Na Gopher, předchůdce dnešního webu, už mnozí zapomněli, stále ale patří mezi podporované protokoly v prohlížečích Internetu. Internet Explorer v něm ale obsahuje chybu nabízející zadní vrata do systému.
Chybu odhalila finská firma
Online Solutions Oy a upozornila na ni Microsoft 20. května. Ten v současné době chybu analyzuje a připravuje záplatu.
Gopher slouží k procházení hierarchicky uspořádaných textů a souborů, je to takový předchůdce webu a na začátku devadesátých let byl poměrně rozšířen. Nyní je zcela na okraji zájmu, ale jeho podpora je stále obsažena v Internet Exploreru. Stačí před požadovanou adresu napsat gopher:// a můžete surfovat. Internet Explorer má ale chybu ve zpracovávání požadavků z gopherového serveru a může dojít k tradičnímu přetečení bufferu. Pomocí zaslání kódu lze tak proniknout zcela do počítače a instalovat či mazat soubory dle libosti. Uživatel ani nijak nemusí vědět nic o gopheru, stačí vtipné přesměrování ze stránek či z došlého e-mailu. Postiženy jsou údajně všechny Internet Explorery včetně poslední 6.0. Záškodnický Gopher server přitom nemusí být plnohodnotným gopherem, stačí prográmek, který bude sedět na příslušném TCP portu a zapisovat blok dat.
Ačkoli v současnosti není k dispozici záplata, je možné se i tak bránit. Stačí zakázat Gopher v Internet Exploreru. Online Solutions Oy doporučuje nastavit neexistující proxy server pro připojování na Gopher. Lze na firewallu zakázat port pro Gopher, nicméně je možné se připojit Gopherem stejně jako http protokolem přes jiný port. V nastavení připojení k Internetu (možnosti sítě Internet – připojení, výběr příslušného spojení) je třeba zapnout podporu proxy serveru, pokud jej nemáte a v upřesňujících nastaveních nastavit pro Gopher připojování přes localhost na portu 1, localhost je váš počítač a na portu 1 nic není, všechny požadavky na Gopher tak půjdou do černé díry. Pokud používáte nějaký proxy server, můžete jen upravit nastavení pro Gopher na tuto černou díru.
Microsoft chybu za chvíli záplatuje a pak si to budete moci vrátit do původního nastavení, popravdě to ale zřejmě ani nebudete dělat, Gopher přece jen vůbec nikdo dnes nepoužívá (i když nepochybuji, že se zase v diskuzi někdo ozve, že je pro něj Gopher skvělý).
Zatím není k dispozici podrobný popis problému, aby se chyba nezačala zneužívat, bližší informace najdete na webu Online Solutions Oy. Významným Gopher serverem je třeba Floodgap, můžete si vyzkoušet, co vlastně Gopher je, a taky otestovat, jak jste si ho vypnuli.