Skremmende IE-hull åpent ennå

Aktiv skripting har bestandig vært et sårbart punkt når det gjelder IE og sikkerhet, og understreker nok en gang hvordan økt funksjonalitet ofte går på bekostning av sikkerhetshensyn.

Microsoft slipper stadig oppgraderinger og sikkerhets-patcher til Windows og Internet Explorer, men en i manges øyne heller alvorlig sårbarhet som ble avdekket i Januar er det fremdeles ikke gjort noe med.

Eksekverer uten å spørre

Ved å bruke såkalt PopUp Object Tag (se forklaring HER), kan et lite skript kalle opp og kjøre en hvilken som helst lokal applikasjon på surferens maskin – uten verken å spørre om tillatelse først, eller på andre måter varsle brukeren.

I praksis betyr dette at et hvilket som helst nettside fritt kan starte programmer hos brukeren, med potensielt uønskede konsekvenser – som for eksempel å hive deg ut av Windows XP.

Slik virker det

Et par eksempler på mulighetene som ligger gis her, i form av tilsynelatende «uskyldige» URL-er:

• www.itavisen.no/martinsdilldall/eksempel1.html
  Denne nettsiden starter kalkulatoren din.

• www.itavisen.no/martinsdilldall/eksempel2.html
  Lagre alt arbeidet før du klikker på denne – bruker du Windows XP, vil du nemlig automatisk bli logget av.

(Koden er sendt ITavisen.no fra diverse kilder)

– Ikke stor risiko

Microsoft ble gjort oppmerksom på dette for i ca. to måneder siden, men har fremdeles ikke funnet noen god måte å forbedre sikkerheten i forhold til slik aktiv skripting. En «fiks» skal være på vei, men hvor lang tid det tar er uvisst.

– Vi jobber med saken, men betrakter ikke dette som et høyrisiko-problem. Det kan kanskje se stygt ut, men dette er noe av problemet med skripting generelt. Så vidt vi vet har ingen mistet data eller på annen måte blitt rammet av dette, sier Microsofts sikkerhetssjef i Norge, Rune Lystad til ITavisen.no.

Vanskelig å utnytte?

Lystad understreker at selv om lokale programmer kan kjøres på denne måten, vil man ikke på en enkel måte kunne klare å gjøre stor skade på brukerens system. Skriptet er avhengig av å vite nøyaktig hvor applikasjoner befinner seg i filstrukturen, og de fleste faste Windows-kommandoer med potensial til å gjøre større skade vil be om bekreftelse før «utagerende» operasjoner blir utført.

– Man kan for eksempel kalle opp slette- eller format-kommandoer på denne måten, men siden slike kommandoer har innebygde sikkerhetssperrer, vil ikke filer og kataloger bli slettet før brukeren selv samtykker, sier Lystad.

(Nei, «cmd.exe /c del c:*.*» vil ikke fungere)

Vurderer ActiveScript-restriksjoner

En fremtidig sikkerhetsoppdatering fra Microsoft vil muligens inkludere muligheten for brukeren å velge et sett med lokale kommandoer som anses som «trygge» for kjøring av slike skript.

– Det er jo ikke ønskelig at lokale programmer blir kjørt på denne måten så snart man klikker på en link, uten at man samtykker. Samtidig kan man ikke bare skru av skripting, da mister jo mange nettsider mye av funksjonaliteten sin. I stedet må vi kanskje frem til et mer intelligens system som innebærer mer bekreftelse fra brukeren før lokale kommandoer kjøres, sier Lystad til ITavisen.no.

Som en midlertidig løsning inntil en oppdatering til IE blir gjort tilgjengelig, så foreslår Microsoft å gjøre følgende endring i registry:[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settingsones] Change the value of “1004” (DWORD) to 3 (er nå 0)

Inntil videre kan man naturligvis unngå at slike uønskede skripts (men også ønskelige) blir kjørt ved å skru av ActiveScripting i sikkerhetsinnstillingene i Windows XP.