Cert-Fi kertoo, että Microsoftin Internet Explorer -selainohjelmasta on löydetty uusia haavoittuvuuksia. Haavoittuvuuksien avulla hyökkääjä voi esimerkiksi nähdä www-osoitteet https-yhteydestä huolimatta.
Ensimmäinen haavoittuvuus liittyy IE-selaimen tapaan näyttää tiedostojen lataamisesta ilmoittava valintaikkuna. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän oikeuksilla. Haavoittuvuutta voidaan hyödyntää houkuttelemalla käyttäjä hyökkääjän muokkaamalle www-sivustolle.
Samalla tavalla voidaan hyödyntää haavoittuvuutta, joka liittyy selaimen tapaan käsitellä com-objekteja.
Eräs haavoittuvuuksista liittyy Basic-käyttäjäntunnistuksen käyttöön tilanteessa, jossa selain lähettää tietoja https-välityspalvelimelle. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi nähdä selaimelta välityspalvelimelle lähetetyt www-osoitteet HTTPS-yhteydestä huolimatta.
Neljäs haavoittuvuus liittyy selaimen tapaan käsitellä yhteensopimattomia dom (Document Object Model) -objekteja, kuten esimerkiksi html-sivulla olevaa OnLoad-tapahtumaa, johon on liitetty kutsu Window-objektiin. Haavoittuvuutta hyväksikäyttämällä hyökkääjä voi suorittaa kohdejärjestelmässä omia komentojaan järjestelmään kirjautuneen käyttäjän oikeuksilla. Haavoittuvuutta voidaan hyväksikäyttää houkuttelemalla käyttäjä esimerkiksi hyökkääjän muokkaamalle www-sivustolle tai avaamaan muokattu sähköpostiviesti.
Neljättä haavoittuvuutta hyväksikäyttäviä haittaohjelmia on havaittu leviämässä www-sivujen välityksellä.
Haavoittuvuudet koskevat laajasti Microsoftin käyttöjärjestelmiä Windows 98 -järjestelmästä XP SP2 -järjestelmän ja Server 2003:en eri versioihin asti.
Cert-Fi suosittelee haavoittuvien tietojärjestelmien välitöntä päivittämistä. Päivitykset voi hakea Microsoftin sivuilta.