Microsoft har for lengst stoppet utviklingen av Internet Explorer (IE) til fordel for Edge-nettleseren, men IE støttes fortsatt og har ennå mange brukere. Nå melder blant andre ZDNet at det er oppdaget en alvorlig sårbarhet i Explorer.
En sikkerhetsforsker ved navn John Page publiserte nylig tekniske detaljer om en sårbarhet i Microsofts nettleser som gjør det mulig for andre å stjele data fra Windows-maskiner selv om Internet Explorer ikke engang er i bruk.
MHT-filer
Sårbarheten omhandler måten Internet Explorer behandler MHT-filer på. MHT er en forkortelse for MIME HTML Web Archive, som er filformatet blant annet Internet Explorer lagrer websider i lokalt på pc-en.
Ved å utnytte sårbarheten er det mulig for uvedkommende å utføre et såkalt XML external entity-angrep når brukeren åpner en spesialdesignet MHT-fil.
– Dette gjør det potensielt mulig for angripere å hente ut lokale filer og utføre fjern-rekognosering på lokalt installerte programmer, skriver sikkerhetsforskeren, som laget en YouTube-video hvor sårbarheten demonstreres.
Siden Windows i utgangspunktet bruker Internet Explorer som standardprogrammet for åpning av MHT-filer, trenger ikke brukere å ha nettleseren satt som standardnettleser for vanlig webinnhold.
Ikke fikset av Microsoft
Alt som skal til for å rammes av et angrep, er at man har Internet Explorer installert på maskinen – noe alle Windows-maskiner har – og at man narres til å åpne en MHT-fil, som for eksempel kan sendes som vedlegg i en e-post, lynmelding eller via en webside.
Med andre ord et det veldig enkelt å utnytte sårbarheten. Til tross for dette, skal Microsoft ikke ha fikset sårbarheten, som Page skal ha informert Microsoft om den 27. mars.
Ifølge sikkerhetsforskeren opplyste Microsoft at de kommer til å vurdere en fiks i fremtiden, men at de ikke kommer til å gjøre noe med saken nå. Dette var grunnen til at Page valgte å offentliggjøre sårbarheten selv.
Microsoft har som kjent avsluttet videreutviklingen av Internet Explorer, men fortsetter å støtte den med sikkerhetsfikser. Ifølge nettstedet NetMarketShare har nettleseren en markedsandel på 9,8 prosent og er fremdeles den nest mest utbredte nettleseren for pc-er.
Les også: Microsoft advarer mot Internet Explorer og vil ikke at du skal kjøpe Office 2019 »