Secunia melder om at eksempelkode (PoC) for utnyttelse av en sårbarhet i Internet Explorer som sikkerhetsselskapet først registrerte i mai i år, nå er blitt publisert. Sårbarheten har fram til nå ikke blitt regnet som spesielt alvorlig, men Secunia har nå økt alvorlighetsgraden til «ekstremt kritisk».
Slik eksempelkode kan gjøre det enklere for ondsinnede å lage programvare som utnytter sårbarheten til å få tilgang til en brukers maskin, men kan også gi IT-administratorer råd om hvordan de best kan beskytte seg, inntil en sikkerhetsfiks er klar.
Microsoft skal ha hatt minst halvt år på seg til å tette sikkerhetshullet, men skal til nå ikke en gang ha bekreftet at det eksisterer.
Problemet skyldes at objekter ikke initialiseres korrekt nå "window()"-funksjonen benyttes sammen med "<body onload>"-hendelsen. Dette kan utnyttes til å kjøre vilkårlig kode ved hjelp av spesielt utformede skript basert på JavaScript, som kalles i det en webside lastes.
Et eksempel på dette er:
<body onload="window();">
Sårbarheten krever at brukeren åpner en webside ved et ondsinnet nettsted, eller ved at websiden mottas som vedlegg til e-post.
Sårbarheten er bekreftet i et fullt oppdatert system med Windows XP og service pack 2, samt i et Windows 2000 SP4-system med Internet Explorer 6.0. Den skal også finnes i Internet Explorer 5.5.
Mer informasjon, samt lenke til eksempelkoden, finnes på denne siden.
