En sikkerhetsfeil i Internet Explorer gjør at hackere kan lese filer på din datamaskin, bare du leser en e-post eller besøker et nettsted. Denne feilen er bare en av seks som lappes av den siste samlede sikkerhetsoppdateringen for Internet Explorer. Plasterlappen har offisiell ID Microsoft Security Bulletin MS02-023, og er beregnet på Explorer 5.1, 5.5 og 6.0, skriver danske Telia Security Group.
En av hullene, en cross site scripting-feil i den lokale HTML resource, kan tillate at et skript blir kjørt i lokale sone selv om det befinner seg i Internett-sonen.
Det er også snakk om lapping av problemer med et HTML-objekt som gir støtte til Cascading Style Sheets, som gjør at en angriper kan lage et nettsted eller sende ut en HTML-mail som inneholder kode som gir ham eller henne adgang til filer på maskinen din, bare du ser på e-posten eller besøker nettstedet.
Det lappes også mot en script-feil i cookie-funksjonaliteten i Explorer. Denne feilen gjør det mulig å lage en cookie med et script som kan lese av innholdet av en cookie som er plassert av et annet nettsted. Sikkerhetseksperter har demonstrert hvordan dette kan brukes til for eksempel å kapre kapre Hotmail-konti.
Zone spoofing-feilen lappes også med den nye oppdateringen. Denne feilen kan tillate at et nettsted blir avviklet i intranet-sone med mindre restriksjoner, med mulighet for å avvikle ondsinnet kode uten at brukeren trenger delta, skriver Telias Peter Kruse i sin e-postvarsling.
I tillegg lappes to nye varianter av Content Disposition-feilen, som også tidligere har vært omtalt i offisielle sikkerhets-bulletiner fra Microsoft. Disse feilene gjør det mulig å lure Explorer til å tro at en nedlastbar fil er sikker, selv om den vanligvis skulle klassifiseres som usikker.
Kruse har testet oppdateringen på flere Windows 9x og 2000-maskiner, og har ikke funnet noen problemer med den. Han anbefaler at du oppdaterer snarest.
Flere opplysninger om MS02-023, samt selve sikkerhetspakken, kan hentes på lenken under:
