Det kan blive en blandet fornøjelse at browse med Internet Explorer på en maskine, hvor Firefox også er installeret.
Explorer kan nemlig sætte en proces igang, som åbner Firefox og derefter udfører skadelig kode.
Det tillader dermed en angriber at udføre ondsindet kode i form af et såkaldt 0-day exploit eksternt på en maskine, der kører Internet Explorer, og hvor Firefox samtidig er installeret.
Ved at lokke en Explorer-bruger til et website, der udnytter fejlen, kan angriberen få Firefox til at udføre koden uden først at undersøge og evaluere den for sikkerhedsproblemer.
Ifølge den danske sikkerhedsekspert Thor Larholm, der opdagede problemet, tillader det, at man kan specificere arbitrære argumenter til den proces, der håndterer URL-protokoller. Det sker ved at bruge tegn, som kommaer eller citationstegn, der ikke kan bruges direkte i et URL eller en kommandolinje.
Men hvis skyld er det så? Det er Mozilla og Microsoft overraskende nok ikke helt enige om, og de har begge travlt med at placere ansvaret hos modpartens browser.
Window Snyder, der leder sikkerheden ved Mozilla, skriver på Mozillas sikkerhedsblog, at Mozilla vil opdatere Firefox, så browseren ikke længere tillader skadelig kode fra Explorer.
Snyder understreger samtidig, at kun folk, som surfer med Microsofts browser, er åbne for angrebet. Hun mener, årsagen er, at et link kan få Explorer til at aktivere et andet Windows-program og videregive et link, uden at det undslipper citationstegnene, og at ansvaret derfor ligger hos Microsoft. Hun anbefaler på den baggrund, at folk kun surfer med Firefox.
Ved Microsoft afviser program manager for sikkherhed, Mark Griesi, at hullet skulle være Microsofts problem.
»Vi mener ikke, der er tale om et problem i Internet Explorer, og derfor er der ikke noget, der skal opdateres,« siger Griesi til it-nyhedssiden PcAdvisor.co.uk.
Jesper Johansson, en tidligere ledende sikkerhedsstrateg for Microsoft, argumenterer også for, at problemet helt sikkert ikke skyldes Explorer. Han beskrev derimod på sin blog, at Firefox ikke bekræfter sine parametre korrekt, og at problemet derfor ligger hos Mozilla.
Thor Larholm beskrev sikkerhedshullet på sin blog. Det førte også hurtigt til diskussioner om, hvor problemet lå. Larholm vurderer selv, at problemet ligger i Internet Explorer, fordi browseren tillader, at brugeren specificerer, at den skal udføre flere handlinger, end det var intentionen.
Sikkerhedshullet minder ifølge Larholm om et tilsvarende problem, han selv påpegede i Safari til Windows, og som Apple lukkede få dage senere.
Det danske sikkerhedsfirma Secunia
registerer dog problemet som et brist i Firefox og kategoriserer det som "højest kritisk". Secunia bekræfter også på deres side, at sikkerhedshullet fungerer på en en maskine, der kører Windows XP med service pack 2.
Endnu en sikkerhedsekspert kendt for fokus på huller i browsere, Aviv Raff, skriver på sin blog, at begge firmaer har et problem - Mozilla på grund af den måde, de lader Firefox registrere protokol-håndtering, og Microsoft for den måde Explorer viderefører eksterne applikationer.
Roger Thompson, teknisk leder i Exploit Prevention Labs, vurderer overfor it-nyhedssiden The Register, at problemet er størst for Internet Explorer, fordi Firefox trods alt advarer brugeren, hvis han forsøger at benytte sikkerhedshullet direkte i Firefox.
