Internet Explorer 8 inneholder xss-bug

Internet Explorer 8 inneholder xss-bug

Cross site scripting kan forekomme på nettsider som egentlig er sikre.

Ifølge to kilder inneholder Internet Explorer 8 en alvorlig sårbarhet som gjør at man kan aktivere xss-feil på websider som egentlig er sikre, skriver The Register.

Hullet innebærer at det ser ut som at legitime sider inneholder xss-kode, trass i at de ikke gjør det. Ironisk nok finnes feilen i et verktøy som er laget for å stoppe xss-angrep. Kildene foteller også at Microsoft har kjent til problemet i flere måneder.

Output Encoding

En talsmann for Google bekrefter at det finnes en "betydelig feil" i IE8, men ønsket ikke å gå i detalj, ifølge The Register.

Beskyttelsesverktøyet i IE8 fungerer slik at det skriver om de skadelige sidene, slik at skadelig innhold byttes ut mot sikkert innehold. Teknikken kalles output encoding.

Microsoft har fortalt The Register at de undersøker saken, men legger til at de ikke kjenner til noen tilfeller der sårbarheten har blitt utnyttet. Så snart de har kommet fram til en løsning kommer de til å slippe en oppdatering eller informasjon om hvordan man kan få bukt med xss-problemet.

Kan ta over datamaskiner

Xss står for cross site scripting og går ut på at skurker injiserer skadelig kode på legitime websider. Koden kan ta over besøkernes datamaskiner eller åpne dem opp for andre former for angrep.

Michael Coates ved Aspect Security har studert programvaren nøye, men var ikke klar over sårbarheten. Han spekulerer i at det er mulig å få IE8 til å skrive om sider på en slik måte at de nye verdiene setter i gang angrep mot en ren side.

- Dette kan være en måte å introdusere et angrep på en side som ikke er sårbar på noen annen måte, sier han.

Les om: