Microsoft advarer om cookie-afslørende sårbarhed i Internet Explorer
Endnu en sårbarhed er dukket op i Microsofts browser Internet Explorer.
Softwaregiganten udsendte onsdag en sikkerhedsadvarsel om et sikkerhedshul, der kan udnyttes til at se indholdet af filer, der ligger lokalt på en brugers Windows-pc.
Microsoft understreger, at sårbarheden kun kan udnyttes på systemer, hvor Internet Explorer ikke kører i beskyttet tilstand, Protected Mode. Det vil sige, at Internet Explorer 7 og 8 på Windows Vista og Windows 7 ikke umiddelbart er alvorligt ramt af sårbarheden.
Til gengæld bør brugere af Windows XP slå en anden beskyttelse, Network Protocol Lockdown, til, da Windows XP som standard ikke har en beskyttet tilstand i modsætning til de nye udgaver af Windows.
Microsoft har frigivet et hotfix, som automatiserer opsætningen af Network Protocol Lockdown i Windows XP.
Microsoft oplyser, at selskabet ikke har hørt om angreb, der udnytter sårbarheden, men detaljer om sikkerhedshullet er blevet offentliggjort, og derfor har Microsoft udsendt en advarsel.
Sikkerhedshullet kan blandt andet udnyttes af en hacker til at få adgang til at se indholdet af filer, der ligger lokalt på brugerens pc. Det forudsætter dog, at hackeren kender den præcise sti og filnavn.
I forbindelse med offentliggørelsen af sikkerhedshullet er det blandt andet blevet påpeget, at sårbarheden kan udnyttes til at få vist indholdet af cookies, der kan indeholde følsomme oplysninger om eksempelvis loginoplysninger til websteder.
Microsoft påpeger dog, at det mindst vil kræve, at hackeren kender brugerens brugernavn.
Kommentarer (2)
F.eks. Firefox, Opera, Chrome.
Det ville være rart, hvis de DK-CERT anbefalere at droppe IE helt (ligesom det er sket i Tyskland) og ikke bare IE6. Jeg antager, at en del IE-brugere slet ikke ved hvilken version af IE, de bruger.
