Ukjent IE-sårbarhet publisert

Kode som krasjer Internet Explorer gjennom en hittil ukjent sårbarhet, er publisert på Bugtraq. Microsoft har ennå ingen fiks.

Koden ble lagt ut på Bugtraq tidlig søndag morgen, uten kommentarer, under tittelen Internet Explorer >=5.0 : Buffer overflow, og ble siden bekreftet av sikkerhetsanalytiker Kevin Finisterre hos Secure Network Operations. Den viser hvordan ondsinnet Javaskript nedfelt i et html-dokument kan oversvømme en buffer og få Internet Explorer 5 og 6 til å krasje.

I en e-post til Cnet skriver Finisterre at sårbarheten kan utnyttes på forskjellig vis, også gjennom enkle midler som e-post eller vanlige websider.

Siden sårbare bufre ofte kan brukes ikke bare til å krasje applikasjoner men også til å kjøre ondsinnet kode på offerets maskin, er det nærliggende å spekulere i om det også gjelder i dette tilfellet. Svaret er at det vet man ikke ennå, men at det er nærliggende å tro at også andre enn Microsoft er opptatt av å finne svaret. Finisterre peker på at det kan synes som om denne sårbarheten er noe mer problematisk å misbruke enn andre.

Microsoft sier de undersøker sårbarheten. Selskapet mener offentliggjørelsen strider mot retningslinjer i bransjen som sier at opphavet til programvare skal varsles i god tid før et sikkerhetshull publiseres. I dette tilfelles kan publiseringen ha påført kundene ekstra risiko og bidratt til unødvendig engstelse.

Det finnes filtre som blokkerer mistenkelig skript i html-dokumenter. De brukes heller på e-post enn på websider. Hvor effektive de generelt er mot skripter av den typen det er snakk om her, er vanskelig å uttale seg om.

Dette er andre gang på kort tid at det offentliggjøres en potensielt stor sårbarhet uten at programvarens opphav har fått anledning til samtidig å legge ut en fiks. Det hører også med til historien at Secure Network Operations, som da kalte seg SNOsoft, i fjor sommer ble rettslig truet av Hewlett-Packard etter å ha lagt ut en melding på Bugtraq om en sårbarhet de hadde oppdaget i operativsystemet Tru64.

    Les også:

Til toppen