I den seneste Security Bulletin (MS01-055) fra Microsoft beskrives et sikkerhedshul, som kan misbruges til at stjæle cookies gennem browseren. Cookies benyttes af mange hjemmesider til at gemme oplysninger som brugernavn, adgangskode, præferencer eller andre indstillinger, der skal være intakte, næste gang man besøger hjemmesiden.
"Hvis en ondsindet person via en hjemmeside, eller HTML baseret e-mail får adgang til cookies gemt i hukommelsen, eller på harddisken, kan der stjæles passwords og andre følsomme oplysninger, manipuleres med cookie indhold, eller hijacke websessions som kræver bruger login," fortæller sikkerhedsekspert Peter Kruse, Telia Telecom.
Sårbarheden ligger i programmets håndtering af "about:" URL'er. Internet Explorer fortolker HTML kode URL'er som starter med "about:".
URL'en kan også indeholde JavaScript. Denne "about:" URL kan omfatte et hostname. IE anvender hostnavn når den skal afgøre hvilken cookie, som skal bruges.
Microsofts Security Bulletin kan læses på nedenstående adresse, hvor man også kan hente en patch, når den bliver tilgængelig.
