Det finske selskapet Online Solutions Oy har sendt ut en advarsel om at et ondsinnet nettsted kan bruke en sårbarhet i Internet Explorers håndtering av den over ti år gamle Gopher-protokollen til å ta full kontroll over PC-en til en besøkende.
Gopher-protokollen ble utviklet i begynnelsen av 1990-tallet ved University of Minnesota. (Betegnelsen har ikke noe med den amerikanske varianten av jordrotte å gjøre, men er homonym med "go for", altså "hent" [en fil].) Den ble brukt til å la servere legge ut filer til allmenn benyttelse i en hierarkisk katalogstruktur.
Gopher-baserte tjenester ble for det meste erstattet med http når web ble oppfunnet. Men tradisjonelt har nettlesere fortsatt å tilby den gamle protokollen. Gopher-klienten til Microsofts nettleser Internet Explorer har det Online Solutions kaller en "triviell og tradisjonelt utnyttbar" oversvømt buffer i den delen av koden som leser tilbakemeldingen fra en Gopher-server. Et nettsted kan få en bruker til å klikke på en lenke som utløser en minimalistisk Gopher-server. Når denne sender en melding tilbake til brukeren, og oversvømmer bufferen med en bestemt sekvens, kan nettstedets server gjøre hva den vil med den besøkendes PC.
_logo.svg.png){kind=logo}
Online Solutions har laget et eksempel som viser at dette virker.
Heldigvis er løsningen på problemet nærmest triviell: Gå til "Verktøy"-menyen i Internet Explorer og velg "Alternativer for Internett". Der velger du "Tilkoblinger" og klikker på "LAN-innstillinger". Her krysser du av for "Bruk proxy-server" og klikker på "Avansert". Da får du en liste over forskjellige typer servere som Internet Explorer håndterer. I linjen for Gopher skriver du "localhost" i rubrikken "Proxy-adresse som skal brukes", og "1" i rubrikken "Port". Det er nok til at utenforstående Gopher-servere ikke får tilgang, og du vil sannsynligvis aldri merke at din evne til å bruke Gopher-tjenester er borte.
Microsoft har ennå ikke lagt ut noen fiks, men følg gjerne med på Microsoft Technet.
