BEDRIFTSTEKNOLOGI

Sikkerhetshull i Internet Explorers feilmeldinger

I februar fikk Microsoft vite at "vennlige" feilmeldinger i Internet Explorer kan gi uvedkommende adgang til PC-en. Feilen er ennå ikke rettet.

17. juni 2003 - 15:27

Internet Explorer leveres med et antall interne, HTML-basert ressursfiler. De fleste av disse brukes til å gi egne feilmeldinger for HTTP-feil på websider. Dette kalles i den engelskspråklige utgaven av Internet Explorer for "Friendly HTTP error messages". Disse filene er for en stor del basert på den samme grunnleggende koden, men med små variasjoner i innholdet for hver ressurs.

    Les også:

Sikkerhetsselskapet GreyMagic Software oppdaget i februar i år en valideringsfeil i disse feilmeldingene. Problemet skal være at koden sidene bygger på tar den opprinnelige URL-en som parameter for å vise det fulle servernavnet på siden med feilmeldingen. Dette kan utnyttes av ondsinnede til å legge inn et skript som kan kjøres i den lokale sikkerhetssonen på PC-en.

Flere detaljer om dette finnes du på denne siden.

GreyMagic hevder at Microsoft fikk beskjed om denne sårbarheten allerede 20. februar i år og at selskapet har bekreftet at feilen den gang eksisterte Internet Explorer 6 og alle eldre utgaver av nettleseren. Men feilen er fortsatt ikke blitt rettet.

Ifølge GreyMagic har Microsoft antydet at feilen vil rettes i en framtidig servicepakke til Internet Explorer 6.

Det er i Internet Explorer fullt mulig å skru av de "vennlige" feilmeldingene. Dette gjøres fra arket med avanserte innstillinger som er tilgjengelig fra Verktøy-menyer i Internet Explorer. (På norsk: "Vis egendefinerte HTTP-feilmeldinger".)

Secunia anbefaler i stedet brukerne å deaktive "Active scripting"-funksjonen i den lokale sikkerhetssonen. Dette gjøres ved å åpne programmet "regedit" og finne fram til denne nøkkelen:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0

Her må man endre verdien for oppføringen "1400" (Active Scripting) fra "0" (aktivert) til "3" (deaktivert).

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Hvordan lage en stillingsannonse på Tekjobb?
Les mer
Hvordan lage en stillingsannonse på Tekjobb?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra