Indhold
I en ny sikkerhedsbulletin fra Microsoft medgiver softwaregiganten, at et hul, hvis risiko tidligere blev betegnet som moderat, må betegnes som kritisk. Det sker efter at en dansk sikkerhedsekspert har kritiseret Microsoft for denne vurdering.
Hullet findes i versionerne 5.5 og 6.0. Det blev opdaget af det israelske sikkerhedsfirma GreyMagic Software. I sin oprindelige sikkerhedsbulletin skrev Microsoft, at hullet kan sætte en angriber i stand til at læse information og afvikle allerede installerede programmer på den angrebne maskine. På den baggrund konkluderede Microsoft, at at faren ved hullet var "moderat".
Sikkerhedseksperten Thor Larholm fra PivX Solutions kritiserede Microsoft i et indlæg på sikkerheds-debatforummet Buqtraq. Til Computerworld Online kaldte Larholm Microsofts betegnelse af fejlen en grov underdrivelse, og sagde, at en angriber kan i praksis bruge hullet til opnå fuld kontrol over det angrebne system, og dermed ændre i filer, formatere harddisken og installere programmer på den angrebne maskine.
Hullet kan udnyttes ved at lokke brugere over på en hjemmeside, der indeholder et bestemt sæt af kodelinier, eller ved at sende koden som en HTML-baseret e-mail. Hvis brugeren åbner mailen eller har preview-funktionen slået til, kan koden aktiveres.
Microsoft har nu medgivet at risikoen eksisterer. Fejlrettelsen, som lukker hullet, kan downloades fra Microsoft.
Thor Larholm advarer om, at der på nuværende tidspunkt kendes 18 huller i Internet Explorer, der endnu ikke er rettet. Af disse er seks "alvorlige".
