Nov
22
Kritisk sårbarhet i Internet Explorer
22 Nov 2005
Nu har man höjt varningsflaggor för en sårbarhet i Internet Explorer som först annonserades i maj i år. Från början trodde man att man med denna sårbarhet “endast” kunde få Internet Explorer att krascha. Nu har företaget Computer Terrorism (suck..) släppt en exploitkod (proof-of-concept) som visar att man även kan köra kod på andras datorer. Man kan råka ut för detta bara genom att surfa in på en preparerad webbsida och eventuellt även via HTML-kodad e-post i t ex Outlook/Outlook Express.
Notera att Microsoft ännu inte släppt en fix för denna sårbarhet. Det innebär att läget är allvarligt. Alla (nja) känner till problemet, det finns elak kod som kan utnyttja den och du kan inte skydda dig genom att patcha… Relativt jobbigt läge med andra ord.
Ett sätt att i väntan på en patch göra systemen säkrare är att stänga av Active Scripting för zonen Internet, kanske med undantag av “Trusted sites” om så krävs. Gör så här:
- Öppna Microsoft Internet Explorer
- Klicka på “Tools” -> “Internet Options”
- Välj fliken “Security”
- Välj den zon du vill ändra på och klicka sedan på “Custom Level”
- Rulla ned till sektionen om “Scripting”
- Välj “Disable” på “Active scripting”
- Klicka på “Yes” på frågan om du verkligen vill ändra på säkerhetsinställningarna.
Det kan också i det här läget vara bra att tänka på allmänna säkerhetsknep. Undvik till exempel att öppna mejl (inkluderar “förhandsgrandska”) du inte är säker på. Minska rättigheterna för Internet Explorer så mycket som känns bekvämt och om du är riktigt paranoid – surfa bara till sajter i “Trusted Sites”. Detta garanterar fortfarande inte att du är säker, men det är en bit på vägen.
Mer läsning:
Internet Explorer JavaScript Window() Remote Code Execution
Microsoft Internet Explorer JavaScript OnLoad Handler Remote Code Execution Vulnerability
Microsoft Security Advisory (911302)
Taggar: Uncategorized
Kommentarer
Lämna en kommentar
Du måste vara inloggad för att lämna en kommentar.