Nová díra (počítá to vůbec ještě někdo?) v Internet Exploreru 5.5 umožňuje vzdáleně spouštět na počítači uživatele nepovolené příkazy.
Nová díra (počítá to vůbec ještě někdo?) v Internet Exploreru 5.5 umožňuje vzdáleně spouštět na počítači uživatele nepovolené příkazy.
Jejím objevitelem je (opět pro změnu) Georgi Guninski. Ten se zaměřuje na díry ve spojitosti s ActiveX, nyní ukázal svůj budoucí směr úvah – bude odhalovat díry ve spojitosti ActiveX a Javy. ActiveX jsou s Javou velmi rozdílné technologie a nejsou obvykle využívány společně, je tedy docela možné, že toto nebude poslední chyba tohoto typu.
Čerstvý problém leží v objektu com.ms.activeX.ActiveXComponent, který umožňuje vytváření i takových objektů, které nejsou bezpečné pro skriptování. Obvyklým použitím je vytvoření souboru s příponou HTA ve složce Startup, kde se po startu systému spustí a může obsahovat i zákeřný kód. Netřeba připomínat, že na českých systémech to je k ničemu, protože ty se dívají do složky Po spuštění. Nicméně se již objevily takové viry, které se přes HTA soubory šíří.
Microsoft byl o problému informován a v současné době záležitost prověřuje a pracuje na opravě. Chyba je zneužitelná v Internet Exploreru i v Outlooku (i Express). Dokonce je možné chybu využít i v Outlooku, který má zapnutou ochranu proti skriptům. Chce to jen si pohrát s Javou a můžete to zkusit.
Demonstrace chyby a zdrojové kódy příslušných stránek najdete u Guninského na webu.
