For sju dager siden publiserte en kinesisk sikkerhetsekspert, Liu Die Yu, detaljer om fem hittil ukjente sikkerhetshull i Microsofts nettleser Internet Explorer, uten å varsle Microsoft på forhånd. To av hullene ble betraktet som spesielt alvorlige, siden de lar utenforstående deponere og kjøre aktiv kode hos et offer. Vilkåret er at ofrene leser sider på et nettsted med ondsinnet kode beregnet på nettopp disse hullene.
Les også:
- [03.02.2004] Tetter flere hull i Internet Explorer
- [29.01.2004] Mulig med falske filnavn i Internet Explorer
- [19.12.2003] Tettet sikkerhetshull for Microsoft
- [03.12.2003] SharePoint-installasjon gir feilmeldinger
- [25.11.2003] Ny samling sikkerhetshull i Internet Explorer
I en erklæring fredag sa en talsperson for Microsoft at man undersøker disse hullene – sju og ikke fem som opprinnelig meldt. Han la til at selskapet ikke har fått meldinger som skulle tyde på at noen utnytter hullene, eller at det har ført til problemer for kundene.
NTBugTraq-forvalter Russ Cooper i TruSecure gjentar overfor Reuters at hullene er alvorlige, men sier samtidig at det ikke er grunn til engstelse, siden det ikke er oppdaget aktiv misbruk.
Det danske sikkerhetsselskapet Secunia anbefalte i sin advarsel å slå av skriptingen i Internet Explorer, eller bruke en annen nettleser. Cooper mener dette rådet er uholdbart, siden det avskjærer tilgangen til de fleste nettstedene. Han foreslår i stedet å holde seg til nettsteder man kjenner, og være på vakt overfor unormal oppførsel i nettleseren. Alternativt kan man flytte kjente nettsteder til nettleserens sikre sone, og slå av skripting for nettleserens internettsone.
Har man en personlig brannmur, vil man varsles dersom nye nettsteder prøver å kjøre skript, og man kan selv avgjøre hvorvidt man vil tillate kjøringen eller ikke.