Skiftet mening om kryssnettleser-feil

Microsoft skal likevel lage en sikkerhetsfiks til en IE-feil som åpnet en sårbarhet i Firefox.

I juli i år ble det kjent en sårbarhet i Firefox som kun kunne utnyttes gjennom Internet Explorer. En ukes tid senere kom Mozilla med en oppdatert utgave av Firefox hvor sårbarheten var blitt fjernet.

Feilen involverte URI-er (Uniform Resource Identifier) Internet Explorer som kunne anrope tredjepartsapplikasjoner, inkludert Firefox, for så å få disse til å kjøre vilkårlig kode.

Microsoft har hele tiden hevdet at hele skylden lå hos tredjepartsleverandørene, mens en del andre har ment at Microsoft måtte rette opp.

    Les også:

Denne uken publiserte Jonathan Ness ved Microsoft Security Response Center et blogginnlegg hvor det går fram at Microsoft nå har skiftet mening om denne saken, i hvert fall til en viss grad.

Ifølge blogginnlegg dreier det seg egentlig om to utfordringer - URI-problemet og et problem som dreier seg om håndteringen av protokoller.

Microsoft mener fortsatt er opp til tredjepartsleverandørene å lage protokoll-handlere som nøye validerer ethvert argument som sendes via kommandolinjen.

- Mens vi kanskje kunne ha gjort endringer i noen av Windows API-ene for å blokkere disse angrepene, kunne en slik endring ha brudt med hvordan tredjepartsapplikasjoner med hensikt bruker protokoll-handlerne for å fungere, skriver Ness.

URI-problemet er ikke knyttet til noen spesifikk protokoll-handler, men har likevel mye felles med protokoll-handler-problemet.

Microsoft har nå publisert en sikkerhetsveiledning om dette problemet og vil etter alt å dømme komme med en sikkerhetsfiks så snart granskningen er avsluttet.

Oppdateringen vil kun gjelde Internet Explorer 7 for Windows XP og Windows Server 2003. De nevnte problemene er ikke gjeldende i Windows Vista eller i Internet Explorer 6.

Til toppen