BEDRIFTSTEKNOLOGI

Ukjent IE-sårbarhet publisert

Kode som krasjer Internet Explorer gjennom en hittil ukjent sårbarhet, er publisert på Bugtraq. Microsoft har ennå ingen fiks.

26. juni 2003 - 08:26

Koden ble lagt ut på Bugtraq tidlig søndag morgen, uten kommentarer, under tittelen Internet Explorer >=5.0 : Buffer overflow, og ble siden bekreftet av sikkerhetsanalytiker Kevin Finisterre hos Secure Network Operations. Den viser hvordan ondsinnet Javaskript nedfelt i et html-dokument kan oversvømme en buffer og få Internet Explorer 5 og 6 til å krasje.

I en e-post til Cnet skriver Finisterre at sårbarheten kan utnyttes på forskjellig vis, også gjennom enkle midler som e-post eller vanlige websider.

Siden sårbare bufre ofte kan brukes ikke bare til å krasje applikasjoner men også til å kjøre ondsinnet kode på offerets maskin, er det nærliggende å spekulere i om det også gjelder i dette tilfellet. Svaret er at det vet man ikke ennå, men at det er nærliggende å tro at også andre enn Microsoft er opptatt av å finne svaret. Finisterre peker på at det kan synes som om denne sårbarheten er noe mer problematisk å misbruke enn andre.

Microsoft sier de undersøker sårbarheten. Selskapet mener offentliggjørelsen strider mot retningslinjer i bransjen som sier at opphavet til programvare skal varsles i god tid før et sikkerhetshull publiseres. I dette tilfelles kan publiseringen ha påført kundene ekstra risiko og bidratt til unødvendig engstelse.

Det finnes filtre som blokkerer mistenkelig skript i html-dokumenter. De brukes heller på e-post enn på websider. Hvor effektive de generelt er mot skripter av den typen det er snakk om her, er vanskelig å uttale seg om.

Dette er andre gang på kort tid at det offentliggjøres en potensielt stor sårbarhet uten at programvarens opphav har fått anledning til samtidig å legge ut en fiks. Det hører også med til historien at Secure Network Operations, som da kalte seg SNOsoft, i fjor sommer ble rettslig truet av Hewlett-Packard etter å ha lagt ut en melding på Bugtraq om en sårbarhet de hadde oppdaget i operativsystemet Tru64.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.