Microsoft tetter skrekkens hull i Internet Explorer

Microsoft karakteriserer sikkerhetshullet som kritisk, og anbefaler alle å installere fiksen som er lagt ut på Microsoft Security Bulletin MS01-058. Fiksen tetter igjen dette sikkerhetshullet og alle tidligere kjente hull i de aktuelle utgavene av Internet Explorer, heter det.

Det går fram at hullet som Pynnonen oppdaget, i virkeligheten består av tre ulike svakheter, innen nedlasting av filer, visning av filnavn og en funksjon innen domeneverifisering. Uten fiksen er Internet Explorer forsvarsløs over en bestemt form for bevisst misvisning av headerinformasjonen til en html-side, slik at nettleseren tror at filer html-siden inneholder lenker til, ikke er eksekverbare filer men vanlige dokumenter.

Microsoft understreker det store ødeleggelsespotensialet som ligger i disse svakhetene, både på det åpne Internettet og på interne nettverk.

Det er ingen begrensninger overhodet på det skadeverket som gjennomføres av kode som gjemmer seg under uskyldige dokumenter av forskjellig slag. Offeret kan gjerne gis tilgang til det ønskede dokumentet, uten å merke at det i bakgrunnen installeres en bakdør, en ødeleggende tidsinnstilt bombe eller en passordfanger.

Fordi e-postklienter som Outlook, Outlook Express og Eudora nytter funksjonalitet fra Internett Explorer i sin håndtering av html, vil det være mulig å oppnå det samme skadeverket ved å sende offeret en html-formatert e-post med en lenke til for eksempel interessante bilder.

Tenk på det, neste gang du sender vennene dine en kopi av en nettside med for eksempel vitsetegninger om bin Laden!

Oppdaterer man Internet Explorer ved å laste ned den nye fiksen, slipper man problemer etter hvert som hackere begynner å leke seg med disse sikkerhetshullene. Erfaringsmessig utløses de største skadene når hackere utnytter kjente hull som brukerne ikke har brydd seg om å tette.