Letölthető a javítóprogram az Explorer-hibára

Arany Tóth László Arany Tóth László, 1999. október 19. 16:13
A Microsoft október 11-én, a biztonsági kérdésekkel foglalkozó weblapján tette közzé az Internet Explorer 5-ben felfedezett, Iframe ExecCommand kódnévvel jelölt biztonsági rés leírását. A hibát javító segédprogram október 15-én elkészült, és letölthető a Microsoft weblapjáról.
A felfedezett biztonsági rés lehetővé teszi, hogy a rosszindulatú webprogramozók betekintést nyerjenek az általuk elkészített weblap látogatóinak számítógépén található fájlokba, feltéve, hogy ismerik az adott fájl nevét és elérési útját. A rés nem ad módot arra, hogy a rosszindulatú weblap készítője fájlokat módosítson, letöröljön, vagy új fájlokat helyezzen el a látogató gépén. A biztonsági rés csak az Internet Explorer 5-öt érinti, s csak abban az esetben él, ha a felhasználó által kiválasztott biztonsági zóna beállításánál az ActiveScripting engedélyezve van. Az Active Scripting kikapcsolásával az adott weblap biztonságosan megtekinthető.

A biztonsági hiányosságot kihasználó támadó sikere arra épül, hogy a webprogramozók által a weblapokhoz rendelhető rövid programocskák, a scriptek biztonsági ellenőrzése az Explorer 5.0-ban – egy hiba folytán – csak akkor történt meg, ha a Scrip a teljes böngészőablak megjelenítéséért volt felelős. Az ellenőrzés nem terjedt ki arra az esetre, ha a fő böngészőablak keretekre (IFrame-ekre) osztott, és a Script az ún. gyermekablak irányítását vette át. A hiányosságot a biztonsági ellenőrzés gyermekablakokra történő kiterjesztésével a Microsoft fejlesztői pótolták, nincs tehát szó architekturális biztonsági problémáról!

A Microsoft a biztonsági kérdéseket kiemelt figyelemmel kezeli. Miközben a hiba észlelésének pillanatától kezdve annak részletes leírásával és a lehetséges óvintézkedések bemutatásával igyekezett megóvni a felhasználókat az esetleges kellemetlenségektől, fokozott erővel dolgozott a probléma megoldásán és a javítóprogram létrehozásán.