Indhold
Sikkerhedseksperter udtrykker forundring over, at Microsoft har ladet et hul i sin browser, Internet Explorer, stå åbent.
Microsoft er gået over til kun at udsende sikkerhedsrettelser en gang om måneden. I går udsendte Microsofts tre rettelser for januar, men ingen af dem var til Internet Explorer.
Allerede i slutningen af sidste år blev det ellers kendt, at browseren er ramt af et hul, som hackere forsøger at udnytte til at franarre intetanende Microsoft-brugere deres kreditkortnummer.
Fejlen gør det muligt at lede brugere af Microsoft-browseren ind på websteder med en falsk adresse. Brugerne kan ikke umiddelbart se, at det websted, de står på, i virkeligheden ikke er, hvad det giver sig ud for.
Fejlen kan eksempelvis bruges af angribere, som ved at lede brugerne ind på www.visa.com forleder dem til at tro, at de står på kreditkortselskabets hjemmeside. I virkeligheden er de dog et helt andet sted.
Ifølge det danske sikkerhedsfirma Esec har fejlen netop været forsøgt udnyttet til at samle oplysninger om Visa-kort-ejere.
Ole Schmitto, som er direktør for Esec, er nådesløs i sin kritik af, at Microsoft undlader at rette hullet i denne måned.
- Det er ikke troværdigt, at Microsoft tilsyneladende har valgt at ignorere diskussionen om disse fejl, specielt ikke nu hvor de bliver forsøgt udnyttet i praksis, siger han.
Heller ikke Craig Schmuger fra antivirusselskabet Network Associates kan umiddelbart finde en god forklaring på, hvorfor Microsoft ikke har lappet hullet i Internet Explorer. Han mener, at softwareselskabet bliver nødt til at udsende en rettelse på et tidspunkt.
Og måske er den ikke så langt væk. Danskeren Thor Larholm, som for sikkerhedsfirmaet Pivx vedligeholder en liste over sikkerhedsfejl i Internet Explorer, som endnu ikke er rettet, har modtaget oplysninger om, at Microsoft har lukket hullet i en opdatering til Windows XP, Service Pack 2. Han antager derfor, at Microsoft vil udnytte lappen fra opdateringen til Windows XP til at sikre brugere med Internet Explorer på andre styresystemer.
Denne artikel stammer fra Computerworld Online.