Georgi Guninski er igen på banen med afsløringen af en sårbarhed i Internet Explorer, der kan misbruges til at læse lokale filer. Guninski fandt et næsten identisk sikkerhedshul i den forrige version af Internet Explorer, men det ser ikke ud til, at Microsoft har lært lektien.
Den bulgarske programmør har opdaget at man ved at indtaste en speciel URL kan få adgang til lokale filer på den maskine, hvor Internet Explorer er installeret. Det kræver dog, at angriberen kender det nøjagtige filnavn, men en række filer under Windows og Outlook (Express) - f.eks. arkivet med alle e-mails - benytter standard-filnavne.
Hullet ligger i JScript-kommandoen GetObject() i forbindelse med ActiveX-objektet HTMLFILE i Internet Explorer 5.5 og 6. Guninski fortæller, at han har informeret Microsoft om problemet for tre uger siden, men ikke har modtaget noget svar fra Redmond.
På den baggrund anbefaler han, at man deaktiverer Active Scripting i Internet Explorer og ikke anvender browseren i "fjendtlige miljøer" - som f.eks. internet.
http://www.guninski.com/getob3.html
Premium
Professor Christian Damsgaard: Her er de tre vigtigste sikkerhedsmæssige udfordringer ved at lægge dine data i clouden