Feil i IE 4.02 kan gi datatap

Brukerne av Microsofts Internet Explorer 4.02 risikerer at filene på deres harddisker blir ødelagt eller slettet.

Feilen, som ifølge CNET ble oppdaget av en student ved Massachusetts Institute of Technology (MIT), gjør at ondsinnede web-administratorer kan lage en Java-applet som kan slette eller ødelegge filer på en Windows-basert datamaskin. Brukerne må besøke det stedet hvor appleten opptrer. Med mindre brukeren kjører et Java-overvåkingsprogram vil appleten automatisk starte opp uten at den oppdages. Bak teppet vil den da arbeide for å ødelegge brukerens filer.

Problemet skyldes ikke Java selv, men Microsofts implementasjon av Java i deres siste betautgave av Internet Explorer versjon 4 (IE 4.0). Feilen påvirker også Explorer 3.0, men kun når nettleseren brukes sammen med betautgaven av Microsofts Java SDK (Software Developement Kit) 2.0. Macintosh-brukere blir ikke berørt av dette.

-Microsoft kjenner til feilen og vil rette på den i de endelige utgavene av Internet Explorer 4.0 og Java SDK 2.0, sier Kevin Unangst, produktsjef hos Microsoft, til CNET.

IE 4.0 skal være klar den 30. september og den nye Java SDK-en på omtrent samme tid. Imens har Microsoft lagt ut mer informasjon på sin sikkerhets-webside for Explorer.

For å ødelegge en fil må ondsinnede applet-utviklere vite det eksakte navnet og plasseringen på den ønskede filen. Men plasseringene til mange av systemfilene til Windows, for eksempel autoexec.bat, er lette å gjette seg til.

-Dette kan effektivt slette hele harddisken din, sier Timothy Macinta til CNET, Macinta er Java-konsulent, men som student ved MIT hjalp han til å oppdage en annen feil med Internet Explorer tidligere i år.

Feilen kan kun utnyttes gjennom en kombinasjon av Java og DirectX, Microsofts sett med programmeringsgrensesnitt som hjelper utviklere å bygge spill og andre multimedia-applikasjoner.

Java sikkerhetsmodellen forhindrer normalt appleter å skrive til brukerens harddisk. Men hvis man bygger inn en viss bit med DirectX-kode inn i en Java-applet, kan man ved hjelp av Microsofts versjon av Java sikkerhetsmodellen omgå dette. Hvis en applet-utvikler retter koden mot en spesifikk fil, vil den legge koden til filen og ødelegge den.

Feilen kan, ifølge CNET, ikke legge til virus til en harddisk. Den vil heller ikke la ondsinnede programmerere lese eller stjele filer fra disken.

Til toppen