikke på dansk - og den kan ikke installeres på danske versioner af styresystemet.
Fejlen findes inde i Windows' hjælpesystem. Brugerne kan hurtigt få hjælp i Windows ved at trykke F1, men en hacker kan misbruge systemet ved hjælp en såkaldt "buffer overrun". I værste fald kan en ondsindet hacker få en pc til at afvikle kode.
Sikkerhedshullet kan udnyttes af en hacker, uden at brugeren skal gøre noget. Brugeren kan heller ikke se det.
Hackeren kan sende en HTML-baseret e-mail, og så snart den vises i Outlooks indholdsvindue (preview pane), vil den kunne få pc'en til at afvikle kode.
Sikkerhedshullet er lukket med Service Pack 3, men problemet er, at denne rettelse kun findes til engelske og tyske versioner af Windows 2000. En midlertidig løsning er derfor at ændre sikkerhedsniveauet i Internet Explorer fra "medium" til "høj".
Så kan ActiveX-komponenter nemlig ikke køre uden brugerens godkendelse. Det er ikke nok at køre med sikkerhedsniveau "medium" og derefter deaktivere ActiveX.
Man kan også slette filen winhlp32.exe, men så er der ikke længere noget hjælpesystem i Windows.
