Nytt IE-hull skremmer vettet av Microsoft

Den finske IT-sikkerhetseksperten Jouko Pynnonen har funnet en sårbarhet i Internet Explorer som er så stor at ikke en gang Bugtraq tør å offentliggjøre detaljene.

Jouko Pynnonen er godt kjent i internasjonale sikkerhetskretser for sine mange avsløringer av sårbarheter i en rekke systemer og applikasjoner, blant annet Microsofts nettleser Internet Explorer og Suns operativsystem Solaris. Han er ansatt som forsker i det finske IT-sikkerhetsselskapet Online Solutions Oy.

Pynnonen varslet Microsoft 19. november om en metode for å legge ut ondsinnet kode til nedlasting fra et vanlig nettsted, slik at det er mulig å kamuflere eksekverbare filer som tekst, bilde, lyd eller andre passive dokumenter. Når brukeren klikker på filen, får hun opp den vanlige dialogboksen, der man har valget mellom å lagre filen lokalt, eller åpne den med en gang. Velger man å åpne filen, gir ikke Internet Explorer det vanlige varselet om at filen er eksekverbar.

Det brukeren tror er et tekstdokument, en videosnutt eller et bilde, kan i stedet være kode som installerer en bakdør, et virus eller en tjenestenektagent på PC-en. Det understrekes at brukeren har ingen mulighet til selv å kontrollere om filen er eksekverbar eller ikke. Selv om det faktisk vises et dokument, et bilde eller en videosnutt, kan det samtidig gjennomføres et datainnbrudd som offeret ikke er i stand til å oppdage.

Det kreves ikke aktiv skripting for å utnytte sårbarheten, slik at det vanlige sikkerhetstiltaket for å besøke ukjente nettsteder, å slå av aktiv skripting, ikke har noen som helst virkning.

Online Solutions har demonstrert sårbarheten med Internet Explorer 5.5 og 6.0. I versjon 5.0 er den ikke fullt så effektiv, siden filens kamuflasje gjennomskues og den identifiseres som eksekverbar. Brukerdialogen inneholder følgelig ordet "eksekvere" i stedet for "åpne", og et sikkerhetsvarsel vises dersom man velger "eksekvere", selv om filnavnet fortsatt ser like uskyldig ut.

Selskapet oppfattet sårbarheten som så kritisk, at det ble enig med Bugtraq om at nærmere detaljer ikke måtte offentliggjøres. De mer generelle opplysningene ble diskret lagt ut 26. november.

Microsofts første reaksjon var å avvise sårbarheten som uvesentlig, ved å vise til den allmenne regelen at man uansett ikke bør laste ned filer fra nettsteder man ikke kjenner. Sårbarheten innebærer ikke at selve serveren kan kamuflere seg. Følgelig vil maskiner som misbrukes, lett la seg oppspore.

En mer detaljert beskrivelse som ble sendt til Microsoft og Bugtraq 28. november, later imidlertid til å nærmest å ha skremt vettet av selskapet. Online Solutions tilbyr sikkerhetseksperter en demonstrasjon av sårbarheten, mot at de skriver under på en avtale om ikke å offentliggjøre noe om det de gjøres vitne til. Ifølge Newsbytes bekrefter uavhengige eksperter som har fått denne innføringen, at sårbarheten er svært alvorlig.

Sårbarheten har ringvirkninger til e-postklienter, blant dem Outlook, Outlook Express og Eudora, som henter funksjonalitet fra Internet Explorer når de skal laste ned filer.

Pynnonen skal nå være engasjert i å teste ut fiksene som Microsoft håper å få lagt ut snart. Imens må man velge en annen nettleser - for eksempel Netscape eller Opera - hvis man vil ta sjansen på å laste ned filer fra ukjente nettsteder. Et annet sikkerhetstiltak er å skru av filnedlastingsfunksjonen i Internet Explorer.

Til toppen