IE feiltolker IP-adresser

En dansk webmaster har oppdaget at Microsofts nettleser, Internet Explorer, ikke håndterer en alternativ representasjon av IP-adresser på riktig måte. Dette kan utgjøre en fare for brukere med spesielle innstillinger for bruk av IE i forbindelse med intranett.

Det nye sikkerhetshullet, the WorldWideWait bug, ble oppdaget av Sune Hansen, en dansk webadministrator for nettstedet WorldWideWait. Hullet gjør at en webadministrator kan få sine websider til å narre IE 4 til å tro at den har aksessert en side innenfor et lokalt intranett istedenfor enn en offentlig side på Internett.

Fordi man i Internet Explorer kan stille inn forskjellige sikkerhetsnivåer for tilgang på intra- og Internett, vil antakelig endel brukere av nettleseren ha satt lavere sikkerhetskrav til aksesser på intranettet enn på aksesser til Internett. Når nettleseren tror at den aksesserer en intranettside mens den i virkeligheten aksesserer en Internett-side, kan ondsinnede webadministratorer utnytte den lavere sikkerheten nettleseren da åpner for. Dette kan gjøre for ved lure inn aktivt innhold, for eksempel en ActiveX-kontroll, uten at brukeren av nettleseren blir advart om dette.

En IP-adresse (Internet Protocol) representeres vanligvis av fire tresifrede tall med punktumer i mellom. Men de kan også representeres ved hjelp av ett tall. Dette gjøres ved ta det første av de fire numrene i en vanlig IP-adresse og multiplisere dette med 256 opphøyd i tredje (16777216), så tar man tall nummer to i IP-adressen og multipliserer det med 256 opphøyd i andre (65536), det tredje tallet i IP-adressen multipliserer man med 256, og så legger man disse tre produktene med det fjerde tallet i IP-adressen. IP-adressen til digi.no, 193.214.213.42, kan da skrives som 3252081962. Prøv gjerne å skrive http://3252081962 i nettleseren din.

Problemet med Internet Explorer er at den er avhengig av at brukeren benytter det vanlige formatet for IP-adresser, det vil si det som består av fire tall med inntil tre siffer, for å avgjøre at den aksesserer en offentlig webside på Internett. Hvis nettleseren kommer over en IP-adresse uten punktum, vil den si at den har funnet en webside på et lokalt nettverk eller på et intranett.

Microsoft har bekreftet at feilen eksisterer og har startet arbeidet med en fiks. I mellomtiden anbefales det at man ikke har svakere sikkerhet for intranettsonen enn for den offentlige Internett-sonen i IE. Brukere som ikke har gjort endringer i disse innstillingene, har lik sikkerhet for begge soner.

(Kilder: WorldWideWait, NTBUGTRAQ, News.com)

Til toppen