Kritisk kombinasjon av sårbarheter i nettleser

En kombinasjon av sårbarheter i Internet Explorer gir nok en gang brukerne grunn til å være forsiktige.

Secunia melder om at det er blitt rapportert om to sårbarheter i Internet Explorer, som i kombinasjon med andre, kjente problemer kan utnyttes av ondsinnede personer til å komprimittere et sårbart system.

Det ene sikkerhetshullet en sårbarhet kan gi tilgang til å åpne lokale filer ved hjelp av en spesielt utformet URL i "Location:".

Et eksempel på dette er:

"Location: URL:ms-its:C:\WINDOWS\Help\iexplore.chm::/iegetsrt.htm"

Det andre sikkerhetshullet er en cross-zone scripting-feil som kan utnyttes til å kjøre filer i sikkerhetssonen "Local Machine".

Secunia skriver at sårbarhetene eksisterer i et fullt oppdatert system med Internet Explorer 6.0. Det blir dog rapportert at de tidligere utgavene av Service Pack 2 for Windows XP vil forhindre utnyttelse av sårbarhetene ved å nekte angripere tilgang.

Vellykket utnyttelse forutsetter at en bruker kan lokkes til å åpne et ondsinnet HTML-dokument, enten i en e-post eller på en webside.

Ifølge Secunia blir sårbarhetene allere utnyttet aktivt på Internett for å installere adware på brukernes systemer.

Den eneste løsningen foreløpig, bortsett fra å installere en betautgave av SP2, er ifølge Secunia å skru av støtten for Active Scripting, eventuelt kun å besøke nettsteder brukeren kjenner godt fra før.

Til toppen