Microsoft sjekker gammelt IE-hull

Microsoft innrømmet forrige fredag at de undersøker en sårbarhet I Internet Explorer (IE) som de skal ha kjent til svært lenge. Sårbarheten kan brukes til å få adgang til brukerens data og webkonti, skriver Computerworlds nyhetstjeneste.

Googles sikkerhetsingeniør Chris Evans har på epostlisten Full Disclosure forklart og demonstrert at hullet kan brukes til å kuppe en brukers Twitter-konto og kvitre på brukerens vegne.

Les også: Slik skal nettleseren bli sikrere

Det såkalte CSS-kryssopphavstyveri-hullet har en lang historie. Forskere ved Carniege Mellon-universitetet har nylig publisert et dokument om det og hevder de har sporet det helt tilbake til 2002. Neste måned vil rapporten presenters på konferansen Computer and Communications.

Like fullt har ikke hullet vekket særlig stor oppsikt før Evans blogget om det i desember 2009. Han leverte en hullrapport til Chrome åtte måneder tidligere. Mens hullet er fikset i Chrome, Opera, Safari og Firefox, er det fremdeles ulappet i IE8 – men kommende IE9 skal inneholde en fiks.

- Har ikke blitt hørt

Evans forklarte fredag hvorfor han nå øker presset ved å gi ut beviskode for at hullet fungerer – kode også angripere kan plukke opp og utnytte når den blir fritt tilgjengelig på nett.

- Jeg har uten suksess forsøkt å overtale leverandøren til å fikse problemet, sier han om Microsoft.

Les også: - Lapp hullet kjapt, eller bli eksponert

Microsoft oppga fredag at de undersøker Evans rapporter, men har i ettertid ikke ønsket å kommentere saken ytterligere, heller ikke om tidligere IE-versjoner er sårbare eller hvorfor det ikke har kommet noen fiks til hullet.

- Vi kjenner for tiden ikke til noen angrep som prøver å utnytte den påståtte sårbarheten, sier Jerry Bryant i Microsofts Security Response Team.

Ifølge Evans gjelder hullet også tidligere IE-versjoner. Han hevder Microsoft kan ha visst om hullet siden 2008. Siden august i år har Evans forsøkt å trappe opp presset på å få hullet fikset. Via sin blogg har han blant annet uttalt at IE8 er mest sårbar mot hullet.

Misliker hullpublisering før fiks

Dette er ikke første gang noen fra Google utgir informasjon om hull i Microsoft-programvare etter å ha hevdet de ikke har blitt imøtekommet av leverandøren. Googles Tavis Ormandy vakte stor oppsikt da han offentliggjorde et hull fem dager etter han hevdet han hadde varslet Microsoft om feilen.

Les også: Google publiserte Windows XP-angrep

Sistnevnte mener at sedvanen som går ut på at leverandøren tipses om sikkerhetshull i full diskresjon og beviskoden ikke slippes ut før hullet har blitt lappet, er problematisk, mens Bryant i Microsoft på sin side da hevdet Microsoft fikk en problematisk kort frist.

Bryant står fortsatt fast på at hull først må overleveres leverandøren i diskresjon slik at det kan bli fikses før beviskode på potensielle angrep offentliggjøres.