Den danske sikkerhetseksperten Thor Larholm og det israelske sikkerhetsselskapet GreyMagic Inc. har begge sendt ut nyhetsbrev som påviser feil i Microsofts lovnader om tettede hull.
-Problemene er mer omfattende enn Microsoft er klare over, mener Larholm.
Cross Site Scripting
Det viktigste problemet som ble fikset i patchen dreide seg om Cross Site Scripting (CSS) som betyr at et script kan kjøres fra en hvilken som helst internettadresse vi HTML- kode på en hjemmeside eller i en e-post.
Microsoft hevder at man må klikke på en link for at denne feilen skal kunne utnyttes. Dette tilbakeviser Larholm og GreyMagic, på bakgrunn av at det er en kjent sak at kode kan kjøres både på hjemmesider og i e-post uten at man klikker på noe som helst.
Annonse
Alle versjoner
Cross Site Scripting kan i følge Microsoft kun kjøres på Internet Explorer 6 og Outlook Express 6. Igjen blir de rettet på av Larholm og GreyMagic som begge kan dokumentere at feilene er like relevante i både Internet Explorer 5.01 og 5.5.
-Dette er vi for så vidt klare over, og vi undersøker om det er noe relevans i påstandene. Vi har fortsatt tillit til sikkerhetsoppdateringen vår, og mener brukerne også bør ha det, sier talsmenn for Microsoft til CNN.com.
Cascade Style Sheets
En komponent i HTML er Cascade Style Sheets som kan utnyttes slik at man kan åpne dokumenter på en annen PC. Dette bør selvsagt ikke utnyttes og Microsoft har derfor tettet denne muligheten i sin siste oppdatering.
Men sikkerhetsekspertene påpeker at hullet stadig er like åpent, man må bare omdirigere brukeren til en annen side først, i stedet fr å åpne dokumentet direkte.
-Dette er et nytt, uavhengig problem, og har derfor ingen sammenheng med oppdateringen, hevder Microsoft, og lover å se på det i neste omgang.
Trass i disse avsløringene er det ingen grunn til ikke å laste ned oppdateringen. Den gjør jo tross alt ikke noe verre.
Annonse
