Sikkerhetshullet ble oppdaget ved Universitetet i Oulu i Finland tidligere denne uken. Det gir seg til kjenne ved at personer som sender e-post til en PC-bruker, med vedlegg der filnavnet inneholder mer enn 200 tegn, kan eksekvere kode på maskinen til denne brukeren og dermed gjøre mye skade.
Årsaken til feilen skyldes at programmeringsspråkene som er brukt til å utvikle Outlook 98 og Outlook Express 4.x fra Microsoft, samt Netscapes Communicator, ikke sjekker lengden til hver streng godt nok. Dette kan føre til at en streng som er for stor til å passe i den biten av minnet som er allokert for strengen, kan låse programmet som eksekveres, samtidig som annen ondsinnet kode kan kjøres.
Programmeringsspråkene det er snakk om, er for eksempel C og C++. Spesielt C lar programmerere være svært slappe med hvordan informasjon lagres i datamaskinens minne. C++ kan til en viss grad beskytte mot slike feil, men tillater også utvikleren å bruke eldre programmeringsmetoder fra C.
Java hindrer derimot slike feil ved å automatisk allokerer mer minne for å imøtekomme en tegnstreng, uansett hvor lang den måtte være. Ulempen med Java er at man på grunn av den omfattende kontrollen som er innebygget i programmeringsspråket, taper mye av den ytelsen man oppnår med C og C++.
Microsoft har nå laget en foreløpig fiks til sine e-post programmer. Fiksen er kun foreløpig fordi selskapet har oppdaget en ny feil, uten å utdype hva denne består i. En ny fiks skal komme så snart som mulig.
Hvis du ikke kan installere fiksen, må du la være å åpne vedlegg med så lange filnavn som det her er snakk om, direkte fra e-post-programmet. Derimot skal du først lagre vedlegget på harddisken, og åpne det derfra, for eksempel gjennom Windows Utforsker.
De berørte Outlook-variantene er Outlook 98 for Windows 95, 98 og NT 4.0, samt Outlook Express 4.x for Windows 95, 98, NT 4.0, Solaris og Mac OS.
Når det gjelder Netscape Communicator, ser det ut til at det kun er Windows-utgavene av Communicator 4.x som er berørt. Også Netscape ber brukerne av disse programmer om å først lagre vedlegg med filnavn på over 200 tegn på disken, før man åpner vedleggene direkte derfra. I tillegg må man stille om Communicator slik at vedleggene ikke åpnes automatisk når man åpner e-post meldingene. Dette kan gjøres ved at man via View-menyen på Messenger velger at vedlegg skal vises som lenker.
Netscape advarer også brukere mot å klikke på File-menyen samtidig som man har valgt en melding som inneholder et slikt vedlegg. Får å få lagret vedleggene, må man dermed høyreklikke på dem og velge fra menyen som da spretter opp.
Netscape lover å ha en fiks klar innen to uker, brukere av Communicator 4.5 PR1 må trolig vente til Netscape 4.5 PR2 kommer. Når dette blir, er uvisst.
(Kilder: Microsoft, Netscape, New York Times)
