Nově objevená chyba v Microsoft Internet Exploreru 6 umožňuje v odkazech na webových stránkách zfalšovat příponu stahovaného souboru. Problém byl označen jako "středně kritický".
Hlavním problém nastává, pokud při stahování souboru zvolíte přímo možnost Otevřít. Při otevírání stahovaného souboru může totiž Internet Explorer použít jinou aplikaci, než která je spojena s typem stahovaného souboru. Zářným případem zneužití může být spuštění programového kódu, i když uživatel otevíral například dokument PDF nebo TXT. Děsivou představou může být například takové využití k otevření viru nebo červa.
Výše uvedeného efektu lze dosáhnout poměrně jednoduše - pomocí vloženého identifikátoru CLSID do jména stahovaného souboru. CLSID je dlouhý číselný řetězec, který se vztahuje ke kontrétnímu objektu COM (Component Object Model) ve Windows.
Pokud si tento problém chcete vyzkoušet i na svém Internet Exploreru, navštivte připravenou ukázku společnosti Secunia:
http://secunia.com/Internet_Explorer_File_Download_Extension_Spoofing_Test
Problém byl potvrzen a reportován pro Internet Explorer 6, nicméně není vyloučeno, že bude s úspěchem využitelný i v předchozích verzích Internet Exploreru.
Momentálně jediné řešení (než Microsoft vytvoří opravný patch) je nepoužívat položku Otevřít (Open) při stahování souborů, ale vždy důsledně všechny soubory ukládat nejprve na disk.
Zdroj: Secunia
