Microsoft udsendte mandag februars sikkerhedsopdatering til Windows. Opdateringen lukker tre kendte sikkerhedshuller i browseren Internet Explorer.
Blandt andet ændrer Microsoft nu i den måde, Internet Explorer håndterer adresser (URL).
Netop dette kritiske sikkerhedshul har været anvendt til at forklæde websider fra kreditkortsvindlere som websider fra banker og kreditkortfirmaer. Svindlerne lokker via e-mails bankens kunder til at klikke på et link ved at fortælle dem, at modtagerens kreditkort er blevet misbrugt.
Sårbarheden betyder, at linket kan konstrueres sådan, at der i adresselinjen i Internet Explorer står eksempelvis adressen på bankens hjemmeside. I selve browservinduet vises dog indholdet af svindlerens hjemmeside.
Herhjemme advarer PBS mod at udlevere kreditkortoplysninger, medmindre man er ved at foretage et indkøb.
Rettelsen af denne sårbarhed betyder samtidig, at det ikke længere er muligt at logge ind på en webserver via brugernavn og adgangskode direkte i URL'en.
Det andet sikkerhedshul i februaropdateringen er en fejl i den måde, som Internet Explorer håndterer scripts på tværs af domæner. Dette hul kan misbruges til at afvikle et script på brugerens egen pc i stedet for en webserver.
Det sidste sikkerhedshul findes i forbindelse med Internet Explorers understøttelse af dynamisk HTML (DHTML). Hullet kan udnyttes til at gemme filer på brugerens pc, uden brugeren ved det.
Meddelelsen fra Microsoft nævner udelukkende versioner af Internet Explorer 5 eller nyere på Windows-systemer baseret på Windows NT ? altså også Windows 2000 og Windows XP, samt 64-bit-udgaverne af Windows XP og Windows 2003 Server.
Ifølge Microsofts support i Danmark findes rettelsen dog også til Windows 98 og ME via Windows Update-tjenesten.
Relevante links
Microsofts patch-meddelelse på dansk
Beskrivelsen af opdateringen og sikkerhedshullerne fra Microsoft Tech-web (engelsk)