Internet Explorer sårbar gjennom hull i gammel protokoll

Før web var det Gopher. Internet Explorer håndterer protokollen fortsatt, men så dårlig at et ondsinnet nettsted kan ta over PC-en din. digi.no viser deg hvordan hullet kan tettes.

Det finske selskapet Online Solutions Oy har sendt ut en advarsel om at et ondsinnet nettsted kan bruke en sårbarhet i Internet Explorers håndtering av den over ti år gamle Gopher-protokollen til å ta full kontroll over PC-en til en besøkende.

Gopher-protokollen ble utviklet i begynnelsen av 1990-tallet ved University of Minnesota. (Betegnelsen har ikke noe med den amerikanske varianten av jordrotte å gjøre, men er homonym med "go for", altså "hent" [en fil].) Den ble brukt til å la servere legge ut filer til allmenn benyttelse i en hierarkisk katalogstruktur.

Gopher-baserte tjenester ble for det meste erstattet med http når web ble oppfunnet. Men tradisjonelt har nettlesere fortsatt å tilby den gamle protokollen. Gopher-klienten til Microsofts nettleser Internet Explorer har det Online Solutions kaller en "triviell og tradisjonelt utnyttbar" oversvømt buffer i den delen av koden som leser tilbakemeldingen fra en Gopher-server. Et nettsted kan få en bruker til å klikke på en lenke som utløser en minimalistisk Gopher-server. Når denne sender en melding tilbake til brukeren, og oversvømmer bufferen med en bestemt sekvens, kan nettstedets server gjøre hva den vil med den besøkendes PC.

Online Solutions har laget et eksempel som viser at dette virker.

Heldigvis er løsningen på problemet nærmest triviell: Gå til "Verktøy"-menyen i Internet Explorer og velg "Alternativer for Internett". Der velger du "Tilkoblinger" og klikker på "LAN-innstillinger". Her krysser du av for "Bruk proxy-server" og klikker på "Avansert". Da får du en liste over forskjellige typer servere som Internet Explorer håndterer. I linjen for Gopher skriver du "localhost" i rubrikken "Proxy-adresse som skal brukes", og "1" i rubrikken "Port". Det er nok til at utenforstående Gopher-servere ikke får tilgang, og du vil sannsynligvis aldri merke at din evne til å bruke Gopher-tjenester er borte.

Microsoft har ennå ikke lagt ut noen fiks, men følg gjerne med på Microsoft Technet.

Til toppen