Fire nye alvorlige sikkerhedshuller er dukket op til overfladen i Microsofts webbrowser Internet Explorer.
Det danske sikkerhedsfirma Secunia betegner sikkerhedshullerne som ekstremt kritiske, da der findes eksempler på, hvordan de kan udnyttes sammen med andre sårbarheder.
- Når der findes et exploit, der fungerer, så må vi konstatere, at det er ekstremt kritisk, siger teknisk chef Thomas Kristensen fra Secunia.
To af sårbarhederne kan udnyttes til at skjule for brugeren, hvad der i virkeligheden foregår, når han klikker på eksempelvis en dialogboks på en hjemmeside.
Det betyder eksempelvis, at bruger kan narres til at acceptere, at hjemmesiden omgår de sædvanlige sikkerhedsindstillinger i browseren.
Derudover findes der to mere tekniske sårbarheder, som begge gør det muligt at udføre vilkårlig programkode på pc'en uden sikkerhedsrestriktioner i browseren.
Brug en anden browser
I forvejen findes der en række sikkerhedshuller i Internet Explorer, som Microsoft endnu ikke har rettet. Blandt andet blev der fundet to kritiske sikkerhedshuller i juni, som Microsoft endnu ikke har lukket.
Et af de væsentligere problemer er desuden browserens understøttelse af Windows shell-URI-handler. Denne funktion er ifølge flere sikkerhedseksperter usikker og har flere gange vist sig at kunne bruges til at udføre programkode på systemet.
Det kan i yderste konsekvens give uvedkommende adgang til pc'en.
Ifølge Secunia er den bedste løsning at bruge en anden browser end Microsoft Internet Explorer til at gå på internettet.
- Internet Explorer er en god intranet-browser, som kan bruges på sider, man har tillid til. Så man bør indføre en politik i virksomheden eller derhjemme om, at Explorer kan bruges til homebanking og firmaets intranet, og så bruger man Mozilla eller en anden browser til resten, foreslår Thomas Kristensen.
Patch lukker næppe nye huller
Hvis man ikke vil benytte en alternativ browser, kan man også omgå sikkerhedshullerne ved at deaktivere "Active Scripting" i Internet Explorer. Det er dog ingen optimal løsning, ifølge Thomas Kristensen.
- Internet Explorer er relativt handicappet uden Active Scripting, konstaterer han.
Microsoft ventes senere i dag at udsende sikkerhedsopdateringer til selskabets software. Det er dog ikke sandsynligt, at de nye sikkerhedshuller bliver lukket i dag.
Flere af de nye sikkerhedshuller bygger på idéer fra andre sårbarheder, som tidligere er fundet i Internet Explorer, der fortsat har en lang liste af fejl, som mangler at blive rettet.
Relevant link
