Alvorligt sikkerhedshul i Internet Explorer

Sikkerhedseksperter advarer om en cross-site scripting-sårbarhed i Internet Explorer 6, der endnu ikke er patchet, og som kan bruges af hackere til at opsnappe indtastninger på tastaturet.

Artikel top billede

Computerworld News Service: Det netop opdagede sikkerhedshul i IE6 er tilsyneladende en variation af den sårbarhed, der først blev omtalt af sikkerhedseksperterne Manuel Caballero og Fukami ved Microsofts BlueHat sikkerhedskonference først i maj, skriver analytiker fra McAfee Yichong Lin i et indlæg på virksomhedens blog.

Ved BlueHat fortalte Caballero, som har arbejdet for Microsoft som uafhængig penetrationstester, at han havde fundet en metode til at opsnappe, alt hvad der sker i en browser, inklusiv tastaturindtastninger og dermed også ethvert kodeord, der indtastes.

I et interview af Caballero, som Microsoft optog på video under konferencen, fortalte han, at en kombination af Flash og enhver browser, ikke kun Internet Explorer, kan hackes med ondsindet scripting-kode til at give angribere fuld adgang til browseren.

Rettet i IE7

Detaljer om den nye variant sammen med 'proof of concept'-kode er blevet frigivet på et kinesisksproget netmagasin af en gruppe, der kalder sig 'Ph4nt0m Security Team', ifølge en anden advarsel fra den danske virksomhed Secunia, der tracker sårbarheder.

Secunia ridser truslen op, som følger:
"Sårbarheden skyldes en input-valideringsfejl ved håndtering af placeringen eller 'location.href'-egenskaben for et vinduesobjekt. Dette kan udnyttes af et ondsindet website til at åbne et website, der stoles på, og udføre tilfældig scripting-kode i en brugers browsersession i kontekst med det site, der er tillid til."

Den nyeste version af Microsofts browser, Internet Explorer 7, har ikke denne sårbarhed, ifølge både Secunia og McAfee. Indtil Microsoft udgiver en patch til den ældre browser, bør brugere opgradere til Internet Explorer 7, tilføjer de to sikkerhedsvirksomheder.

Ifølge Yichong fra McAfee har virksomheden gjort Microsoft opmærksom på sårbarheden. Repræsentanter fra Microsoft svarede dog ikke umiddelbart på en forespørgsel om bekræftelse og yderligere kommentarer.

Oversat af Thomas Bøndergaard

LINK Mobility

Erfaren softwareudvikler til SaaS løsning

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Cyberdivisionen søger to sektionschefer til Systemafdelingen i Hvidovre

Københavnsområdet

Netcompany A/S

Erfaren Linux Operations Engineer

Københavnsområdet

Navnenyt fra it-Danmark

Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

Jeppe Spanggaard

Pinksky ApS

Netip A/S har pr. 1. juni 2026 ansat Kristina Svingel Jeppesen som bogholder ved netIP's kontor i Thisted. Hun kommer fra en stilling som Kontorassistent hos DFI Geisler. Nyt job
netIP har pr. 1. juni 2026 ansat Heidi Winther som Supportkonsulent ved netIP's kontor i Herning. Hun kommer fra en stilling som IT-Supporter hos Holstebro Kommune. Nyt job
Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job