Computerworld News Service: Det netop opdagede sikkerhedshul i IE6 er tilsyneladende en variation af den sårbarhed, der først blev omtalt af sikkerhedseksperterne Manuel Caballero og Fukami ved Microsofts BlueHat sikkerhedskonference først i maj, skriver analytiker fra McAfee Yichong Lin i et indlæg på virksomhedens blog.
Ved BlueHat fortalte Caballero, som har arbejdet for Microsoft som uafhængig penetrationstester, at han havde fundet en metode til at opsnappe, alt hvad der sker i en browser, inklusiv tastaturindtastninger og dermed også ethvert kodeord, der indtastes.
I et interview af Caballero, som Microsoft optog på video under konferencen, fortalte han, at en kombination af Flash og enhver browser, ikke kun Internet Explorer, kan hackes med ondsindet scripting-kode til at give angribere fuld adgang til browseren.
Rettet i IE7
Detaljer om den nye variant sammen med 'proof of concept'-kode er blevet frigivet på et kinesisksproget netmagasin af en gruppe, der kalder sig 'Ph4nt0m Security Team', ifølge en anden advarsel fra den danske virksomhed Secunia, der tracker sårbarheder.
Secunia ridser truslen op, som følger:
"Sårbarheden skyldes en input-valideringsfejl ved håndtering af placeringen eller 'location.href'-egenskaben for et vinduesobjekt. Dette kan udnyttes af et ondsindet website til at åbne et website, der stoles på, og udføre tilfældig scripting-kode i en brugers browsersession i kontekst med det site, der er tillid til."
Den nyeste version af Microsofts browser, Internet Explorer 7, har ikke denne sårbarhed, ifølge både Secunia og McAfee. Indtil Microsoft udgiver en patch til den ældre browser, bør brugere opgradere til Internet Explorer 7, tilføjer de to sikkerhedsvirksomheder.
Ifølge Yichong fra McAfee har virksomheden gjort Microsoft opmærksom på sårbarheden. Repræsentanter fra Microsoft svarede dog ikke umiddelbart på en forespørgsel om bekræftelse og yderligere kommentarer.
Oversat af Thomas Bøndergaard