I juli i år ble det kjent en sårbarhet i Firefox som kun kunne utnyttes gjennom Internet Explorer. En ukes tid senere kom Mozilla med en oppdatert utgave av Firefox hvor sårbarheten var blitt fjernet.
Feilen involverte URI-er (Uniform Resource Identifier) Internet Explorer som kunne anrope tredjepartsapplikasjoner, inkludert Firefox, for så å få disse til å kjøre vilkårlig kode.
Microsoft har hele tiden hevdet at hele skylden lå hos tredjepartsleverandørene, mens en del andre har ment at Microsoft måtte rette opp.
Les også:
- [19.07.2007] Fjernet alvorlige sårbarheter fra Firefox
- [12.07.2007] Firefox-sårbarhet utnyttes via Internet Explorer
Denne uken publiserte Jonathan Ness ved Microsoft Security Response Center et blogginnlegg hvor det går fram at Microsoft nå har skiftet mening om denne saken, i hvert fall til en viss grad.
Ifølge blogginnlegg dreier det seg egentlig om to utfordringer - URI-problemet og et problem som dreier seg om håndteringen av protokoller.
Microsoft mener fortsatt er opp til tredjepartsleverandørene å lage protokoll-handlere som nøye validerer ethvert argument som sendes via kommandolinjen.
- Mens vi kanskje kunne ha gjort endringer i noen av Windows API-ene for å blokkere disse angrepene, kunne en slik endring ha brudt med hvordan tredjepartsapplikasjoner med hensikt bruker protokoll-handlerne for å fungere, skriver Ness.
URI-problemet er ikke knyttet til noen spesifikk protokoll-handler, men har likevel mye felles med protokoll-handler-problemet.
Microsoft har nå publisert en sikkerhetsveiledning om dette problemet og vil etter alt å dømme komme med en sikkerhetsfiks så snart granskningen er avsluttet.
Oppdateringen vil kun gjelde Internet Explorer 7 for Windows XP og Windows Server 2003. De nevnte problemene er ikke gjeldende i Windows Vista eller i Internet Explorer 6.