Chyba ve zpracování HTML e-mailů a zejména zacházení s různými MIME typy umožňuje spustit libovolný program jen přečtením pošty.
Chyba ve zpracování HTML e-mailů a zejména zacházení s různými MIME typy umožňuje spustit libovolný program jen přečtením pošty.
Chyba se týká Internet Exploreru 5.01 a 5.5, předchozí verze nejsou podporovány a tak také hrozí, že jsou na seznamu postižených aplikací. Ač se chyba týká Internet Exploreru, chyba se projeví především při práci s e-maily. Běžný HTML mail je normální HTML dokument na jehož zobrazení se v klientovi pošty používá obvykle jádro Internet Exploreru. Ten si vezme jednotlivé komponenty dokumentu a podle jejich MIME typu rozlišuje, co s nimi má provést. MIME typy slouží k identifikaci obsahu, jsou zhruba ekvivalentem přípon u souborů.
Kvůli chybě v Internet Exploreru je ale možné spustit spustitelný kód z přílohy dokumentu, pokud změníte vhodně MIME typ této přílohy. Zjednodušeně řešeno přidáte do zprávy soubor Formatuj.exe a změníte mu ručně typ na obrázek JPG, Internet Explorer tuto přílohu otevře a spustí jako obrázek, místo zobrazení obrázku se vám ale zformátuje disk.
Chybu objevil Juan Carlos Cuartango, který má na svém kontě již několik odhalených bezpečnostních děr. Záplata je k dispozici, je ale jen pro Internet Explorer 5.5 SP1 a 5.01 SP1 a ještě nejspíš jen pro anglické verze. Pokud se ji totiž pokusíte nainstalovat na cokoli jiného (IE 6 preview, český IE 5.0 a podobně) ohlásí This update does not need to be installed on this system. Tedy místo toho aby upozornil, že na tomto systému se instalovat nedá, oznámí, že vy opravu nepotřebujete. Jedinou verzí, která je přitom již oficiálně opravena, je IE 5.01 SP2. Microsoft o tom ví a doporučuje přechod na podporované verze, anglickou verzi si ale instalovat nechci, na lokalizovaných se teprve pracuje.