Indhold
Ifølge sikkerhedsfirmaet Eeye Digital Security har Microsoft udsendt en uvirksom fejlrettelse til et kritisk hul i browseren Internet Explorer.
Fejlrettelsen blev udsendt 20. august, men ifølge Eeye virker fejlrettelsen ikke, og det bekræftes af andre sikkerhedsfirmaer.
Fejlen skyldes, at browseren ikke undersøger typen af de objekter, som en webserver kan returnere. Hullet kan udnyttes ved at lokke brugeren ind på en webside, som indeholder den ondsindede kode.
Det kan give angribere mulighed for at afvikle et vilkårligt script på brugerens maskine, med samme rettigheder som brugeren. Hullet kan også udnyttes af angribere ved at sende en e-mail i HTML-format til brugere, som benytter Microsofts mail-klienter.
Hullet berører alle versioner, undtagen Internet Explorer på Windows Server 2003, hvor fejlen kun betegnes som moderat. Eeye og andre sikkerhedsfirmaer råder alle brugere til at slå "Active scripting" fra.
Det gøres ved at åbne Internet Explorer, gå ind i menuen Funktioner > Internetindstillinger. I den fremkomne dialog vælges fanebladet Sikkerhed, og dernæst klikkes der på knappen Brugerdefineret niveau. Find punktet Script, Active-scripting i den fremkomne liste, og sæt indstillingen til Deaktiver.
Marc Maiffret, som er Eeyes ledende chef inden for hacking, påpeger over for nyhedstjenesten Cnet, at det er væsentlig nemmere at skrive et script end at skulle udnytte en buffer-fejl, som ellers er en ofte forekommende fejltype, der fører til sikkerhedshuller.
Marc Maiffret kritiserer Microsoft for at have kendt til hullet i fire måneder, uden at det endnu er lykkedes at lukke det. Han konstaterer, at der nok er en reel interesse fra Microsoft side i at løse sikkerhedsproblemer i firmaets software, men at firmaet tilsyneladende ikke undersøger problemerne til bunds. Maiffret mener, at Microsoft har for få kompetente sikkerhedsfolk i organisationen.
Microsoft er blevet gjort opmærksom på, at rettelsen til Internet Explorer ikke virker, og selskabet undersøger nu sagen.