Printfunktion åbner sårbarhed i Internet Explorer 7 og 8

Internet Explorers håndtering af HTML i websider til udskrift gør det muligt at indsætte et script, der vil køre med lokale rettigheder.

Sikkerhedseksperten Aviv Raff offentliggjorde i sidste uge et sikkerhedshul i Microsofts nyeste versioner af dets webbrowser Internet Explorer. Sårbarheden er konstateret i version 7 og 8, men ældre versioner kan indeholde den samme sårbarhed, advarer Aviv Raff.

Det danske sikkerhedsfirma CSIS betegner sårbarheden som kritisk, da den gør det muligt for en hacker blot at tilføje et særligt udformet link til et legitimt websted og derefter lokke en bruger til at udskrive siden.

Problemet er, at Internet Explorer kører dets udskriftsfunktion i den lokale sikkerhedszone i stedet for i internetzonen, hvor scripts har begrænset adgang til systemet.

Ifølge Aviv Raff kan det udnyttes ved at indsætte et link på et websted, som derefter bliver fortolket af Internet Explorer, når brugeren vælger at udskrive siden. Ved at udforme linket på en særlig måde, kan det i princippet bruges til at kompromittere brugerens Windows-pc.

Det forudsætter dog, at brugeren ændrer en standardindstilling i Internet Explorer, og derfor vurderer Microsoft, at risikoen er begrænset.

»En ondsindet person vil være nødt til at lokke en bruger til at ændre standardindstillingen og udskrive en ondsindet side, før angrebet vil virke. Vi har ikke hørt om nogen forsøg på at udnytte denne sårbarhed,« siger kommunikationschef Bill Sisk fra Microsofts sikkerhedsteam til SC Magazine.

Microsoft undersøger nu selv sårbarheden, der indtil videre kun er demonstreret som et problem på pc'er med Windows XP og Internet Explorer 7 eller 8.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere