Alvorligt sikkerhedshul i Internet Explorer

Sikkerhedseksperter advarer om en cross-site scripting-sårbarhed i Internet Explorer 6, der endnu ikke er patchet, og som kan bruges af hackere til at opsnappe indtastninger på tastaturet.

Artikel top billede

Computerworld News Service: Det netop opdagede sikkerhedshul i IE6 er tilsyneladende en variation af den sårbarhed, der først blev omtalt af sikkerhedseksperterne Manuel Caballero og Fukami ved Microsofts BlueHat sikkerhedskonference først i maj, skriver analytiker fra McAfee Yichong Lin i et indlæg på virksomhedens blog.

Ved BlueHat fortalte Caballero, som har arbejdet for Microsoft som uafhængig penetrationstester, at han havde fundet en metode til at opsnappe, alt hvad der sker i en browser, inklusiv tastaturindtastninger og dermed også ethvert kodeord, der indtastes.

I et interview af Caballero, som Microsoft optog på video under konferencen, fortalte han, at en kombination af Flash og enhver browser, ikke kun Internet Explorer, kan hackes med ondsindet scripting-kode til at give angribere fuld adgang til browseren.

Rettet i IE7

Detaljer om den nye variant sammen med 'proof of concept'-kode er blevet frigivet på et kinesisksproget netmagasin af en gruppe, der kalder sig 'Ph4nt0m Security Team', ifølge en anden advarsel fra den danske virksomhed Secunia, der tracker sårbarheder.

Secunia ridser truslen op, som følger:
"Sårbarheden skyldes en input-valideringsfejl ved håndtering af placeringen eller 'location.href'-egenskaben for et vinduesobjekt. Dette kan udnyttes af et ondsindet website til at åbne et website, der stoles på, og udføre tilfældig scripting-kode i en brugers browsersession i kontekst med det site, der er tillid til."

Den nyeste version af Microsofts browser, Internet Explorer 7, har ikke denne sårbarhed, ifølge både Secunia og McAfee. Indtil Microsoft udgiver en patch til den ældre browser, bør brugere opgradere til Internet Explorer 7, tilføjer de to sikkerhedsvirksomheder.

Ifølge Yichong fra McAfee har virksomheden gjort Microsoft opmærksom på sårbarheden. Repræsentanter fra Microsoft svarede dog ikke umiddelbart på en forespørgsel om bekræftelse og yderligere kommentarer.

Oversat af Thomas Bøndergaard

Annonceindlæg fra Kommando

Identity: Kortere levetid på certifikater øger risikoen for nedbrud

Digitale certifikater er fundamentet for tillid. Nu ændres vilkårene, og der stilles helt nye krav til, hvordan I arbejder med overblik og styring.

Navnenyt fra it-Danmark

Pinksky ApS har pr. 1. maj 2026 ansat Dan Toft, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med digitalisering med Microsoftplatformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Han er uddannet datamatiker. Han har tidligere beskæftiget sig med Microsoft 365 og SharePoint udvikling. Nyt job

Dan Toft

Pinksky ApS

netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse
Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

Jakob Dirksen

GlobalConnect