Microsoft bestrider nylig IE-sårbarhet

Microsoft lover å fikse sikkerhetsproblem i IE-nettleseren, som selskapet egentlig mener ikke er en sårbarhet.

23. nov. 2004 - 10:17

Tidlig i forrige uke ble et nytt sikkerhetshull i Internet Explorer funnet. Dette hullet, som bare gjelder brukere med Service Pack 2 for Windows XP installert, gjør det mulig for ondsinnede nettsteder å omgå nettleserens advarsel mot nedlasting av potensielt skadelig innhold.

Ifølge News.com sa Microsoft den gang at rapporten om problemet var "misledende og muligens feilaktig". Mandag ble det publisert programvarekode på et fransk nettsted som kan ta i bruk den samme sårbarheten.

I dag sier Microsoft at selskapet fortsatt mener at påstandene er misledende fordi det kreves betydelig interaktivitet med brukeren før noen form for ondsinnet kode kan kjøres.

- Brukeren må gå til mappen som inneholder den kjørbare filen og velge å kjøre den, eller å logge av og så på igjen hvis angriperen har forsøkt å lagre den ondsinnede, kjørbare filen i brukerens Windows Oppstart-mappe.

Selskapet innrømmer dog at advarslene som brukere av Internet Explorer og Windows XP SP2 skal få ved nedlasting av risikable filer, kan omgås.

- Det er viktig å legge merke til at dette ikke er utnyttelsen av en sikkerhetssårbarhet, men et forsøk fra en angriper på å benytte "social engineering" for å overtale en bruker til å lagre en kjørbar fil på harddisken uten først å motta noen nedlastingsadvarsel fra Internet Explorer, sier talspersonen fra Microsoft, til News.com.

Sikkerhetseksperter News.com har vært i kontakt med, er ikke enige.

- Dette er helt klart noen som omgår noe av sikkerhetsfunksjonaliteten som er ment å være der, sier Sean Richmond, senior teknologikonsulent hos Sophos Australia.

- Dette er en måte å omgå dialogene i IE på. Den vil resultere i at filen kan lagres på brukerens datamaskin, noe som vil være enda verre om den også kan lagres i datamaskinens oppstartsmappe,

Den annerkjente sikkerhetseksperten Richard Starnes, er generelt kritisk til programvareleverandørenes håndtering av sikkerheten. Han etterlyser lovgivning som kan tvinge Microsoft og andre programvareutviklere til å forbedre utgi bedre kode og ta økonomisk ansvar for tapene til deres kunder.

- Jeg lurer på hvor solid Microsofts koding ville ha blitt hvis strategiske regjeringer verden over hadde fjernet det ansvarsvernet som programvareprodusentene nå nyter godt av. De ville da ha hatt noen virkelige økonomisk ansvar insentiver for å gjøre det riktig første gangen, i stedet for grunnkursprogrammeringen de kontinuerlig spyr ut, sier Starnes til News.com.

Artikkelen fortsetter etter annonsen
annonse
Schneider Electric
Schneider Electric lanserer Galaxy VXL UPS
Schneider Electric lanserer Galaxy VXL UPS

Han mener at kvaliteten på programvare har falt de to siste tiårene.

- De fleste kommersielle utgivelser av programvare i dag hadde ikke kommet ut av betatestingen for 20 år siden, mener han.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.