Microsoft endret fredag vurderingen av en et nytt sikkerhetshull funnet i Internet Explorer 5.5 og 6 tidligere i forrige uke fra å være en moderat trussel til å være kritisk. I det opprinnelige varselet het det ifølge News.com at hullet ikke ville gjøre det mulig for uvedkommende å overføre programvare til sårbare maskiner som kan endre eller slette filer.
Men etter en rekke innlegg som er blitt sendt til Bugtraq, skriver selskapet nå at en ondsinnet bruker kan kjøre kode på en brukers PC via spesielt lagde websider eller e-postmeldinger.
Les også
Thor Larholm, sikkerhetsforsker og blant de som har skrevet til Bugtraq om at hullet var mer alvorlig enn det Microsoft opprinnelig ga beskjed om. Han er ikke nådig i sin kritikk av selskapets håndtering av denne saken.
- Microsoft har gitt denne sårbarheten en alvorlighetsgrad på maksimalt "moderat", skriver Larholm i et innlegg til Bugtraq.
- Flott, så tilfeldig kommandoeksekvering, fillesing lokalt og komplett systemkompromittering er nå bare moderat alvorlig, ifølge Microsoft.
Larholm mistenker Microsoft for å bagatellisere dette sikkerhetshullet med vilje for å få mindre dårlig presseomtale. Det er klart det ser dårlig ut når de må utgi to kritiske, kumulative feilfikser på bare to uker, men det er nettopp det som er blitt gjort.
Microsoft forsvarer seg med at selskapet rett og slett hadde oversett en viktig detalj da hullet ble vurdert første gang. Men Larholms innlegg på Bugtraq skal ifølge selskapet ha fått det til å utføre ytterligere testing.
Larholm kjøper dog ikke forklaringen til Microsoft:
- Det ser ut som om Microsoft har vært i stand til å reprodusere et utnyttbart scenario allerede før jeg fikk muligheten til å gjøre mine demonstrasjoner for dem. Jeg er fornøyd med at sikkerhetsbulletinen fra Microsoft er blitt oppdatert, men jeg hadde forventet at den skal skulle være sannferdig fra begynnelsen av uten behov for offentlig granskning, sier Larholm til News.com
Det må understrekes at sikkerhetsfiksen til Microsoft i dette tilfellet ikke er blitt endret. De som installert den i forrige uke trenger altså ikke å gjøre dette på nytt. De som ikke har installert den bør snarest gjøre dette. Sikkerhetsfiksen kan lastes ned fra denne siden.
