Den nyeste Microsoft-bulletin advarer mod et alvorligt sikkerhedshul i Internet Explorer. Ved at modificere MIME-headeren i et HTML-baseret e-mail kan man få IE til at åbne og afvikle vedhæftede filer med vilkårlig kode, uden at brugeren bliver spurgt om lov først. Det kan få alvorlige konsekvenser, hvis den vedhæftede fil indeholder en orm som Kournikova eller Loveletter.
I MIME-headeren defineres filtypen for de filer, som er vedhæftet til e-mailen. IE bruger denne information - og ikke filens endelse, f.eks. .jpg eller .exe - til at afgøre, hvordan filen skal behandles. Microsoft fortæller at IE behandler bestemte, ikke nærmere specificerede filtyper forkert og kører filen uden at præsentere brugeren for en dialogboks.
En angriber kan manipulere MIME-headeren og oplyse en falsk filtype, mens den vedhæftede fil i virkeligheden har en endelse som .vbs, .exe eller .com, som betyder at den indeholder programkode. IE reagerer ved at køre indholdet i filen, hvilket kan få alvorlige konsekvenser, hvis filen f.eks. indeholder en virus eller et program som SubSeven.
Ifølge softwarefirmaet er IE 5.01 med Servicepack 2 ikke sårbar overfor problemet, men hullet findes igen i IE 5.5. Sårbarheden optræder kun i forbindelse med HTML-baserede e-mails, og ligger i IE og ikke i postprogrammet; både Outlook og Outlook Express bruger IE til at vise HTML e-mails.
Microsoft har allerede frigivet en patch, der lukker hullet i browseren.
(Kilde: tecchannel.de)
