Sikkerhetshull i Internet Explorers feilmeldinger

I februar fikk Microsoft vite at "vennlige" feilmeldinger i Internet Explorer kan gi uvedkommende adgang til PC-en. Feilen er ennå ikke rettet.

Internet Explorer leveres med et antall interne, HTML-basert ressursfiler. De fleste av disse brukes til å gi egne feilmeldinger for HTTP-feil på websider. Dette kalles i den engelskspråklige utgaven av Internet Explorer for "Friendly HTTP error messages". Disse filene er for en stor del basert på den samme grunnleggende koden, men med små variasjoner i innholdet for hver ressurs.

    Les også:

Sikkerhetsselskapet GreyMagic Software oppdaget i februar i år en valideringsfeil i disse feilmeldingene. Problemet skal være at koden sidene bygger på tar den opprinnelige URL-en som parameter for å vise det fulle servernavnet på siden med feilmeldingen. Dette kan utnyttes av ondsinnede til å legge inn et skript som kan kjøres i den lokale sikkerhetssonen på PC-en.

Flere detaljer om dette finnes du på denne siden.

GreyMagic hevder at Microsoft fikk beskjed om denne sårbarheten allerede 20. februar i år og at selskapet har bekreftet at feilen den gang eksisterte Internet Explorer 6 og alle eldre utgaver av nettleseren. Men feilen er fortsatt ikke blitt rettet.

Ifølge GreyMagic har Microsoft antydet at feilen vil rettes i en framtidig servicepakke til Internet Explorer 6.

Det er i Internet Explorer fullt mulig å skru av de "vennlige" feilmeldingene. Dette gjøres fra arket med avanserte innstillinger som er tilgjengelig fra Verktøy-menyer i Internet Explorer. (På norsk: "Vis egendefinerte HTTP-feilmeldinger".)

Secunia anbefaler i stedet brukerne å deaktive "Active scripting"-funksjonen i den lokale sikkerhetssonen. Dette gjøres ved å åpne programmet "regedit" og finne fram til denne nøkkelen:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Her må man endre verdien for oppføringen "1400" (Active Scripting) fra "0" (aktivert) til "3" (deaktivert).

Til toppen