Bedriftsteknologi

Bulgarer avslører sikkerhetshull i Internet Explorer

På fire uker har den uavhengige bulgarske sikkerhetskonsulenten Georgi Guninski avslørt og offentliggjort tre alvorlige sikkerhetshull i Internet Explorer.

19. okt. 2000 - 17:03

Guninski bruker fritiden sin på å jakte etter sikkerhetshull i Internet Explorer, Windows 2000, AIX og Netscape. Han er mangeårig bidragsyter til Bugtraq. På sitt eget nettsted, Guninski.com har han hittil i år offentliggjort 23 sikkerhetshull.

I går offentliggjorde han nok en metode som lar en ondsinnet person utforme et nettsted slik at vedkommende får tilgang til filer på lesernes PC-er, dersom leserne bruker Internet Explorer 5.5. Svakheten i Microsofts kode kan også utnyttes ved å sende en spesielt utformet webside til noen som bruker e-postklientene Outlook eller Outlook Express.

På sitt nettsted forklarer Guninski at metoden går ut på å spesifisere en kodebase for en Java-applet som lastes gjennom en objekt-tag og en jar-fil. Han gir et eksempel på kode som setter Java-appletens kodebase til file:///c:/ og slik åpner hele disken. Han skriver at denne svakheten ikke forårsakes av verken Java eller Microsofts Java virtuelle maskin, men i måten kodebasen settes av Internet Explorer. Han legger til at det sannsynligvis ikke er mulig å utnytte sikkerhetshullet til å skrive til offerets disk.

Microsoft ble varslet om sikkerhetshullet på lørdag. Ifølge Cnet arbeider selskapet med en patch.

I slutten av september og begynnelsen av oktober offentliggjorde Guninski to andre sikkerhetshull i Internet Explorer. Disse var mer alvorlige, siden de lot hackeren skrive til disken på offerets PC. Her pekte Guninski blant annet på en ActiveX-komponent som tillot eksekvering av skripter mottatt gjennom eksterne kilder som e-post og websider, i noen tilfeller også på PC-er der den nyeste sikkerhetsoppdateringen av Outlook er oppdatert.

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra