Microsoft pracuje na opravě, ale v současné době si vaše cookies může „kdokoli“ přečíst.
Tato nová
chyba se týká Internet Exploreru verze 5.5 a 6.0. Možnému nebezpečí vyzrazení cookies se vystavujete i čtením pošty ve formátu HTML pomocí programu Outlook Express. Chyba umožňuje případnému zájemci (hackeru) pomocí upravené URL získat přístup ke cookies uložených na vašem počítači, případně i informace v cookies modifikovat. Aby se případný útočník dostal k vašim cookies musíte
navštívit pro tento účel upravené HTML stránky nebo
obdržet HTML email.
Pokud nevíte co jsou to cookies a jaké možné riziko jejich vyzrazením hrozí, stručně vysvětlím. Cookies jsou malé textové soubory posílané serverem prohlížeči, který je při standardním nastavení IE ukládá do určené složky na vašem počítači. Do cookies se mohou například ukládat informace o počtu návštěv na stránce, vaše jméno, adresa, přístupová hesla (pokud jste někdy tyto informace vyplňovali) a jiné. Nebezpečí je tedy právě v tom, že pokud někde na disku máte cookie nedej bože s číslem vaší kreditní karty, útočník může tuto informaci z cookie vytáhnout a uložit si ji.
Microsoft ohodnotil tuto chybu stupněm „high“, což znamená, že ji považuje za velmi nebezpečnou. Oprava bohužel doposud není k dispozici, protože finská bezpečnostní firma Online Solution oznámila tuto chybu Microsoftu 1.listopadu. Nejprve po dohodě s Microsoftem slíbila o chybě pomlčet, ale protože objevem této chyby může na sebe upozornit rozhodla se ji později zveřejnit.
Do doby než bude zveřejněna oprava Microsoft doporučuje zakázat v IE „aktivní skriptování“ a "skriptování apletů v jazyce Java" pro Internet i Intranet a bezpečnost v Outlook Expressu nastavit na „zóna serverů s omezeným přístupem“. Více informací najdete na stránce Microsoftu popisující tuto chybu.
Většina solidních serverů nikdy neukládá citlivé informace do cookies a případný útočník by musel znát jméno cookies (souboru) na vašem disku, čímž se míra rizika snižuje.
Přesto s novou chybou opět vyvstává otázka zda je Microsoft schopen zaručit deklarovanou bezpečnost u svých nových služeb .NET a Passport.
