Chaos: Feil fra Microsoft

- Brukere av Internet Explorer er sikre hvis de holder seg til standardinnstillingen", sier Microsoft. - Feil, sier Hendrik Fulda i Chaos Computer Club.

På Microsofts nye websted for sikkerhetsråd til brukere kommenteres det forholdet at ActiveX-kontrollen til Chaos Computer Club greide å lure seg forbi Authenticode-sperren i Internet Explorer slik:

"Brukere av Internet Explorer er sikre så lenge de holder seg til standardinnstillingene ('by default'). Kontrollen (til Chaos Computer Club) var ikke signert, og etter standardinnstillingen vil ikke Microsoft Internet Explorer 3.0 utføre usignert kode."

– Vi plasserte den aktive koden i erklæringsdelen av ActiveX-kontrollen, og Internet Explorer 3.0 utførte den før den sjekket Authenticode-koden, forteller Hendrik Fulda i Chaos.

– Dette var en lus i 3.0 som siden ble rettet i Internet Explorer versjon 3.0a og senere. Derfor stemmer ikke Microsofts påstand.

Fulda legger til:

– Det er riktig at vi hittil ikke har signert koden vår. Men, bare følg med...

Til toppen