Internet Explorer leveres med et antall interne, HTML-basert ressursfiler. De fleste av disse brukes til å gi egne feilmeldinger for HTTP-feil på websider. Dette kalles i den engelskspråklige utgaven av Internet Explorer for "Friendly HTTP error messages". Disse filene er for en stor del basert på den samme grunnleggende koden, men med små variasjoner i innholdet for hver ressurs.
Les også:
- [03.07.2003] Filkluss og bufferfeil i Windows
- [05.06.2003] Nytt kritisk sikkerhetshull i Internet Explorer
- [20.05.2003] Nedlastingsfare i Internet Explorer
- [24.04.2003] Retter alvorlige sårbarheter i Internet Explorer
Sikkerhetsselskapet GreyMagic Software oppdaget i februar i år en valideringsfeil i disse feilmeldingene. Problemet skal være at koden sidene bygger på tar den opprinnelige URL-en som parameter for å vise det fulle servernavnet på siden med feilmeldingen. Dette kan utnyttes av ondsinnede til å legge inn et skript som kan kjøres i den lokale sikkerhetssonen på PC-en.
Flere detaljer om dette finnes du på denne siden.
GreyMagic hevder at Microsoft fikk beskjed om denne sårbarheten allerede 20. februar i år og at selskapet har bekreftet at feilen den gang eksisterte Internet Explorer 6 og alle eldre utgaver av nettleseren. Men feilen er fortsatt ikke blitt rettet.
Ifølge GreyMagic har Microsoft antydet at feilen vil rettes i en framtidig servicepakke til Internet Explorer 6.
Det er i Internet Explorer fullt mulig å skru av de "vennlige" feilmeldingene. Dette gjøres fra arket med avanserte innstillinger som er tilgjengelig fra Verktøy-menyer i Internet Explorer. (På norsk: "Vis egendefinerte HTTP-feilmeldinger".)
Secunia anbefaler i stedet brukerne å deaktive "Active scripting"-funksjonen i den lokale sikkerhetssonen. Dette gjøres ved å åpne programmet "regedit" og finne fram til denne nøkkelen:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
Her må man endre verdien for oppføringen "1400" (Active Scripting) fra "0" (aktivert) til "3" (deaktivert).
