Ny Explorer-fiks skal være den rette

Den kumulerte sikkerhetsfiksen for Internet Explorer som nylig ble trukket etter to timers tilgjengelighet, har gjenoppstått i ny og forbedret versjon.

Den siste uken før jul - altså etter tettingen av den store "skrekkens hull" - ble det oppdaget nye oppsiktsvekkende sårbarheter i Internet Explorer. Microsoft la ut en kumulert fiks for seks ulike sårbarheter på nettstedet Microsoft Security, hvorav tre "kritiske", torsdag 7. februar, men trakk dem etter to timer. Da hadde eksperter allerede rukket å teste dem, og konstatere at fiksene ikke tettet hullene de var ment å tette.

Sårbarhetene skal nå være endelig fikset, og anbefales installert av alle brukere. De gjelder måten Internet Explorer åpner eksterne dokumenter, håndterer HTML-kode og kjører visse typer skript. Kyndig utnyttelse av sårbarhetene gir utenforstående muligheten til å fjernstyre offerets PC.

Microsofts håndtering av disse sårbarhetene, spesielt av "Document Open"-hullet som ble kjent i desember, har vakt kritikk i sikkerhetskretser. Kritikken gjelder både sendrektighet i kunngjøring av fiks, og mangel på åpenhet, og kommer fra blant andre David Ahmad i Bugtraq.

To europeiske eksperter, briten Tom Gilder og dansken Thor Larholm, viste i forrige uke - før den mislykkede fiksen ble publisert - hvordan sårbarhetene i Internet Explorer kunne utnyttes til å gi utenforstående muligheten til å ta over offerets MSN Messenger identitet, og bruke denne til å gjøre offerets samtalepartnere til nye ofre. De har lagt ut en rapport om dette forholdet på nettstedet MSN Messenger Hijacking. De har også bidratt til en oversikt over sikkerhetshull i Internet Explorer som Microsoft ennå ikke har tettet.

Til toppen