Microsoft tetter skrekkens hull i Internet Explorer

Microsoft har slått til med en sikkerhetsfiks som tetter alle kjente sikkerhetshull i Internet Explorer 5.5 og 6.0, også det Bugtraq nektet å gi detaljer om.

Det ble tidligere denne uken kjent at den finske sikkerhetseksperten Jouko Pynnonen fra Online Solutions Oy hadde informert Microsoft i november om en svakhet i filnedlastingen i Internet Explorer 5.5 og 6.0. Sårbarheten var så alvorlig at Pynnonen og Bugtraq ikke ville publisere detaljert informasjon, av frykt for at hackere kunne lykkes i å utnytte den før Microsoft fikk lagt ut en fiks. Svakheten gjør det mulig for et nettsted å legge ut filer som nettleseren oppfatter som harmløse bilder eller dokumenter, men som i virkeligheten er eksekverbare filer som kjører på PC-en straks nettleseren viser dem.


Microsoft karakteriserer sikkerhetshullet som kritisk, og anbefaler alle å installere fiksen som er lagt ut på Microsoft Security Bulletin MS01-058. Fiksen tetter igjen dette sikkerhetshullet og alle tidligere kjente hull i de aktuelle utgavene av Internet Explorer, heter det.

Det går fram at hullet som Pynnonen oppdaget, i virkeligheten består av tre ulike svakheter, innen nedlasting av filer, visning av filnavn og en funksjon innen domeneverifisering. Uten fiksen er Internet Explorer forsvarsløs over en bestemt form for bevisst misvisning av headerinformasjonen til en html-side, slik at nettleseren tror at filer html-siden inneholder lenker til, ikke er eksekverbare filer men vanlige dokumenter.

Microsoft understreker det store ødeleggelsespotensialet som ligger i disse svakhetene, både på det åpne Internettet og på interne nettverk.

Det er ingen begrensninger overhodet på det skadeverket som gjennomføres av kode som gjemmer seg under uskyldige dokumenter av forskjellig slag. Offeret kan gjerne gis tilgang til det ønskede dokumentet, uten å merke at det i bakgrunnen installeres en bakdør, en ødeleggende tidsinnstilt bombe eller en passordfanger.

Fordi e-postklienter som Outlook, Outlook Express og Eudora nytter funksjonalitet fra Internett Explorer i sin håndtering av html, vil det være mulig å oppnå det samme skadeverket ved å sende offeret en html-formatert e-post med en lenke til for eksempel interessante bilder.

Tenk på det, neste gang du sender vennene dine en kopi av en nettside med for eksempel vitsetegninger om bin Laden!

Oppdaterer man Internet Explorer ved å laste ned den nye fiksen, slipper man problemer etter hvert som hackere begynner å leke seg med disse sikkerhetshullene. Erfaringsmessig utløses de største skadene når hackere utnytter kjente hull som brukerne ikke har brydd seg om å tette.

Til toppen