Det danske sikkerhedsfirma Secunia advarer om to "ekstremt kritiske" sårbarheder i den nyeste version af Microsofts webbrowser Internet Explorer. Sikkerhedshullerne udnyttes allerede på internettet.
De to sårbarheder bruges til at installere software på pc'en, blot brugeren klikker på et link på en webside. Installationen sker uden advarsler til brugeren.
Det er ifølge Secunia kun Internet Explorer 6, som er ramt. Microsoft har ikke udsendt en fejlrettelse, selv om det rapporteres, at Service Pack 2 til Windows XP forhindrer, at hullerne kan udnyttes.
Udnyttes på internettet
Service Pack 2 til Windows XP er kun i beta-test og er derfor ikke tilgængelig for almindelige Windows-brugere. Derfor er brugerne ifølge Secunia sårbare, selv om de har en fuldt opdateret Windows-pc.
Brugeren skal lokkes til at klikke på et link på en hjemmeside eller i en e-mail, før sårbarhederne kan udnyttes.
De to sikkerhedshuller bliver brugt på internettet til at installere spyware i form af en trojansk hest og adware, som viser popup-reklamer til brugeren.
Sårbarhederne blev på den måde opdaget, da et såkaldt exploit, altså en udnyttelse af sårbarhederne, blev fundet på et websted.
Ingen rettelse fra Microsoft
Microsoft har i dag udsendt sine månedlige fejlrettelser til styresystemet Windows. De to sikkerhedshuller i Internet Explorer er der imidlertid ingen fejlrettelse til.
Den ene sårbarhed gør det muligt via et link på en webside at åbne filer, der ligger lokalt på pc'en. Det kan udnyttes til at gøre systemet sårbart for en hacker eller til at få systemet til at gå ned.
Den anden sårbarhed åbner for, at en hacker via et link kan omgå den indbyggede sikkerhed i Windows, som sætter grænser for, hvad programmer fra internettet må og ikke må.
Det betyder, at programmerne kan afvikles fra internettet med samme rettigheder, som hvis brugeren selv havde aktiveret programmet fra en cd-rom eller en fil på harddisken.
Dermed kan der installeres software på brugerens system, blot han klikker på et link på en webside. Vel at mærke uden advarsler om, hvad der sker.
Relevant link fra Computerworld Online Sikkerhed
Internet Explorer lokal ressource-tilgang og cross-zone scripting