Microsoft byl upozorněn před 14 dny na chybu, která umožní číst cookies jiných serverů, číst lokální soubory a spouštět i programy na počítači. Netřeba říkat, že záplata zatím není k dispozici.
Firma PivX (nemá co do činění s komprimací piva ale s bezpečností) nalezla 25. června
bezpečnostní chybu, která, jako již několik podobných před tím, umožňuje pomocí skriptu ošálit Internet Explorer a přečíst si cookies z jiného serveru případně i spustit nějaký program na počítači.
Chyba využívá nedostatku v určování bezpečnostní zóny v tagu OBJECT. Při přiřazení hodnoty do tohoto tagu v HTML kódu se určí bezpečnostní zóna podle zadané hodnoty. Pokudse ale později cílové URL změní, zabezpečení zůstane zachováno. To lze využít k ošálení a získání normálně nepřístupných informací.
Tento kód například zjistí obsah cookies z .NET Passportu (není tam heslo, samotné cookies pro přístup ukrást nestačí):
<object id="data" data="empty.html" type="text/html"></object>
<script>
var ref=document.getElementById("data").object;
ref.location.href = "http://www.passport.com";
setTimeout("alert(ref.cookie)",5000);
</script>
V popisu možných využití najdete i několik ukázek, spouštění aplikací, čtení cookies a souborů. Spouštění aplikací se chová podobně jako již dříve odhalená a již opravení chyba. Umí prostě spustit jen program z konkrétního umístění bez zadání parametrů. Nelze tedy smazat soubory, formátovat disk a podobně. Zato může webová stránka spustit kalkulačku nebo poznámkový blok.
Chyba byla oficiálně zveřejněna po 14 dnech bez dostupné záplaty proto, že firma, co chybu nalezla, pozorovala neoficiální šíření informací o této chybě. Jako prevence se doporučuje vypnout skriptování komponent označených jako bezpečné. Microsoft může mít nyní již interní opravu k dispozici (ty bývají poměrně rychle) bohužel kvůli následnému testování na různých konfiguracích se záplata na veřejnost dostane jen pomalu. Ostatně PivX udává na svých stránkách v současné době 19 neopravených chyb Internet Exploreru.