Microsofts nettleser og e-postlesere atter en gang usikre

Å løse et sikkerhetsproblem raskt og effektivt er ofte en fordel - så lenge man ikke lar det gå på bekostning av kvaliteten.

Hackere har "gjenoppdaget" et hull som Microsoft tidligere har tettet - bare ikke godt nok. Dette ble rapportert til Bugtraq i går av den kjente sikkerhetshulljegeren Georgi Guninski.

Problemet rammer Internet Explorer 5.5, og både Outlook og Outlook Express.

Selve sikkerhetshullet er gjennom chm-filer, et komprimert hjelpefilformat, sa Guninski. Dette ble Microsoft visstnok gjort kjent med allerede den 15. november.

Ifølge Guninski kan sikkerhetshullet enkelt tettes ved å slå av aktiv scripting i nettleseren. Denne funksjonen har gjentatte ganger blitt misbrukt av hackere.

Forrige gangen Microsoft tettet det samme hullet gjorde de det ved at filer av denne typen ikke kunne kjøres eksternt, altså måtte de ligge lokalt på maskinen de skulle kjøres på. Den nye måten å utnytte dette hullet på er ved å finne ut hvor gamle Internett-filer blir liggende, og dermed kunne kjøre dem lokalt.

- Så fort man kjenner til hvor gamle Internett-filer lagres er det mulig å legge en chm-fil i denne katalogen, og så benytte seg av funksjonen "window.showHelp()" for å kjøre den. Det finnes andre måte å gjøre dette på også, men dette er den desidert enkleste, skriver han.

Til toppen